在桌面上创建一个名为“case”的文件夹,并在里面创建另一个名为“case01”的子文件夹,然后使用一个空文件“volatile.txt”,以保存将要提取的输出内容。
什么是易失性数据strong>
计算机取证中收集的数据有两种类型:持久性数据和易失性数据。持久性数据是储存在本地硬盘上的数据,当电脑关闭时,会保存下来。易失性数据是储存在内存中的数据,当电脑断电或关闭时,这些数据会丢失。
易失性数据驻留在注册表的缓存和随机访问内存(RAM)中,这种对易失性数据的调查称为“实时取证”。
系统信息
它是Microsoft Windows中包含的一个系统分析器,用于显示与操作系统、奇热硬件和软件相关的诊断和故障排除信息。
我们可以借助命令收集这些易失数据,需要的就是输入这个命令。
现在,转到此位置查看此命令的结果,它将显示关于我们的系统软件和硬件的所有系统信息。
当前可用的 络连接
在路由器、交换机和 关的帮助下, 络连接描述了连接 络的各个部分的广泛过程。
我们可以通过命令行检查所有当前可用的 络连接。
我们可以在[dir]命令的帮助下检查它是否被创建,正如你所看到的,现在get的大小增加了。
路由配置
它指定正确的IP地址和路由器设置,主机配置:通过登录默认的 络设置,如IP地址、代理、 络名称和ID/密码,在主机或笔记本电脑上设置 络连接。
要了解我们 络中的路由器配置,请遵循以下命令。
我们可以用[dir]命令检查该文件。
打开txt文件以评估此命令的结果,比如路由器表及其设置。
日期和时间
要知道系统的日期和时间,我们可以遵循这个命令。我们还可以通过[dir]命令检查文件是否被创建。
打开该文件,查看用命令收集的数据。
系统变量
系统变量是一个动态命名值,它可以影响运行进程在计算机上的行为方式。它们是运行进程的系统的一部分。例如,正在运行的进程可以查询TEMP环境变量的值,以发现存储临时文件的合适位置。
我们可以用一个命令检查系统中所有的系统变量集。
我们可以用[dir]命令检查文件是否被创建。
任务列表
任务列表是出现在Microsoft Windows中的一个菜单,它将提供系统中正在运行的应用程序的列表。要获取系统的任务列表及其进程ID和内存使用情况,请遵循以下命令。
带有模块的任务列表
在任务列表模块的帮助下,我们可以看到特定任务中模块的工作情况。我们可以通过下面的命令看到调查的结果。
我们可以通过[dir]命令检查结果文件是否被创建。
带有服务的任务列表
它将显示特定任务为操作其操作而采取的所有服务,我们使用这个命令在我们的取证 告中得到这些结果。
工作站的信息
工作站是一种专门为技术或科学应用而设计的计算机,主要是一次由一个人使用。它们通常连接到局域 并运行多用户操作系统,按照这些命令获取工作站的详细信息。
使用[dir]命令检查文件是否已创建。
MAC地址保存在系统ARP缓存中
ARP条目有两种类型:—静态和动态。大多数时候,我们将使用动态ARP条目。这意味着ARP条目会在设备上保存一段时间,只要它被使用。
与动态相反,如果ARP条目是静态条目,我们需要在以太 MAC地址和IP地址之间输入一个手动链接。因为管理上的一些原因,我们大部分时间都在使用动态。要在调查中获得详细信息,请遵循此命令。
系统用户详细信息
用户是使用计算机或 络服务的人,计算机系统和软件产品的用户通常缺乏充分了解其工作原理所需的技术专业知识。要获取该用户的详细信息,请遵循此命令。
我们可以使用[dir]命令来检查文件是否被创建。
DNS配置
DNS是用于将字母名称转换为数字IP地址的互联 系统,在浏览器中输入 址后,DNS服务器将返回与该名称关联的Web服务器的IP地址。要了解系统DNS配置,请遵循以下命令。
我们可以通过[dir]命令查看文本 告是否被创建。
系统 络共享
共享 络意味着公共Wi-Fi或LAN连接,对系统上的另一个文件夹也可以这样做。通过打开 络共享并允许某些或受限权限,这些文件夹可以被同一 络服务上的其他用户/计算机查看。通过执行以下命令,我们可以看到这些详细信息。
我们还可以用[dir]命令检查创建的文件。
络配置
络配置是设置 络控制、流程和操作以支持组织或 络所有者的 络通信的过程。这个术语包含了 络硬件、软件和其他支持设备和组件上的多种配置和递增过程。要获得 络详细信息,请遵循以下命令。
通常,我们可以用[dir]命令检查文件是否被创建。
如前所述,这些只是常用的少数命令之一,取证调查员的武器库中还有许多命令。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!