[墨者学院] Windows硬盘文件分析取证(新建的用户名)

已于 2022-05-30 16:03:14 修改
阅读量1.7k 收藏 3
点赞数 1
分类专栏: # 电子取证 文章标签: 安全 windows
于 2022-05-30 10:34:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czw2479/article/details/125040424
版权

题目

题解1

 他给了一个百度云链接,下载解压后是一个E01文件

先看一眼文件格式

在这里,我们使用AccessDate FTK这个工具挂载image

File -> Image Mounting...

现在挂载到E盘上了 

复制 /WINDOWS/system32/config/SAM 到kali

然后执行 chntpw -l SAM  

┌──(kali㉿kali)-[~/ctf]
└─$ chntpw -l SAM              
chntpw version 1.00 140201, (c) Petter N Hagen
Hive <SAM> name (from header): <\SystemRoot\System32\Config\SAM>
ROOT KEY at offset: 0x001020 * Subkey indexing type is: 666c <lf>
File size 262144 [40000] bytes, containing 4 pages (+ 1 headerpage)
Used for data: 218/15416 blocks/bytes, unused: 8/840 blocks/bytes.

| RID -|---------- Username ------------| Admin? |- Lock? --|
| 01f4 | Administrator                  | ADMIN  |          |
| 01f5 | Guest                          |        | dis/lock |
| 03e8 | HelpAssistant                  |        | dis/lock |
| 03e9 | lihua                          | ADMIN  | dis/lock |
| 03ea | momo                           | ADMIN  | *BLANK*  |

看到momo 还是blank

题解2

挂载到文件系统,进入E盘,先把隐藏的项目勾上

 然后就能看到隐藏的Application Data了

 看到用户头像,有那么几个

 lihua是一只都存在的,Users目录就看到了lihua这个目录,应该是使用过。而没有momo目录,说明应该是新建的。

最后答案就是momo了

零溢出
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Windows硬盘文件分析取证(新建用户名)
asd158923328的博客
08-20 356
靶场地址: https://www.mozhe.cn/bug/detail/QkpTbTNyLzJNZFZNaExwVzM3dE1mdz09bW96aGUmozhe 根据题意 进入环境,下载文件,用AccessData FTK Imager挂载镜像 找到SAM文件,因为几乎所有window的用户创建都会在这个文件里 在linux 下使用命令chntpw -l SAM 验证用户得到key ...
CTF-Windows硬盘文件分析取证(访问的网站地址)
asd158923328的博客
08-22 1310
根据题意 进入环境,下载文件,用AccessData FTK Imager挂载 依次打开([root]>Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat,index.dat是一个由Internet Explo...
墨者 - Windows硬盘文件分析取证(新建用户名)
吃肉唐僧的博客
07-08 508
用ftk挂载镜像 找到SAM文件,因为几乎所有window的用户创建都会在这个文件里 将SAM文件拷贝到kali里,用chntpw 工具来爆破 具体参考链接:https://ywnz.com/linuxjc/90.html 爆出用户名,一个个试就行了 ...
墨者学院_Windows硬盘文件分析取证(登陆用户的用户名)
ierciyuan的博客
09-05 323
墨者学院_Windows硬盘文件分析取证(登陆用户的用户名)
Windows硬盘文件分析取证(恢复删除文件)
asd158923328的博客
08-20 879
靶场地址: https://www.mozhe.cn/bug/detail/Y2dGZkpyczJvYmVSbVQ5MlhZYitRQT09bW96aGUmozhe 根据题意 进入环境,下载文件,用DiskGenius打开,获得数据 MD5解码 验证数据,得到key ...
[墨者学院] Windows硬盘文件分析取证(连接过的FTP地址)
0of_blog
06-02 456
犯罪嫌疑人在作案的时候连接过一个FTP服务器,分析硬盘文件并找到这个FTP地址。
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
最新发布
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
spring IOC实现(墨者革离)
12-12
在这个名为"spring_IOC实现(墨者革离)"的项目中,我们可以通过模拟城门叩问的编剧场景来理解这一概念。 首先,控制反转的基本思想是将对象的创建和依赖关系的管理从应用程序中分离出来,交给一个外部容器(在...
墨者未必黑.pdf
12-26
墨者未必黑.pdf
计算机取证习题.doc
06-13
计算机取证习题 Q:计算机中的质量保障(Quality Assurance)主要涉及哪些内容? A:质量保障指一个包含很多规则的文件方面很完备的系统,用以确保分析结果的准确性 和可靠性,包括: 同行评审报告、证据的处理、案件文书以及实验室人员的培训 Q:在计算机取证中选择取证工具时需要注意些什么? A:要根据NIST和NIJ的标准,在使用前要进行验证,在更新好也要进行验证。 Q:Linux文件系统结构中的数据位图(Data Bitmap)的用途是什么?试结合示例加以说明 A:数据位图的每一位对应着一个数据块,用0或者1表示该数据块是否空闲。如1010表示 第一个数据块和第三个数据块不是空闲的,第二个和第四个是空闲的。 Q:ls是Linux系统中常用命令,利用该命令是否能够判断一个指定目录上是否挂载有文件 系统?为什么? A:使用ls命令可以查知该目录根结点i结点编号 Q:什么是监管链?它由谁构建? A:监管链即连续的证据,是按时间顺序排列的文件或书面记录,显示仙子证据的捕获、 保管、控制、传输、分析和处理扥信息。由取证人员构建 Q:专家证人和非专家证人的主要区别是什么?什么样的人能充当
墨者安全专家 3.7(更新)
11-03
1、墨者革离术 运用了墨者研发的新技术,结合权限管理的功能,有效防止防火墙和杀毒软件尚未识别的安全危险入侵,并在病毒库反应前把系统与安全隐患完全隔离,有效防止木马盗号等。 2、墨者查杀病毒 兼容主流杀毒...
[墨者学院] Windows硬盘文件分析取证(登陆用户的用户名)
0of_blog
06-01 367
犯罪嫌疑人在使用电脑时,登录过www.laifudao.com这个网站,分析硬盘文件并找到登录这个网站的用户名
墨者 - Windows硬盘文件分析取证(访问的网站地址)
吃肉唐僧的博客
07-11 774
用ftk打开镜像文件 搜索history,发现是ie5搜索的 找到dat文件,这里说明一下index.dat文件 在微软windows操作系统中,index.dat是一个由Internet Explorer和资源管理器创建的文件。这个文件的功能就像一个数据库,随系统启动。它的功能在于收集个人信息,就像网址,搜索字符串,和最近打开的文件。它的职责就像数据库中的索引。简单来说,当IE开启...
如何把e01挂载到系统上?
weixin_42577243的博客
01-07 2015
要把 E01 文件挂载到系统上,需要安装第三方软件,比如 EnCase、FTK Imager 或 Autopsy。 安装完软件后,打开软件,选择「文件」>「打开」,然后浏览到 E01 文件所在的位置,选择它并点击「打开」。 软件会自动挂载 E01 文件并显示它的内容。您可以像浏览普通文件一样浏览 E01 文件中的内容。 注意:E01 文件是用来存储磁盘映像的常用格式,它是被设计用来用于数据取...
【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证
蘇小沐的电子数据取证博客
11-23 7320
【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证 主要是Linux镜像仿真(DD、E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的”磁盘占用“,导致无法成功仿真的问题!—【suy】 文章目录【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证一、FTK Imager 挂载镜像1、FTK Imager“可写”模式*"注意一"!!!二、新建VMware虚拟机1、选择客户端镜像系统2、磁盘类型选择“SATA”*"注意二"!!!3、本地磁盘*"注意三"!!!4、
Linux系统取证学习笔记
xlsj雪松的博客
08-05 2435
根据取证工具的功能,取证工具分为三大类 : 第一类是实时响应工具 , 第二类是取证复制工具 , 第三类是取证分析工具。 根据取证工具的用途, 取证工具分为三大类:第一类是磁盘文件取证复制工具, 第二类是内存文件取证工具,第三类是取证分析工具。 1 磁盘取证 在计算机的取证领域中,取证人员在取证调查的整个过程中证明证据媒体没有在任何方面被篡改是至关重要的。其中一种方法是对原始的证据...
【镜像取证篇】常见镜像文件类型
蘇小沐的电子数据取证博客
09-06 4319
【镜像取证篇】常见镜像文件类型 ​ 人生若都如镜像–【suy】 文章目录【镜像取证篇】常见镜像文件类型常见镜像文件类型 常见镜像文件类型 序号 镜像后缀名 镜像文件类型 备注 1 .aff 高级取证格式文件 AFF 2 .dd、.001、.raw、.bin 原始镜像文件 RAW 3 .dmg DMG镜像文件 DMG 4 .e01、.ex01 Encase镜像文件(EWF、EWF2) EWF 5 .gho GHOSTE镜像文件 GHO 6 .img、.dvd Clone
墨者学院 windows硬盘文件分析取证(新建用户名) 犯罪嫌疑人在使用过电脑之后并
12-15
墨者学院Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机进行分析取证时,我们首先需要新建一个用户名新建用户名的目的是为了保护我们操作的隐私和安全,以免意外地影响现有的用户设置或对系统产生不可逆的影响。这个新建用户名仅用于分析取证过程。 一旦新建用户名,我们可以开始进行分析取证工作。首先,我们会使用专业的取证软件对硬盘进行扫描,以找到潜在的关键文件和目录。通过恢复已删除的文件和检测隐藏的文件,我们可以获取更全面的信息。 接着,我们会对文件进行深入的分析。通过文件的创建时间、修改时间、访问记录等元数据信息,我们可以了解文件的活动轨迹。此外,我们还会查找关键词、犯罪工具、恶意软件等可能存在的证据。 在整个过程中,需要确保对取证工作的记录和操作都能被完整地保存下来,以确保后续的法律程序和证据呈现的可靠性。 综上所述,墨者学院Windows硬盘文件分析取证可以帮助调查人员揭示犯罪嫌疑人的行为痕迹和相关证据,而新建用户名则是为了保护我们操作的隐私和安全。通过有效的电脑取证工作,我们能够为正义的伸张提供有力的证据支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值