【墨者学院】Windows硬盘文件分析取证(访问的网站地址)

安全不再安全

于 2023-11-17 00:40:08 发布

阅读量435

点赞数 1

分类专栏：取证分析笔记文章标签：安全

本文链接：https://blog.csdn.net/2301_79218813/article/details/134453500

版权

取证分析笔记专栏收录该内容

3 篇文章

订阅专栏

实训目标

1、了解AccessData FTK Imager使用方法；

2、了解XP访问过的网站存放在什么文件里；

解题思路

把文件下载下来

运行 AccessData FTK Imager

File -> Add Evidence Item...

选择打开image file

点击 finish

文件路径：

root/Documents and Settings/lihua/Local Settings/History/History.IE5/MSHist012018110120181102/index.dat

数据区右键选择 show text only

将所有数据复制到文本文件进行分析

http://192.168.153.128/webhtml

题目说了是不知名，文本中那么多网站，只有这个是不知名的，所以我们尝试一下，发现正确

收获

Documents and Setting\管理员名称\Local Settings\内。很多临时文件放在这里，用来收藏夹、浏览网页的临时文件，编辑文件等。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

安全不再安全

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Windows取证——登录过的用户名、新建的用户名和访问的网址文件（墨者学院）

记录并分享学习安全的知识点..

09-28

944

Windows取证——登录过的用户名、新建的用户名和访问的网址文件（墨者学院）

墨者 - Windows硬盘文件分析取证(远程登录的IP地址)

吃肉唐僧的博客

07-16

886

下载文件，ftk打开挂载镜像上网百度后，发现Default.rdp 文件是使用远程桌面协议(RDP) 连接到远程计算机时，相应程序在计算机上创建的文件。所以直接在搜索Default.rdp 找到了记录的ip地址 ...

参与评论您还未登录，请先登录后发表或查看评论

CTF-Windows硬盘文件分析取证(访问的网站地址)

asd158923328的博客

08-22

1391

根据题意进入环境，下载文件，用AccessData FTK Imager挂载依次打开([root]>Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat，index.dat是一个由Internet Explo...

[墨者学院] Windows硬盘文件分析取证(访问的网站地址)

0of_blog

06-02

759

犯罪嫌疑人使用XP系统访问了一个不知名的网站，分析硬盘文件，找到这个网站。

在线靶场-墨者-电子数据取证1星-Windows硬盘文件分析取证(访问的网站地址)

weixin_42079912的博客

08-09

289

打开靶场网页，下载文件。并解压。使用AccessData FTK Imager软件打开镜像。按照路径寻找index.dat文件([root]>Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat)。里面记录了...

墨者 - Windows硬盘文件分析取证(访问的网站地址)

吃肉唐僧的博客

07-11

844

用ftk打开镜像文件搜索history,发现是ie5搜索的找到dat文件，这里说明一下index.dat文件在微软windows操作系统中，index.dat是一个由Internet Explorer和资源管理器创建的文件。这个文件的功能就像一个数据库，随系统启动。它的功能在于收集个人信息，就像网址，搜索字符串，和最近打开的文件。它的职责就像数据库中的索引。简单来说，当IE开启...

[墨者学院] Windows硬盘文件分析取证(新建的用户名)

0of_blog

05-30

1956

题目题解他给了一个百度云链接，下载解压后是一个E01文件先看一眼文件格式在这里，我们使用accessDate这个工具挂载image 挂载到文件系统，进入E盘，先把隐藏的项目勾上然后就能看到隐藏的Application Data了看到用户头像，有那么几个 lihua是一只都存在的，Users目录就看到了lihua这个目录，应该是使用过。而没有momo目录，说明应该是新建的。最后答案就是momo了 ...

墨者学院—Windows硬盘文件分析取证：连接过的FTP地址（简单复习）

LRedAnt的博客

12-31

724

墨者学院—Windows硬盘文件分析取证：连接过的FTP地址（简单复习）背景描述： XP系统连接过的FTP记录都会以文件的形式保存在本地电脑，默认在C盘下，对于不同的Windows系统，存放的位置可能有差异，但是XP系统会保存在当前用户文件下的历史记录问文件，文件格式是“.dat”的文档格式，如果用记事本等打开，内容会出现一定的乱码。挂载工具：AccessData FTK Imager 靶场实...

墨者学院 windows硬盘文件分析取证(新建的用户名) 犯罪嫌疑人在使用过电脑之后并

最新发布

12-15

墨者学院的Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时，这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。在对犯罪嫌疑人所使用的计算机...

墨者 - Windows硬盘文件分析取证(连接过的FTP地址)

吃肉唐僧的博客

07-08

587

下载文件之后，发现是镜像文件这次略微不同，需要挂载这个镜像文件才可以挂载出来的盘符出来了寻找history.ies 的 index.dat 直接用记事本打开index.dat ip地址一般是1字开头，直接寻找找到参考链接;https://www.cnblogs.com/17bdw/p/9094659.html ...

文件系统中的电子取证分析

01-15

写的不错的一本书。讲解如何在文件系统中，比如提取删除的数据。顺便分析了目前Linux下比较流行的文件系统

accessdata_ftk_imager

04-06

accessdata_ftk_imager

AccessData FTK Imager 4.2

09-16

AccessData FTK Imager 4.2.0 最新版的FTK Imager；超级好用哦。

FTKImager用户手册-英文原版

01-10

最新ftk imager用户使用手册，对取证新手而言，值得收藏一波！

AccessData_FTK_Imager_3.4.3_x64

12-19

FTK Imager 是免费的镜像工具，功能强大，支持几十种镜像格式，E01、DD、L01、DMG、VMDK、VHD、AD1，使用过程中几乎没有遇到挂在不了的镜像格式。FTK Imager强大之处还在于可以获取当前内存镜像、获取受保护的文件，例如直接获取当前系统的注册表文件。另外，此工具完全免费，而且是绿色的，安装后复制安装目录到任意地方都可以直接运行。

[墨者学院] Windows硬盘文件分析取证(登陆用户的用户名)

0of_blog

06-01

462

犯罪嫌疑人在使用电脑时，登录过www.laifudao.com这个网站，分析硬盘文件并找到登录这个网站的用户名。

Windows硬盘文件分析取证(连接过的FTP地址)

asd158923328的博客

08-20

514

靶场地址： https://www.mozhe.cn/bug/detail/UDl1dXYzdithbHNCaVNPNVdQY1lyQT09bW96aGUmozhe 根据题意进入环境，下载文件，AccessData FTK Imager挂载寻找history.ies 的 index.dat 直接用记事本打开index.dat，ip地址一般是1字开头，直接寻找找到验证数据，得到key ...

在线靶场-墨者-电子数据取证1星-Windows硬盘文件分析取证(恢复删除文件)

weixin_42079912的博客

08-09

506

打开靶场网页，下在文件，发现是img文件。解压。下载DiskGenus工具，下载地址http://www.diskgenius.cn/download.php 使用DiskGenius工具，点击磁盘，打开虚拟硬盘文件，根据题意，我们需要恢复文件。点击恢复文件。恢复文件后，找到了一个存放数据的文本，将其输入靶场发现得不到key。将这个文本里的内容使用md5解密，得到xiaoming。将...

Linux硬盘镜像获取与还原（dd、AccessData FTK Imager）

L592181260的博客

11-25

5083

1、硬盘镜像获取工具：dd dd是Linux/UNIX 下的一个非常有用的命令，作用是用指定大小的块拷贝一个文件，并在拷贝的同时进行指定的转换。 1.1 本地取数据查看磁盘及分区 # fdisk -l 获取整个磁盘镜像文件 # dd if=需要拷贝的磁盘 of=/存储目录/镜像文件（确保存储目录有足够的空间） 1.2 远程取硬盘数据· 克隆硬盘或分区的操作，不应在已经mount的的系统上进行，采取远程取的办法这样可以避免破坏现场。 NC远程传输文件从受害机器A拷贝文件到取证机器B。需要先在取证机器