Digital Forensics:Powershell Forensic
วันนี้ Admin ไปเจอ เครื่องมือสำหรับ Forensics โดยใช้ powershell ใครที่ถนัด Powershell มาทางนี้ครับ ชื่อว่า PowerForensics มี Module หลายตัวให้ศึกษา แต่เนื่องจากผู้ที่ศึกษาต้องมีพื่้นความรู้เรื่อง Windows File system ระดับหนึ่งก่อน ถึงจะเข้าใจว่าแต่ละคำสั่งใช้ทำอะไร ผมบอกเลยเรื่องนี้ยาก แต่เครื่องมือใช้งานง่าย เอาว่าผมข้ามไปอธิบายวิธีการติตตั้งและใช้งานเลยครับสิ่งที่ต้องเตรียม
- Powershell ใน windows 7, 8 ,10 ,Up
- เครื่องสำหรับทดสอบ Windows windows 7, 8 ,10 Up
- PowerForensics download จาก github
- ให้ท่านศึกษาเพิ่มเติมเรื่อง Windows File System , NTFS, MFT ก่อนทำเรื่องนี้
หมายเหตุ หากท่านมี Toots ตัวอื่นก็สามารถใช้งานแทนได้
Step 1 ไป download PowerForensics จาก github
Step 2 ทำการแตกไฟล์ไว้ที่ Foder C:\Program Files\WindowsPowerShell\Modules\
Step 3 ทำการ Import-Module โดยใช้คำสั่งดังนี้
#Import-Module 'C:\Program Files\WindowsPowerShell\Modules\PowerForensicsv2'
Step 4 ทำการเรียกดูคำสั่งที่อยูู่ใน PowerForensicsv2 โดยใช้คำสั่งดังนี้
#Get-Command -Module PowerForensicsv2
Step 5 ทำการเรียกดูตำแหน่งและรายละเอียดของ Timestamp ของ MFT ใน C:\ โดยใช้คำสั่ง Get-ForensicFileRecord -Path c:\$mft
ศึกษาเพิ่มเติม:
https://docs.microsoft.com/en-us/powershell/module/Microsoft.PowerShell.Core/Import-Module?view=powershell-6
https://github.com/Invoke-IR/PowerForensics/releases
http://www.invoke-ir.com/2016/02/
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #Powershell Forensic
No comments:
Post a Comment