《Windows取证分析》

最新推荐文章于 2023-03-26 22:28:13 发布
最新推荐文章于 2023-03-26 22:28:13 发布
阅读量5.3k 收藏 9
点赞数
分类专栏: Books 文章标签: windows microsoft 存储 文档 扩展 powerpoint
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kanone0seele/article/details/5687969
版权
RT
摘要由CSDN通过智能技术生成

 

 

 

 

工具网站 http://www.ntsecurity.nu/toolbox/

 

命令行历史 :命令行模式 CMD 中使 doskey /history 命令可以显示前面输入的命令情况(例如使用 cls 命令清屏之后可以用此察看之前的命令),但是如果是关闭 CMD 之后运行则无法查到关闭之前输入的命令。

 

共享 :在系统注册表的 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Shares

(针对 Windows XP 系统,高于此版本的可能有些变化)可以获取到系统的共享信息。

 

清除页面交换文件 Windows 使用虚拟内存架构,一些进程使用的内存内容会被交换出去,位于交换文件中。系统关闭时,交换文件中的信息会在硬盘上保持不变,其中可能会有解密的密码,聊天会话信息和其他字符串信息。如果关机时清除了交换文件则这些潜在的信息就很难被提取出来。在注册表中的 ClearPageFileAtShutdown 键值可以起到这个作用。以下引用自 Microsoft 知识库( http://support.microsoft.com/kb/314834/en-us/ ):

  1. Start Registry Editor (Regedt32.exe).
  2. Change the data value of the ClearPageFileAtShutdown value in the following registry key to a value of 1 :

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Memory Management

If the value does not exist, add the following value:

Value Name: ClearPageFileAtShutdown
Value Type: REG_DWORD
Value: 1

This change does not take effect until you restart the computer.

 

禁用文件最后访问时间的修改 Windows 可以禁用文件最后访问时间的修改,这对于那些使用频繁的文件服务器有提高系统性能的好处,但对于日常使用的电脑则作用不大。以下引用自 Microsoft 知识库( http://support.microsoft.com/default.aspx?scid=kb;en-us;555041 ):

 

Created HKLM/System/CurrentControlSet/Control/FileSystem/Disablelastaccess and set to 1 .
            This will disable the last access information written to each file as it is          accessed. The result is faster hard disk file read-access. 

 

这只针对 Windows XP Windows 2003 系统,而在 Windows Vista 系统中这个键值是默认激活的。

 

 

 

Windos XP 程序预读机制 :在 %WINDIR%/Prefetch 目录中有后缀为 .pf 的文件,其中存有程序的有关应用的信息。相同的程序名称会覆盖已有的 .pf 文件,这点可以通过文件属性中修改时间的变化看出来。

 

崩溃转储 :当计算机以外停止或者出现较为严重的错误, XP 时代最常见的就是蓝屏了( Blus Screen of Death ,简称 BSoD ),这时候系统就会自动冻结,并且进行崩溃转储。崩溃转储有三种类型: 小存储器转储 ,核心存储器转储,以及完全存储器转储。相关信息如下:

  • Windows 2000 Professional :小存储器转储 (64 KB)
  • Windows 2000 Server :完全存储器转储
  • Windows 2000 Advanced Server :完全存储器转储
  • Windows XP Professional Home Edition ):小存储器转储 (64 KB)
  • Windows Server 2003 (所有版本):完全存储器转储

详细信息参见 http://support.microsoft.com/kb/254649

注意 完全存储器转储 选项不适用于运行 32 位操作系统和具有 2 GB 或更多 RAM 的计算机。详情参见 http://support.microsoft.com/kb/274598

另在 http://support.microsoft.com/kb/307973 提供了如何在 Windows 中配置系统和恢复选项。

但是当不管以哪种途径设置成完全存储器转储之后,一旦计算机崩溃,在转储文件中就可能会包含一些敏感信息,例如口令,账号等。

如果已经把系统设置成了完全存储器转储,可以通过一些设置就可以根据需要随时生成内存转储,详情参见 http://support.microsoft.com/kb/244139

 

最低0.47元/天 解锁文章
kanone0seele
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows取证——ShellBags
记录并分享学习安全的知识点..
01-05 997
Windows取证——ShellBags
19美亚个人赛电子取证
孤勇傻兔的博客
10-19 1404
选A 系统信息 这里就是指系统分区 容量=扇区数*512
Windows取证实验
qq_63855830的博客
03-26 2066
Windows取证实验
Windows传统取证的一些笔记
wha1e的博客
06-13 2453
前置技能基本大同小异,互联网上资源很多。甚至说不明白这些知识随便翻,一直翻下去也可能找到答案,但是了解这些基本知识可以节省很多时间,提高命中率。
Collect-MemoryDump:一款针对Windows的数字取证与事件应急响应工具
小王的储物间
01-29 793
1、开始获取内存之前检查主机名和物理内存大小;2、检查是否有足够的可用磁盘空间来保存内存转储文件;3、支持收集原始内存转储 w/ Dumplt;4、从Magnet Idea Lab收集Microsoft Crash Dump w/DumpIt;5、支持检查加密磁盘数据;6、支持收集BitLocker恢复密钥;7、支持检查已安装的终端安全工具(反病毒和EDR产品);8、支持枚举目标主机中的所有必要信息,以丰富DFIR工作流;9、支持创建受密码保护的安全存档容器;
最强大的windows取证工具
01-09
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
Windows取证分析.pdf
01-07
Windows取证分析》的写作源于实战的需要,主要关注Windows取证分析这一技术领域,主要讨论了Windows统开机和关机的不同时刻对证据数据收集和分析的技术问题,重点阐述了Windows内存分析、注册表分析、文件分析、可...
Windows取证分析
01-22
本书主要讨论了Windows系统开机和关机的不同时刻对证据数据收集和分析的技术问题,重点阐述了Windows内存分析、注册表分析、...也可为政府和公司的调查人员、司法官员及对Windows取证分析感兴趣的读者提供参考和帮助。
Windows取证分析Windows Forensic Analysis)随书工具盘
05-06
Windows 取证分析——dvd工具包,提供大量利用Perl脚本编写的程序。
windows取证
02-21
取证分析,从日志,内存等方面去分析当一个机器被入侵后,会出现一些什么情况。还有涉及到注册表,以及一些文件夹里面存在的历史记录等等。还有浏览器浏览记录
计算机取证调查指南
08-20
讲计算机取证,和司法取证,安全圈朋友们可以看看,就像应该提前熟悉刑法一样
Windows DFIR数字取证与事件响应
最新发布
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全... - 对受影响的系统进行详细的取证分析,包括系统日志、内存转储、网络流量等。 - 确定攻击者的入侵途径、在系统中的活动以
windows调查取证工具推荐
weixin_30920091的博客
02-21 761
TIP 1 - Create your credential :D net user hacker hacker /add net localgroup administrators hacker /add Some info about your user net user /dom net user /domain TIP 2 - Retail Credent...
墨者 - Windows硬盘文件分析取证(访问的网站地址)
吃肉唐僧的博客
07-11 777
用ftk打开镜像文件 搜索history,发现是ie5搜索的 找到dat文件,这里说明一下index.dat文件 在微软windows操作系统中,index.dat是一个由Internet Explorer和资源管理器创建的文件。这个文件的功能就像一个数据库,随系统启动。它的功能在于收集个人信息,就像网址,搜索字符串,和最近打开的文件。它的职责就像数据库中的索引。简单来说,当IE开启...
Windows环境下的易失性数据取证
NFMSR的博客
07-13 2715
易失性数据取证定义:开机状态下,一个目标系统包含能够反映系统状态的关键而短暂的信息。范围: 恶意进程的内存空间,口令,IP地址,安全事件日志条目。概念:事件响应取证,实时响应取证总体思想:建立实时响应工具包确定和记录工具的依赖性:将工具装载到像Dependency Walker或者PEView之中工具标注:修改文件名,用十六进制编辑器将文字加入到文件头领域,这样不会影响工具的使用。同时对每个工具的...
22款受欢迎的计算机取证工具
农村的我的专栏
10-16 6733
原文转载于:http://www.freebuf.com/sectool/136921.html 计算机取证是与计算机和网络犯罪有关的,一门非常重要的计算机学科分支。在早前,计算机只用于生成数据,但现在已扩展到与数字数据相关的所有设备。计算机取证的目标是通过使用数字资料的证据来进行犯罪调查,以找出网络相关罪行的主要责任人。 为了更好的用于研究和调查,开发人员创建了多样的计算机取证工具。
Windows 系统安全事件日志取证工具:Logon Tracer
y@n1n的博客
04-09 4657
一.前言 LogonTracer是通过可视化和分析Windows Active Directory事件日志来调查恶意登录的工具。此工具将在登录相关事件中找到的主机名(或IP地址)和帐户名相关联,并将其显示为图形。这样,可以查看在哪个帐户中尝试登录以及使用哪个主机。(用于可视化分析恶意登录Windows系统的安全日志取证工具,以加强Windows系统服务器的安全。) 相关事件ID: 4624:成功登...
Windows取证——CHNTPW工具使用(可更改 Windows 密码)
记录并分享学习安全的知识点..
09-28 1234
chntpw是一个Kali Linux工具,可用于编辑Windows注册表,重置用户密码,将用户提升为管理员,以及其他几个有用的选项。使当您不知道Windows密码是什么时,可以利用chntpw对其修改。用户数据库文件中的某些信息和更改用户密码,通常位于 Windows 文件系统上的 \WINDOWS\system32\config\SAM。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值