[墨者学院] Windows硬盘文件分析取证(新建的用户名)

已于 2022-05-30 16:03:14 修改
阅读量2k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: # 电子取证 文章标签: 安全 windows
于 2022-05-30 10:34:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czw2479/article/details/125040424
博客围绕一个题目给出两种题解。题解1通过百度云下载解压得到E01文件,用AccessDate FTK工具挂载到E盘,复制相关文件到kali并执行命令;题解2将文件挂载到文件系统,查看隐藏项目,根据Users目录情况得出答案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目

题解1

 他给了一个百度云链接,下载解压后是一个E01文件

先看一眼文件格式

在这里,我们使用AccessDate FTK这个工具挂载image

File -> Image Mounting...

现在挂载到E盘上了 

复制 /WINDOWS/system32/config/SAM 到kali

然后执行 chntpw -l SAM  

┌──(kali㉿kali)-[~/ctf]
└─$ chntpw -l SAM              
chntpw version 1.00 140201, (c) Petter N Hagen
Hive <SAM> name (from header): <\SystemRoot\System32\Config\SAM>
ROOT KEY at offset: 0x001020 * Subkey indexing type is: 666c <lf>
File size 262144 [40000] bytes, containing 4 pages (+ 1 headerpage)
Used for data: 218/15416 blocks/bytes, unused: 8/840 blocks/bytes.

| RID -|---------- Username ------------| Admin? |- Lock? --|
| 01f4 | Administrator                  | ADMIN  |          |
| 01f5 | Guest                          |        | dis/lock |
| 03e8 | HelpAssistant                  |        | dis/lock |
| 03e9 | lihua                          | ADMIN  | dis/lock |
| 03ea | momo                           | ADMIN  | *BLANK*  |

看到momo 还是blank

题解2

挂载到文件系统,进入E盘,先把隐藏的项目勾上

 然后就能看到隐藏的Application Data了

 看到用户头像,有那么几个

 lihua是一只都存在的,Users目录就看到了lihua这个目录,应该是使用过。而没有momo目录,说明应该是新建的。

最后答案就是momo了

Windows取证——登录过的用户名新建用户名和访问的网址文件墨者学院
记录并分享学习安全的知识点..
09-28 978
Windows取证——登录过的用户名新建用户名和访问的网址文件墨者学院
墨者学院Windows硬盘文件分析取证:连接过的FTP地址(简单复习)
LRedAnt的博客
12-31 740
墨者学院Windows硬盘文件分析取证:连接过的FTP地址(简单复习) 背景描述: XP系统连接过的FTP记录都会以文件的形式保存在本地电脑,默认在C盘下,对于不同的Windows系统,存放的位置可能有差异,但是XP系统会保存在当前用户文件下的历史记录问文件文件格式是“.dat”的文档格式,如果用记事本等打开,内容会出现一定的乱码。 挂载工具:AccessData FTK Imager 靶场实...
CTF-Windows硬盘文件分析取证(访问的网站地址)
asd158923328的博客
08-22 1402
根据题意 进入环境,下载文件,用AccessData FTK Imager挂载 依次打开([root]>Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat,index.dat是一个由Internet Explo...
Windows硬盘文件分析取证(新建用户名)
asd158923328的博客
08-20 425
靶场地址: https://www.mozhe.cn/bug/detail/QkpTbTNyLzJNZFZNaExwVzM3dE1mdz09bW96aGUmozhe 根据题意 进入环境,下载文件,用AccessData FTK Imager挂载镜像 找到SAM文件,因为几乎所有window的用户创建都会在这个文件里 在linux 下使用命令chntpw -l SAM 验证用户得到key ...
墨者 - Windows硬盘文件分析取证(新建用户名)
吃肉唐僧的博客
07-08 588
用ftk挂载镜像 找到SAM文件,因为几乎所有window的用户创建都会在这个文件里 将SAM文件拷贝到kali里,用chntpw 工具来爆破 具体参考链接:https://ywnz.com/linuxjc/90.html 爆出用户名,一个个试就行了 ...
墨者学院_Windows硬盘文件分析取证(登陆用户的用户名)
ierciyuan的博客
09-05 398
墨者学院_Windows硬盘文件分析取证(登陆用户的用户名)
Windows硬盘文件分析取证(恢复删除文件)
asd158923328的博客
08-20 993
靶场地址: https://www.mozhe.cn/bug/detail/Y2dGZkpyczJvYmVSbVQ5MlhZYitRQT09bW96aGUmozhe 根据题意 进入环境,下载文件,用DiskGenius打开,获得数据 MD5解码 验证数据,得到key ...
墨者学院 windows硬盘文件分析取证(新建用户名) 犯罪嫌疑人在使用过电脑之后并
12-15
墨者学院Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机...
在线靶场-墨者-电子数据取证1星-Linux硬盘文件分析取证(MySQL操作记录)
weixin_42079912的博客
07-19 401
打开靶场网页,下载文件,下载文件后是压缩文件,解压后发现是img镜像文件。img文件需要挂载才能读取。于是下载AccessData FTK Imager软件。下载地址:https://download.csdn.net/download/sunwen551/10839742 下载完软件后,点开软件,按照下图步骤: 找到root文件里的.mysql_history文件,在文件中查看数据库更改的...
墨者学院-phpMyAdmin后台文件包含分析溯源
qq_47094508的博客
07-01 1435
首先拿到题目到点击访问访问后使用弱口令进行登陆,如登陆失败开启隐私模式或者更换浏览器账户密码:root root点击sql模块 对sql语句进行一个查询首先查询sql写一句话的权限我们可以看到他的值为空secure-file-priv参数是用来限制LOAD DATA, SELECT ... OUTFILE, and LOAD_FILE()传到哪个指定目录的。 继续查看mysql安装的绝对路径,可以发现他是安装在/var/lib/mysql/ 接下来确认一下mysql权限,可以看到这里是最高权限r
e-zero:管理e01文件。 收集,重复和验证后合并
05-01
电子零 管理e01文件。 收集后合并,重复并验证。
E01镜像查看器
08-09
E01镜像查看工具。
计算机取证习题.doc
06-13
计算机取证习题 Q:计算机中的质量保障(Quality Assurance)主要涉及哪些内容? A:质量保障指一个包含很多规则的文件方面很完备的系统,用以确保分析结果的准确性 和可靠性,包括: 同行评审报告、证据的处理、案件文书以及实验室人员的培训 Q:在计算机取证中选择取证工具时需要注意些什么? A:要根据NIST和NIJ的标准,在使用前要进行验证,在更新好也要进行验证。 Q:Linux文件系统结构中的数据位图(Data Bitmap)的用途是什么?试结合示例加以说明 A:数据位图的每一位对应着一个数据块,用0或者1表示该数据块是否空闲。如1010表示 第一个数据块和第三个数据块不是空闲的,第二个和第四个是空闲的。 Q:ls是Linux系统中常用命令,利用该命令是否能够判断一个指定目录上是否挂载有文件 系统?为什么? A:使用ls命令可以查知该目录根结点i结点编号 Q:什么是监管链?它由谁构建? A:监管链即连续的证据,是按时间顺序排列的文件或书面记录,显示仙子证据的捕获、 保管、控制、传输、分析和处理扥信息。由取证人员构建 Q:专家证人和非专家证人的主要区别是什么?什么样的人能充当
[墨者学院] Windows硬盘文件分析取证(连接过的FTP地址)
0of_blog
06-02 596
犯罪嫌疑人在作案的时候连接过一个FTP服务器,分析硬盘文件并找到这个FTP地址。
[墨者学院] Windows硬盘文件分析取证(登陆用户的用户名)
0of_blog
06-01 476
犯罪嫌疑人在使用电脑时,登录过www.laifudao.com这个网站,分析硬盘文件并找到登录这个网站的用户名
墨者 - Windows硬盘文件分析取证(访问的网站地址)
吃肉唐僧的博客
07-11 857
用ftk打开镜像文件 搜索history,发现是ie5搜索的 找到dat文件,这里说明一下index.dat文件 在微软windows操作系统中,index.dat是一个由Internet Explorer和资源管理器创建的文件。这个文件的功能就像一个数据库,随系统启动。它的功能在于收集个人信息,就像网址,搜索字符串,和最近打开的文件。它的职责就像数据库中的索引。简单来说,当IE开启...
墨者学院Windows硬盘文件分析取证(访问的网站地址)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-17 469
Documents and Setting\管理员名称\Local Settings\内。题目说了是不知名,文本中那么多网站,只有这个是不知名的,所以我们尝试一下,发现正确。1、了解AccessData FTK Imager使用方法;运行 AccessData FTK Imager。数据区右键选择 show text only。2、了解XP访问过的网站存放在什么文件里;将所有数据复制到文本文件进行分析。选择打开image file。
手动打开e01镜像文件并进行计算机取证
热门推荐
不忘初心,护天下安全!
02-28 3万+
每次开始一篇新的关于取证的博客,我必须要不断重复:真实性、关联性、合法性。 1.问题引入 在上电子取证课的时候,老师展示了一道题目,大意就是怀疑张三泄漏公司机密,泄密对象为6张灵猴的图片,现在对他的电脑进行证据固定,制作镜像文件为Disk.e01。经过证据固定及哈希计算,Disk.e01 MD5值为:F3EAAE7667BBB9E42F846408C65A7FBA。 首先我们需要明白一件事情...
.e01, ..., .e0n的分卷压缩包怎么解压
最新发布
kiramario的博客
01-03 3022
文件,这个不是可执行文件,是一个解压缩的开头。安装好bandiZip后,右键这个.exe文件。用BandiZip,这些分卷压缩中还有一个。然后一个个再次解压.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值