小谢取证-CSDN博客

原创 OpenClaw在警务当中的应用打造你的警虾！（附详细搭建流程）

(2)点击进行下载，直接选择虚拟机的好处是不用使用Vmware创建虚拟机，直接就可使用。上述的应用场景可以是在提取好APK之后，我们就可以在飞书上直接发送apk文件给他，让他直接返回结果。上述的应用场景可以是去到现场获得的域名或者IP可以直接在飞书群里@机器人，即可输出结果，这样每个单位来个机器人的人也能提高工作效率。(3)下载完虚拟机的压缩包之后进行解压，解压完成直接运行.vmx的文件，即可启动虚拟机。（6）接下来配置应用权限，开通权限当中的消息与群组的应用身份权限和用户身份权限要都开通。

2026-03-14 17:56:17 99

原创完全免费且步骤巨详细搭建OpenClaw!龙虾养起!!! [特殊字符]

本文介绍了开源AI智能体平台OpenClaw的免费搭建方法。OpenClaw是一款能执行文件操作、邮件发送等任务的AI助手，因其龙虾图标而被称为"养龙虾"。文章详细说明了三步安装流程：1）通过CherryStudio安装必要环境；2）获取阿里云百炼API密钥配置大模型；3）安装Node.js后部署OpenClaw。新用户可获得90天免费额度，安装完成后可选择qwen-turbo模型启动使用。文末提醒用户注意该平台存在的安全漏洞，建议在闲置设备上体验。

2026-03-10 11:51:13 459

原创 APP逆向基础

在Android系统中，SharedPreferences中的信息以XML文件的形式保存在/data/data/PACKAGE_NAME/shared_prefs目录下。-- 创建(onCreate)、开始(onStart)、恢复(onResume)、暂停(onPause)、停止(onStop)、重启(onRestart)、销毁(onDestory)2、回传数据 -- 通讯录(关键) -- 域名|邮箱|电话号码 -- Web数据 || 特殊无Web -- 可能是熟人作案|针对性作案。

2026-01-30 17:44:45 910

原创流量常见分析技战法详解

然后统计显示出的数据包中不同的目标端口数量，就能大致确定服务器开放的端口数量。的意思是，只能提交二进制，而且只能提交一个二进制，如果提交文件的话，只能提交一个文件后台接收参数只能有一个，而且只能是流。的隐蔽性，可以用来对目标网站进行渗透获取目标系统的文件系统，对目标系统的文件系统进行管理同时也可以对获取系统的。恶意脚本上传到网站上可以直接打开，它有自己的服务端程序，但是这个服务端程序却极小，只有一句代码，因此保证了。的数据包，这类数据包是服务器对扫描请求的回应，表示相应端口可能开放。

2026-01-21 17:50:33 458

原创电子数据取证之使用Trae进行流量包解析

点击上方蓝字“小谢取证”一起玩耍近两期关于使用Trae进行电子数据取证受到大家的欢迎。感谢大佬们的点赞支持。这期还是这个Trae的系列。AI虚拟机（更新流量包解析插件）已经帮大家打包好，虚拟机链接见文末。搭建的步骤可以参考大佬的文章A也感谢开发Wire mcp的作者所提供工具：先来上一波小谢创作的手工解析的详细WP，再使用Trae进行对比一下，效果如何。流量检材.pcap填空题51.请分析流量检材，该数据流量包的sha1值后6位？（答案格式：字母大写）流量分析参考答案： 5c577f参考解

2026-01-09 19:25:32 1015

原创电子数据取证之使用Trae进行网站取证

我们在拿到服务器镜像之后经常要面临的问题是网站重构，特别是网站访问不成功和找不到网站后台的地址、包括网站后台密码的绕过及可能在访问某些网页时会面临限制访问的问题。但是这些问题都可以将网站源码给到Trae来进行解决。

2025-12-26 18:25:07 383

原创电子数据取证之使用Trae进行APP逆向分析

也就是利用jadx的工具对APP进行反编译后，就可以使用自然语言与Trae进行交互，就可以让Trae帮你读懂里面的代码。不仅如此，还可以定位加密函数，但有些加密存储在本地库文件中的，无法直接从Java代码中直接获取，就可以利用ida的mcp工具进行查看。请你使用mcp工具帮我分析jadx现在打开的apk文件的包名是什么。选择已经在本地配置好的mcp。

2025-12-24 18:21:28 561

原创 2025数证杯初赛参考解题思路（详细版）

（按照案件数量的降序输出答案，答案格式为：40/30/20/10）（答案格式为:城市,案件总数量，案件总数量的统计【如相同城市案件时间10月1号8点，10月2号7点，10月3号6点，总数量为2】，例如：南京,110）（逗号为英文输入格式。（答案格式：/root/www/xxx/xxx）答案：/data/k8s_data/default/dujiaoka 根据pvc的配置文件，发现配置的文件夹名称是 dujiaoka 根据nfs的配置路径是 /data/k8s_data/ default。

2025-11-03 17:43:47 2000

原创使用Trae配置MySQL MCP智能体进行数据库

利用Trae当中Mysql的MCP智能体帮我们在电子数据取证比赛或者是在实际AJ的实战当中分析数据库当中的数据，只要我们问它问题，他就将我们想要的结果输出给我们。

2025-09-28 17:22:55 4281 4

原创使用Trae创建电子数据取证智能体

二者最关键的差异在于 “自主性”：当你交给它一个复杂需求（比如之前提到的预订机票和酒店），无需你逐步骤指导，它会主动将这个大目标拆解为一系列具体行动 —— 先确认你的出行时间，接着筛选出符合预算的航班，再对比酒店是否靠近你的办事地点，最后甚至能自动填写好所有预订信息。比如你问 “明天厦门天气怎么样”，它能告诉你天气情况，但要是说 “帮我订下周去厦门的机票和酒店”，它顶多给你列几个订票链接，剩下的查航班、比价格、填信息，还得你自己动手。常用“我理解您的需求”、“我们来一起看看这段代码”、“简单来说，就像。

2025-09-25 18:38:59 752

原创数证杯顺心借JAVA网站重构详细版（服务器取证基础考点+检材+题目+重构视频）

点击上方蓝字“小谢取证”一起玩耍## 数证杯初赛服务器取证先看一下所提供的检材是2个镜像文件。如果提供的检材是两个镜像文件要注意对这两个镜像的处理方式是仿真的时候是站库分离进行分别仿真还是system盘和data盘同时挂载仿真。那么如何判断两个镜像是要同时仿真还是分别仿真？那这个时候就可以用到介质加载工具，如X-ways对两个镜像同时进行加载，查看是否有完整的Linux目录。可以看到system镜像文件有完整的“Linux目录”。也可以看到data镜像有完整的“Linux目录”

2025-09-15 21:09:06 1435

原创国产操作系统之鸿蒙操作系统（PC端）的安装与使用

应用商店安装‌：鸿蒙官方PC系统已内置应用商店，用户可在任务栏点击应用商店图标，搜索并直接下载安装所需应用。除此之外，还需要选择“Windows虚拟机监控程序平台”和“虚拟机平台”，再点确定。“Hyper-v”开启的方法，在“添加或删除程序”处点击“程序和功能”。选择“Do not import settings”后再点击“OK”。选择“More Actions”-“Device Manager”后再点击“同意”。在镜像选择处选择“2in1”，点击下载，再点击“Next”。点击同意后会提示有镜像可用。

2025-09-12 17:44:48 14039

原创电子数据取证学习入门新手资源

**\*3.多做笔记、多总结、多写WP、多做一题多解（特别新手）：\****推荐使用云笔记的工具，Typora本地编辑器进行编辑，可以对做题的思路及过程进行记录截图。做完题目后，大佬们会分享很多工具的使用方法，取证比赛的题解，每个人的思路都不同，多看看大佬们的思路会学到很多。如张ZhangZ在25年的3月3日的“电子取证wiki”的“电子取证快速入门及避雷”文章中对电子数据取证的取证工具包、取证知识学习、重要比赛、赛题训练等学习资源进行了总结汇总，本文的一些资源推荐大多也引用到该文章里头的资源。

2025-08-18 21:11:44 1282

原创实战案例分享:微信小程序抓包（简单详细易上手版）

这个时候是全局抓包也就是你电脑上所有的流量包，虽然数据包比较多，但只需关注一下最新的流量包，再对应一下响应包里的内容与小程序界面的内容对应即可。7.下载证书文件时要注意将.pem后缀去掉，留下“yakit证书.crt” 直接双击即可安装。打开微信，搜索小程序的名称，直接打开涉案的小程序，在软件界面里查看到最新时间的流量包。4.这边会提示“证书”未配置，我们先点击“启动劫持”按钮即可下载安装证书。需要注意的是你抓包完成后要点击停用，不然你的电脑没法用网络。1.点击软件界面左上角点击系统设置-系统代理。

2025-02-27 17:41:31 1906

原创完全离线部署deepseek并建立本地知识库应用电子数据取证领域

其应用的场景可以是让它训练电子数据取证相关的法律法规，电子数据现场提取的流程规范及鉴定要求，计算机及服务器取证的相关知识点及大比武题解等。当然举一反三，大家可以自己根据自己的需求，新建一个工作区，再喂给他文档资料就可以了。还是比较受到读者的欢迎，但应读者要求：需要这个模型能够训练，能够结合电子数据取证方向且行业内有些数据是不对外公开的，又因为有些机子是没办法连接外网的。

2025-02-07 17:36:14 1385 1

原创 2024美亚杯资格赛程序逆向详解

此次2024年美亚杯资格赛涉及到的程序逆向不是恶意程序，所以可以直接在真机上运行。看了一些解题思路写得不详细，今日再拿起复盘顺便做个记录，素材及软件链接在文末。

2025-01-03 18:28:23 1944

原创 X-ways一把梭2024年美亚杯U盘取证（MFT详解-附工具检材链接）

常见的是标准属性（0x10）、文件名属性（0x30）、数据流属性（0x80）和位图属性（0xB0）等，一个文件记录至少包含0x10和0x30属性。上图中，“3”代表簇流起始簇号的0x02AD0B的3个字节，“2”代表的簇流长度的簇流长度的0x0388的2个字节。4.承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少?6.承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少?

2024-12-30 23:11:44 2754 2

原创 Lovelymem一把梭2024年美亚杯内存取证（Lovelymem软件使用详细步骤+软件+检材链接）

Lovelymem一把梭2024年美亚杯内存取证（Lovelymem软件使用详细步骤+软件+检材链接）

2024-12-25 22:36:37 5625 3

原创历年美亚杯RAID重组解析汇总（附检材-软件）

从历年的美亚杯来看，涉及到RAID重组出现的年份：2017年团体赛（Eric的Linux系统），2018年团体赛（RongkeDatabase 荣科数码数据库服务器），2019年团体赛（Hacker_raid），2020(Cole的NAS镜像，只有一个镜像文件未组RAID 可以直接仿真)和2021均未涉及，2022团体赛（流媒体服务器），2023团体赛（潘志辉的NAS组了RAID）。RAID重组主要是对镜像的处理与仿真，如果仿真不起来的情况下，可以直接读取文件直接看，因为本身Linux系统就是文件。

2024-11-07 18:31:05 2045

原创一文教你学会解析内存镜像（历年美亚杯内存镜像检材汇总-附相关命令软件检材下载链接）

(1分) A. 31.12.82.1 B. 40.10.261.1 C. 218.112.79.1 D. 218.112.172.8 E. 未连接/未连接到任何外部IP.(1分) A. mmlang.dll B. Normal.dll C. sensapi.dll D. Secu.dll E. WINNS.dll.显示过程ID，该父进程ID（PPID），线程的数目，把手的数目，日期时间时，过程开始和退出。(1分) A. E:/ B. F:/ C. G:/ D. Z:/ E. 未连接/未连接到任何外部IP.

2024-11-05 20:55:22 1592 3

原创 2023年美亚杯资格赛实操题解(非官方-附镜像)

1、参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉所用手机移动运营商公司的名称 What is the name of the telecommunication company that Li Dahui's mobile phone is using. 提示:请所有字母都用大写英文 Tips: Please answer in capital letters. (1分)

2024-10-21 20:48:46 4270

原创第八届美亚杯团队赛--王景浩苹果计算机镜像取证（巧用X-Ways解题）

第八届美亚杯团队赛--王景浩苹果计算机镜像取证（巧用X-Ways解题）涉及苹果计算机解析与日志取证

2024-09-04 20:23:58 2434

原创灵魂四问：什么是CDN？怎么判断CDN？如何溯源CDN加速后的真实IP？如何验证？

本文中，从“什么是CDN。如何判断CDN。怎么溯源CDN加速后的真实IP以及如何验证是否是真实IP。”这四个问题进行阐述。

2024-08-03 17:18:36 2134 2

原创真实案例分享：如何利用OSS固定阿里云服务器镜像？

在没有进行DZ的情况下，如何利用OSS固定阿里云服务器镜像？

2024-08-02 17:09:00 1528

原创真实案例分享:利用开源情报溯源CDN加速后的IP

在线 DNS 记录查询 https://x.threatbook.com/ https://dnsdb.io/zh-cn/ https://dnsdumpster.com/ https://viewdns.info/ https://www.robtex.com/dns-lookup/ https://www.virustotal.com/gui/home/search https://passivedns.mnemonic.no/原因是该网站域名的访问端口是2096，所以可以断定该IP为真实IP。

2024-08-02 16:52:43 1641

m0_37867238的博客