镜像

在撰写2018年出版的《调查Windows系统》时，我使用了互联网上公开可用的镜像。有些是作为技术示例发布的镜像，有些是教授开设课程时发布的，还有一些来自CTF比赛。如果你读过这本书，你会知道对于每个镜像，我要么使用要么创建了更"真实世界"的场景，这些场景更贴近我25年数字取证/事件响应工作的经验，其中很大一部分是咨询工作。

在那段时间，在几家公司，我们都设有"事件响应热线"，人们可以拨打该热线请求计算机事件响应…这是许多公司至今仍在做的事情。这些公司也经常有"接收表格"，分析师会填写来自呼叫者或客户的相关信息，其中经常包括调查目标。

多年来，我下载某些镜像的网站已经消失，这很不幸，但并非致命问题。这本书的意图和价值不在于镜像本身，而在于流程。所使用的流程，即使是那些使用Windows XP系统镜像的流程，也可以为任何Windows操作系统复制、开发和扩展。

Brett Shavers最近在LinkedIn上发布了一个帖子，指向他在DFIR.Training上整理的可用镜像库。在Stark4N6，我们看到另一个镜像库，这个叫做"The Evidence Locker"。这是Kevin的LinkedIn帖子，包含对该站点的描述。

如果你对下载完整或部分镜像不感兴趣，我最近从文件格式的角度研究了一个信息窃取器样本。幸运的是，原帖作者提供了他们查看样本的哈希值，这使我能够找到一个可以下载样本副本的网站。我不是恶意软件逆向工程专家，但我确实尝试遵循Jesse Kornblum的榜样，利用水牛的每个部分，利用文件格式元数据进行威胁情报分析。