- 博客(5)
- 收藏
- 关注
RSS订阅原创 18中科复盘
Q1 内存镜像取证分析 共100分 有嫌疑人在使用Windows系统浏览网页和QQ聊天,并可能存在打印行为,取证人员对该系统进行了内存镜像。基于内存镜像文件(Q1.Windows7_memory.dd),要求: 1 请分析系统中进程的运行情况,给出正在运行的进程数量。(10分) 2 请找出登录系统中的用户的SID号。(10分) 3 ...
2022-05-21 15:49:41
783
1
原创 19美亚个人赛(内存取证)
51、计算机操作系统以及硬件架构是什么imageinfo52、进程“explorer.exe”的PIDpslist > 1.txt53、正确的用户SIDgetsids用户的sid号是长串的那个,用户rid是sid最后的-后数字,。。注意可能有多个用户sid,要看与选项数字对应是否正确。。,用户组的sid号是短短的那个“s-0-0-1(everyone)”54、55、以下哪个远程地址与本地地址建立过TCP连接&端口号netscan 或者取证大师工具集56、注册
2022-05-21 11:58:53
572
原创 19美亚个人赛复盘2(手机取证)
21、iPhone手机的线索自动取证\win.E01\文件分析\手机备份及相关数据 逐一比对22、在WhatsApp上与谁进行了对话跳转到源文件,将整个backup文件(务必完整,格式也别变,苹果手机有加密)导出到电脑,用手机大师打开,打开后易得23、手机联系人手机号whatsapp联系人中24、25、26、27、28、29、30、31、32、33、34、易得35、照片拍摄位置找到照片,右键回到原始目录,右键属性,可以看到36、加密容器的原始文件名回收站删除记录或者仿
2022-05-21 11:11:18
1306
1
原创 19美亚个人赛windows部分(过了很久才复盘,可能有些有出入)
(win.E01均为win2.E01)1、2、哈希值&操作系统当前设备\win.E01易得3、文件系统即分区类型(看c盘的)4、操作系统分区的总容量总容量=设备大小=扇区数x扇区大小(bit 位;byte 字节)5、某文件起始位置取证大师中的物理扇区物理大小即是其起始位置6、安装日期自动取证\win.E01\系统痕迹\系统信息\系统信息 问的是utc,系统是东八区,注意时区转换7、每个扇区多少字节 略8、时区略(注意GMT=UTC)9、计算机主
2022-05-21 10:40:14
607
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人