【干货】Windows系统信息收集篇

市场分析：计算机取证，就是应急响应。而应急响应的市场在于黑产的攻击频率。在当今的社会里，更多的人为了钱铤而走险的比比皆是，这个市场随着比特币，大数据，物联网的来临，规模将更加的庞大与有组织性。这将导致，安全岗位迫在眼前。他们攻击的越凶越复杂，我们的收入就越多，当然自身需要的技术也就要求越高，对整个团队的依赖也就越多。

后面连续的几个干货将重点围绕windows系统感受取证技术。您将看见，双系统（linux和windows）中的细节落实。每一个消费心理会导致不一样的策划行为判断。同理，每一个技术细节，会改变你对安全行业的认可或者不认可。精准的判断来自于更多的消息整合，如果你在入或者不入安全圈的判断期间，在此之前先感受一下windows再做判断吧。

来源Unit 5: Windows Acquisition 5.1 Windows Acquisition Windows Volatile Data Acquisition

伏笔：在2008年之前，执法人员通常会拔掉插头，以保存可疑计算机上的非易失性数字证据，主要精力放在获取磁盘数据上。这种规范的行为被保留到至今，当收集完网络数据，内存数据以后，拔掉电源再收集磁盘数据。

随着高级加密技术和恶意软件的出现，存在于物理内存中的易失性数据对于恢复加密密钥和检测恶意软件以供调查变得至关重要。收集内存数据时，工具占用越小，对内存的干扰越小。

已下是windows系统内置的命令，有人说搞安全要学cmd吗，我要学哪些cmd命令？有这些疑惑的人，都是接触到的教育环境不好造成的。接触到优质的学习土壤，这些将不是问题。

使用Windows Netcat将证据保存到你的电脑中，需要带上时间与系统时间。Date命令，uptime命令

带上系统的准确信息。Psinfo命令。

如果您在win7中常识，部分命令无效，这默认它们仅在windows的服务器中有效。毕竟，攻击目标大多数是服务器。

检查网络接口是否为混杂模式运行。    Ipconfig命令

寻找可疑进程。   Tasklist /svc     psservices   pslist命令

列出当前加载的dll，使用listdlls     process explorer  命令

Dll知识伏笔：我们知道只有二进制，计算机才会运行。而现在的程序都是用高级语言编写的。不管使用什么高超的技术，高级语言离不开函数，而dll中存在大量函数。Dll从这种角度出发，决定一个程序有什么功能。

查看哪些文件打开了   psfile       openfiles命令

显示网络连接    netstat       fport命令

显示登录用户    psloggedon    logonsesslons

查看剪切内容   pclip

来自e-fense的取证工具Helix3是非常棒的。它有商业版和免费版两种。这里用免费版感受感受。

我用了非常多的感受，因为它可以让你产生更多的优质判断力，让每一次的重大抉择倾向于成功。

已Windows 7为例子来使用这个工具。

点击它，获取系统信息

点击箭头，显示运行的进程。如果存在rootkits隐藏了进程，那么这些隐藏的进程在这里看不见。

这个结果与Windows任务管理器相同。

这个功能是采集数据。Windows版本的dd，大多数情况下这么操作来采集，内存受限区域您将采取不到。点击箭头往后面翻有多款采集工具，采集数据的话使用这三款工具Winen, FTK Imager, Memory DD。

应急响应功能

这是Windows NTFS文件系统，这些美元符号文件是系统文件

可以启动netcat通过网络将数据存到你的机器里

第二页有散列计算功能，放一个文件进去，生成MD5值。这里的rootkit不是很有效，如果你有一个根用户模式的rootkit，它可以收集一些。如果你看过i春秋中的kali linux教学就会发现Putty工具。还有个文件恢复，选择你需要的导出它们即可。

第三页信息  很多密码查看，历史记录，网站浏览跟踪工具。注册表查看

浏览器内容，一定要小心的操作或者先不操作，它可能会修改信息，在法庭上，人们会质疑你说你在修改证据让恶徒抓住把柄。C盘下有个美元符号，这是windows构件之一。后面再讨论它。

每一个这个，对应一个用户。右边列出的都是文件。

这个工具很吸引人，你完全可以花非常多的时间去熟悉它，使用它。

文章到此结束。最后记住余弦的话，技术与管理往往密切相关，尤其是在这个信息高速发展的时代。错误的抉择甚至让团队面临危机。再关注一些过程的实际发生情况，将彻底改变你的判断观与管理观，不要被不入流的人给带偏了。有的人表面教你一套，实际上自己用的是另外一套规则，小心。关注过程感受本源再勇敢的下判断。

以上观点借鉴于余弦的世界观，判断力与抉择力仅此而已，实用则用，不实用就当放屁。

余弦原创地址：https://zhuanlan.zhihu.com/p/19691465

博客地址https://www.cnblogs.com/sec875/          带众吃瓜