- 文件file
- 磁盘disk
- 网络数据包pcap
- 内存dump
- 镜像image
file/identify/strings
常见文件特征串
https://en.wikipedia.org/wiki/List_of_file_signatures
很好很全
音频探测 Audacity软件查看波形 声音频谱
在线拨号音探测软件
http://dialabc.com/sound/detect/
磁盘分区格式
Windows FAT12->FAT16->FAT32->NTFS
LInux EXT2->EXT3->EXT4
删除文件目录表中文件第一个字节填充为E5
EasyRecovery、MedAnalyze、FTK
FTK Imager恢复linux镜像
网络数据包
最常见的就是pcap取证
Wireshark
待补充
内存dump
vloatility内存镜像分析工具 支持解析 #kali linux自带工具
解析windows/linux/mac os内存结构
分析当前运行进程列表、进程内存数据等。
Image镜像取证
binwalk
根据hint提取镜像中需要关注的文件
分析提取文件中的应用层数据