- 文件file
- 磁盤disk
- 網絡數據包pcap
- 內存dump
- 鏡像image
file/identify/stringslinux
常見文件特徵串windows
https://en.wikipedia.org/wiki/List_of_file_signatures網絡
很好很全ide
音頻探測 Audacity軟件查看波形 聲音頻譜工具
在線撥號音探測軟件spa
http://dialabc.com/sound/detect/進程
磁盤分區格式
Windows FAT12->FAT16->FAT32->NTFSip
LInux EXT2->EXT3->EXT4內存
刪除文件目錄表中文件第一個字節填充爲E5ci
EasyRecovery、MedAnalyze、FTK
FTK Imager恢復linux鏡像
網絡數據包
最多見的就是pcap取證
Wireshark
待補充
內存dump
vloatility內存鏡像分析工具 支持解析 #kali linux自帶工具
解析windows/linux/mac os內存結構
分析當前運行進程列表、進程內存數據等。
Image鏡像取證
binwalk
根據hint提取鏡像中須要關注的文件
分析提取文件中的應用層數據