Системное время
Может быть извлечено с помощью команд date /t и time /t или с помощью команды сервера сетевой статистики. В качестве альтернативы можно использовать функцию GetSystemTime. Функция GetSystemTime, возможно, является более точной, поск

Прежде чем перейти к «как», давайте удостоверимся, что мы понимаем «что»

Нестабильная информация — это информация, которая легко изменяется/теряется при перезагрузке или выключении системы. Это важно для следователей, потому что это может помочь составить временную шкалу инцидента безопасности и определить ответственных пользователей. Неустойчивые данные находятся в регистрах, кеше и ОЗУ.

Некоторые примеры изменчивой информации включают в себя:

Системное время
Пользователи, выполнившие вход в систему
Информация о сети
Открытые файлы
Сетевые подключения
Состояние сети
Информация о процессе
Процесс-кому -port mapping
Память процесса
Подключенные диски
Общие ресурсы
Содержимое буфера обмена
Информация о сервисе/драйвере
История команд

Поскольку инструменты, используемые для сбора энергозависимой информации, могут сами модифицировать память, крайне важно, чтобы исследователь сначала продублировал память цели, прежде чем приступить к извлечению энергозависимых данных.

О том, как нестабильной информации.

Энергонезависимая информация получается во время сбора статических данных. Энергонезависимую информацию можно использовать для восстановления утерянных/удаленных данных, истории браузера, подключенных устройств и так далее. Энергонезависимая информация не нарушается при выключении или перезапуске системы. Обычно он находится на жестком диске. Другими местами для его хранения могут быть DVD-диски, флэш-накопители, смартфоны и так далее. Примеры включают электронную почту, документы Word, электронные таблицы и «удаленные файлы».

В заключение перед исследователями стоит довольно сложная задача, но с небольшим количеством ноу-хау, умением искать то, что неизвестно, и пониманием инструментов, необходимых для работы, поставленная задача становится намного более достижимой!

Акция: присоединяйтесь к моему серверу Discord, чтобы получать практические потрясающие курсы, новости и всевозможные материалы по кибербезопасности.

Ссылка на дискорд: «https://discord.gg/ZmCmkw2enz»

LinkedIn: «https://www.linkedin.com/company/79678875/admin/»

Как следователи-криминалисты могут собирать энергозависимую и энергонезависимую информацию из систем Windows?

Прежде чем перейти к как, давайте удостоверимся, что мы понимаем что