- 博客(35)
- 收藏
- 关注
RSS订阅原创 SQLite数据库取证分析
从移动取证到恶意软件分析,SQLite数据库取证在数字调查中发挥着至关重要的作用。通过了解 SQLite文件结构、使用正确的工具和应用有效的查询技术,取证分析师可以从数据库中提取有价值的信息。作者:Dean 翻译:Doris 转载请注明。
2025-05-28 10:12:28
597
原创 微软账户无密码化的取证影响
五月初,,新创建的微软账户现在将默认为无密码,以实现“更简单、更安全的登录”。这一变化延续了Windows 11所设定的方向,即逐步淘汰传统密码,转而采用更安全、更方便用户的身份验证方法,如PIN码、生物识别和passkeys。
2025-05-20 17:01:40
1248
原创 Windows11 24H2中默认启用BitLocker加密的取证影响
微软的Windows11 24H2加密政策并不是一项突然的创新,而是对早期BitLocker设备加密实践的有条不紊的扩展。取证人员必须认识到,今后几乎所有被扣押的Windows 11设备都可能会被加密,即使是消费类设备也不例外。随着几乎所有新安装的Windows系统都默认使用BitLocker,取证工作流程必须不断发展。及早识别加密状态至关重要。执法机构还应将证据收集扩展到其他来源(云数据、网络日志、辅助设备),同时认识到如果密钥无法恢复,主硬盘数据可能会永久无法访问。
2025-05-09 12:01:32
827
原创 可能毁灭互联网(和我们生活)的三个协议:DNS、PKI和BGP
DNS是一个糟糕的协议。那么,他们的首要目标可能是毒化世界各地的DNS缓存,让所有小国家的域名都指向MegaTropolis的网站。DNS的问题在于它几乎没有真正的安全内核,而且可以很容易地建立一个虚假的DNS系统,将用户重定向到错误的网站。总之,根CA在这里是必不可少的,因为如果丧彪不被大虎信任,丧彪的证书就不会有效。然后,Doris用丧彪的公开密钥进行检查,如果验证无误,她就可以信任小帅的公开密钥。重要的一点是,BGP不是距离矢量或链路状态协议,因为它传输的是完整的路由信息,并不是部分信息。
2025-04-22 11:40:48
843
原创 macOS取证分析——Safari浏览器、Apple Mail数据和Recents数据库
Safari是苹果设备的默认网络浏览器,会留下各种有助于取证分析的痕迹。这些痕迹存储的信息包括浏览历史记录、会话详情、缓存文件和访问网站的缩略图。了解Safari在 macOS上存储数据的位置和方式可以帮助调查人员获取更多有价值的信息。Safari可在macOS中存储不同类型的数据。以下是可以找到取证痕迹的主要位置:这些目录包含各种类型的浏览器相关数据,包括浏览历史缓存文件会话信息标签快照和缩略图下载文件Cookies。
2025-04-16 17:19:21
1015
原创 使用Windows工具进行内存取证(不进行完全内存转储)
内存取证是分析易失性内存以发现恶意活动、恶意软件行为或系统异常的强大技术。一般情况下调查员会转储全部物理内存,并使用Volatility等工具对其进行分析。然而在许多实际场景中,由于系统限制、安全策略或紧迫性等原因,完全转储可能并不可行。本文将探讨如何在不创建完整内存转储的情况下,使用内置或免费提供的 Windows 工具执行内存取证。
2025-04-11 15:32:12
886
原创 如何检测代码注入(Part 2)
接上文继续探讨代码注入这种攻击的最简单形式就是强迫进程加载新的 DLL(动态链接库)。传统的检测工具(如Volatility的dlllist或ldrmodules)可以轻松发现这种情况。然而,随着安全工具检测能力的提高,攻击者也在不断进化,开发出了更先进的技术,试图绕过这些检测。但问题是,无论攻击多么隐蔽,总会留下蛛丝马迹。取证调查的关键就是找到这些线索。
2025-03-31 14:34:50
1072
原创 通过内存取证检测代码注入行为(Part 1)
代码注入是最危险的恶意软件技术之一,但只要使用正确的工具和方法,就能检测并阻止这些攻击。通过利用Volatility、MemProcFS和实时内存扫描等取证工具,安全团队可以在可疑活动升级为全面入侵之前将其识别出来。
2025-03-28 12:00:24
935
原创 私密浏览和恢复已删除的浏览器痕迹
现代浏览器中的隐私设置让用户更容易掩盖自己的踪迹,但使用正确的取证技术,删除的数据仍然可以恢复。无论是在分析SQLite还是ESE数据库,使用正确的工具都能起到事半功倍的效果。作为取证分析人员,我们的工作不仅仅是找到痕迹,还要了解它们是如何以及为何被删除的。有了这些技术,你就能更好地揭开隐藏在表面之下的真相。作者:Dean 翻译:Doris 转载请注明。
2025-03-27 15:51:24
792
原创 针对Signal Desktop应用程序的取证研究
Signal E2EE有助于防止窃听和篡改用户通信。用于加密的密钥在客户端生成,因此任何Signal云服务器或其他中间互联网服务器都无法看到这些信息的内容。使用Signal Desktop时,信息和文件都存储在用户的设备上。因此,要获取取证调查所需的所有相关痕迹,最有效的方法是通过物理方式或使用磁盘镜像访问设备。从本实验开始时设定的目标(参 “研究方法”部分)来看,所发现和分析的痕迹集为回答大部分问题提供了可靠的信息来源。
2025-03-21 12:34:17
1075
原创 Microsoft Edge浏览器的取证分析(基于Chromium)
早在2019年,微软就用Chromium替换了EdgeHTML浏览器引擎这是微软支持谷歌Chrome浏览器的一个开源项目。通过切换到Chromium,Edge与Chrome浏览器共享一个共同的基础,这意味着用于Chrome浏览器调查的取证技术也适用于Edge。微软不仅在使用Chromium,而且还在积极推动Chromium的开发。这意味着,只要微软继续向Chromium项目提交修改,而不是针对Edge进行修改,那么为Chrome浏览器开发的取证工具就能在Edge上无缝运行。
2025-03-19 16:48:40
1007
原创 苹果“被盗设备保护”的取证意义
我们曾讨论过苹果对单一安全因素的依赖:屏幕定位密码。当时,知道这个密码往往就足以完全访问设备,甚至重置iCloud认证。有了“被盗设备保护”功能,苹果通过对关键操作要求进行生物识别验证,向安全层多样化又迈出了一步。虽然这一功能通过防止未经授权访问被盗设备提高了用户安全性,但却大大增加了取证调查的复杂性。面临更多安全障碍的数字取证调查员们现在必须克服数据提取方面的新挑战了。作者:Oleg Afonin 翻译:Doris 转载请注明。
2025-03-11 12:30:14
702
原创 英伟达™(NVIDIA®)Blackwell发布
虽然从理论上讲,Blackwell系列的性能更强大(旗舰型号由于计算单元大幅增加、功耗更高,因此显示出了实际的提升),但其在密码恢复方面的效率仍是未知数。与Ada Lovelace相比,这些GPU的价格上涨了30%至50%,从性价比的角度来看,吸引力大打折扣--尤其是考虑到持续的短缺和黄牛问题,以MSRP价格买到RTX 5090和5080显卡几乎是不可能的。作者:Oleg Afonin 翻译:Doris 转载请注明。
2025-02-28 11:55:59
761
原创 苹果公司在英国禁用iCloud高级数据保护功能
二月初,苹果公司可能收到了一项秘令,要求该公司创建一个加密后门。据泄漏的消息称,英国政府要求全面、秘密地访问全球各种加密数据。在接到这一要求后,苹果公司发表官方声明,决定在英国禁用iCloud高级数据保护功能。这对执法部门意味着什么,对最终用户又会带来什么后果?Apple的iCloud高级数据保护是一项可选的安全功能,可对大多数iCloud数据进行端到端加密,确保只有用户才能访问他们的信息。加密密钥只存储在用户指定的可信设备上,即使苹果公司也无法解密数据。
2025-02-26 12:27:23
951
原创 iOS密码安全性的演变
iOS密码安全系统的演变反映了苹果公司保护设备访问权限的方法,即在尝试解锁失败后逐渐延长解锁时间。从最初在iOS 10和11中的规则实施再到现在,都是旨在阻止对用户数据的未经授权访问。作者:Oleg Afonin 翻译:Doris 转载请注明。
2025-02-25 16:29:10
1105
原创 人工智能和深度学习简史
过去几十年来,人工智能(AI)和深度学习取得了显著进步,改变了计算机视觉、自然语言处理和机器人等领域。本文概述了人工智能历史上使用深度学习的重要里程碑,从早期的神经网络模型到现代的大型语言模型和多模态人工智能系统。
2025-01-08 14:52:08
1281
原创 分析 VAD 中的用户数据: 提取记事本内存中的精确数据并获取恶意软件行为
恶意程序利用记事本作为其恶意策略的一部分,甚至将恶意程序伪装成记事本来掩盖其活动。
2024-12-24 11:57:41
1008
原创 iOS 18不活动重启带来的安全影响
从iOS 18开始,苹果在操作系统中增加了一个计时器,该计时器只与设备的锁定状态挂钩。这意味着,当设备被锁定三天(72小时)后,就会重启。听起来很简单,但对于取证行业来说,却不那么简单。这种非活动重启有几个重要的影响很值得讨论。
2024-11-15 15:54:24
2981
原创 移动设备取证时一定要在过期前获取的5个iOS证据源
在进行犯罪调查时,“时间”总是至关重要的,但你是否了解,一些iOS的取证证据如果不在特定的时间窗口内提取,就会完全丢失。
2024-11-05 14:49:06
500
翻译 人工智能和机器学习将如何改变移动设备取证调查
我个人认为这些功能中的很多都非常方便(至少在我的iPhone上是如此),但它们到底是什么,我们的手机又是如何处理这些数据的?但在许多情况下,文件在创建后又被篡改,还可能被转移,这就带走了宝贵的元数据,并进一步将痕迹从创建它的应用程序中剥离出来,从而增加了最终鉴定的难度。多媒体文件通常是移动设备取证的关键部分,由于手机存储容量不断增加,且人们不觉得有必要清理数据以释放空间,因此多媒体文件可能会耗费大量的调查时间,好在我们可以依靠取证工具,从调查的角度利用类似机器学习的功能来对多媒体文件进行分类和加速分析。
2024-05-09 12:21:00
155
1
翻译 数据库安全:你需要了解的最佳实践指南
在数据泄露日益普遍的时代,了解和实施数据库安全的实践不仅是技术上的需要,也是业务上的当务之急。利用正确的工具和策略可以确保数据的完整性、保密性和可用性,从而保护企业最宝贵的数字资产。随着威胁的不断发展,数据库安全的方法也应与时俱进,需要不断提高警惕、进行调整和开展教育。作者:Kellyn Gorman 翻译:Doris Liu 转载请注明。
2024-03-22 15:11:05
217
1
翻译 微软发布首个 Windows Server 2025 预览版
2023年1月26日微软发布了 Windows Server Insider Preview 26040
2024-01-29 11:50:28
781
翻译 小心 “真不敢相信他走了 “的 Facebook 钓鱼帖子
一个普遍传播的Facebook 网络钓鱼活动:"I can't believe he is gone,I'm gonna miss him so much",将毫无戒心的用户引向一个窃取 Facebook认证信息的网站。
2024-01-22 12:36:58
157
翻译 Microsoft365云日志提取
本文讨论了访问和导出统一审计日志 (UAL) 的各种方法。如果您需要执行快速和有针对性的搜索,可以利用 Purview 合规性门户。如果想检索UAL的一小部分并导出为JSON格式,PowerShell提供了Search-UnifiedAuditLog cmdlet。对于大型组织或需要持续轮询UAL的组织,可以使用Microsoft 365应用程序管理接口。作者:Megan Roddie 翻译:Doris Liu 转载请注明。
2024-01-08 16:22:32
223
翻译 Linux入侵 — 一个日益严峻的问题
尽管攻击者的最终目标始终如一,但网络安全形势却在不断变化。从国家/州支持的行动者到有组织的犯罪团伙,Linux系统越来越频繁地成为威胁分子的攻击目标。TechJury和Trend Micro的报告(2023年中期)指出,以Linux系统为目标的攻击,特别是恶意软件部署,总体呈显著增加趋势。威胁活动的增加要求网络安全专业人员熟知并采取积极的应对措施。我们必须了解攻击者的行为,并能够采取正确的措施进行检测和应对。不断变化的威胁形势。
2024-01-04 10:06:02
145
1
翻译 电信漏洞对暴露位置信息的网络影响
概述了与当代网络相关的地理定位威胁,这些网络依赖于 3G、4G 和 5G 网络运营商使用的协议,随后提供了这些威胁扩散的证据。
2023-11-17 12:06:34
803
翻译 网线中的威胁
2023年5月至9月间,埃及前国会议员艾哈迈德-艾尔坦塔维(Ahmed Eltantawy)通过短信和WhatsApp上发送的链接成为Cytrox的Predator(捕食者)间谍软件的攻击目标。
2023-10-13 17:11:02
176
翻译 如何检测WebP文件中的BLASTPASS漏洞
BLASTPASS是CitizenLab发现的另一个令人震惊的全链iOS漏洞,苹果公司在CVE-2023-41064下对其进行了处理,并推测它与CVE-2023-4863相关联。
2023-10-09 12:10:47
438
1
翻译 云战略、技术和程序的演变
身份识别和访问管理(IAM)是云安全的一个重要方面、漏洞管理在云安全中仍有一席之地、威胁行动者正学习在云端和内部部署之间进行切换、云威胁行动者的动机在不断变化
2023-10-08 12:15:00
167
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人