目标位置快速参考指南
在对目标终端节点进行远程收集时,时间是关键。会对收集所需时间产生影响的变量之一是,您尝试从该终端节点提取的数据量。尽量收集更多的数据,以免错过任何信息,这是一件非常自然的事情,但却几乎不可行。
您想要在最短时间内获取最多重要的数据。但要从哪里开始呢?如果终端节点是 Mac,由于 APFS 的构建有别于 NTFS,而且数据各自保存在不同的位置,此操作变得尤其具有挑战性。
我们整理了一份您可以在对目标终端节点进行远程获取时用作快速参考的目标位置列表,以便于您在最短的时间内充满信心地获取尽量多有用的数据。
“AXIOM Cyber 中的目标位置是我在进行远程收集时的完美起点,最后还能帮助我节省数个小时宝贵的时间。”
计算机取证调查员,全球 500 强银行公司
获取具体的文件和痕迹的文件路径,它们通常都具有重要的取证意义,例如:
- 用户数据
- 网页浏览活动
- 注册表配置单元
- Bash 历史
- FSEvents
- 以及更多!