春苗集中营重点记录(取证大师)

最新推荐文章于 2024-01-23 22:55:10 发布
最新推荐文章于 2024-01-23 22:55:10 发布
阅读量682 收藏 8
点赞数 1
分类专栏: 美亚柏科 文章标签: 取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73605862/article/details/132612965
版权

版本
1.基本信息:产品名称+当前版本+当前build版本+最新服务包
密码
1.将密码的信息账户全部先记录下来
2.将需要密码的地方记录下来
取证大师表现
1.浅色的是被恢复的分区
开机自运行软件
1.主要注意通讯软件
BitLocker
1.用处:磁盘加密
2.解密:需要恢复密钥
3.步骤:导出密钥文件,右键已经被锁的磁盘,然后可以导入或者输入
EFS

1.EFS(Encrypting File System,加密文件系统)是Windows操作系统中基于NTFS(New Technology File System,新技术文件系统)实现对文件进行加密与解密服务的一项技术。
2.密钥导入要是整个电脑的文件
3.后缀名有:pfx

可疑签名文件
1.后缀不匹配的文件

文件系统介绍
在这里插入图片描述

文件恢复
1.在这里插入图片描述
2.FAT32高级恢复:点击磁盘,右键,选择FAT32高级恢复。

3.签名恢复,最后做(属于终极大招)
在这里插入图片描述
扫描范围:
扫描范围:字节扫描更加精确,扇区扫描没那么精确(字节=扇区*512)

记住恢复完之后,都需要再跑一次自动取证
在这里插入图片描述

数据搜索
1.实时搜索:针对文件名
2.原始数据搜索:可以搜索文件内容(但是对于加密的压缩包,需要解密才能搜索到内容,不然是可以直接搜索压缩包的内容)

加密
1.EFS加密:
win7之前加密文字变绿色,win7之后图标右上方有小锁。
解密:

  • 取证大师:后缀名为pfs的用户个人证书导出,然后再右键文件点击EFS,再点击密钥导入。
  • 仿真:在运行中输入certmgr.msc,然后点击证书,点击myuser,再点击所有文件,再点击导出。

2.BitLocker加密:
磁盘有一个黄色的锁
解密:

  • 取证大师:直接找到密钥
  • 内存镜像:用内存镜像解析工具查看是否含有
  • 也能在txt文件里面

3.加密软件
如:TrueCrypt或者VeraCrypt
TC:加密容器的使用痕迹,可以查找到加密文件,然后解开。

22的卡卡
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
计算机内存取证之BitLocker恢复密钥提取还原
柳似烟的专栏
06-01 3122
在计算机取证界,经常遇到嫌疑人的目标电脑的磁盘是经过BitLocker加密的,此时通常的做法是通过某种手段(WinPmem、DumpIt、DMA PCILeech,ColdBoot等)取得目标机内存镜像,同时对目标机的磁盘做一个磁盘镜像(WinFE,WinHex,FTKImage等)。而后,对获取的内存镜像分析(MemProcFS等工具)取得BitLocker的VMK密钥,然后通过VMK密钥解密目标磁盘镜像(取证大师等工具),进而获取磁盘中的文件
春苗人教版PEP小学英语五年级上册点读软件 v2016.zip
07-12
春苗人教版PEP小学英语五年级上册点读软件是一款简单好用的教育教学软件。软件根据人教版教材编写,完全跟教材课本同步,功能强大,可以实现看、听、读等诸多功能,还据有丰富多彩的教学游戏,激发孩子的学习热情。...
最强大的windows取证工具
01-09
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
闲记Windows 取证艺术
weixin_30731305的博客
06-08 250
是不是很好奇,别人能够在你电脑上查看你运行程序历史,文档使用痕迹,浏览器浏览历史种种历史痕迹,没错,通过简单的系统了解以及配合相对应的工具,这一切就是这么的简单,看起来很高大上的操作,其实是可以通过多次操作到心中有数,下面简单举几个列子,仅是一个学习的思路,认识上存在这么个东西,如果有了好奇心,那么可以通过各大网站论坛去扩展学习。 拓展——取证基本流程 【1】确定电脑罪...
X-WaysX.rar电子取证神器
04-05
取证神器X-Ways最新完整版,免加密狗 十分好用的上万元取证神器永久免费版 一工具搞定美亚杯
禁止加密文件系统
软体疯子专栏
09-15 1383
 加密文件系统(EFS,Encrypting File System)功能在Windows 2000中被介绍,并且在Windows XP Professional同样可用。这个数据保护和数据恢复功能并不需要其它额外的设置,因为它在Windows XP Professional中是默认激活的。  尽管这个功能很容易使用,管理员经常关心如何使用加密文件系统(EFS),这些关注主要与恢复加密文件的能
中学家访记录内容.doc
10-03
通过对学生XX、马壮壮、曹春苗和陈鹏飞四位学生的家访记录,我们可以提炼出以下几个关键知识点: 1. 学习自觉性和态度:家访中提到的学生普遍存在的问题是学习自觉性不足,对待作业的态度马虎,导致成绩不理想。如...
初中生家访记录文稿内容.doc
10-10
2. 自理能力和学习态度:学生具备一定的自理能力,如春苗帮助料理家务,但学习态度不端正是个问题。自理能力强的学生在学习上也需要得到支持,改善学习环境,提高学习专注度。 3. 家庭教育的重要性:家长的态度和...
军队士气模型、影响因素及其激励机制研究_李春苗.caj
01-06
军队士气模型、影响因素及其激励机制研究_李春苗.caj
夏令营结营仪式营长发言稿.pdf
12-05
【夏令营结营仪式营长发言稿】的文档主要讲述了为期八天的夏令营活动及其中的教育意义和孩子们的成长经历。这篇发言稿强调了活动组织者的感谢、孩子们的收获以及志愿者的辛勤付出。 首先,发言稿提及了家长们的信任...
恢复重装系统之后的EFS加密文件
02-28
恢复重装系统之后的EFS加密文件 完成不可能的任务
cipher批处理查找EFS加密文件并一键解密命令
02-27
cipher批处理查找EFS加密文件并一键解密命令,比通过属性解密要快,要方便很多。
EFS解密工具Advanced EFS Data Recovery V4.30注册版
06-21
EFS解密工具Advanced EFS Data Recovery V4.30注册版
重装系统后原加密EFS文件解密方法
01-07
重装系统后,原系统下用Windows本身的加密功能对文件加了密,重装系统后很难打开,此方法只是可能恢复出加密的东西,只做参考,出现其他问题本人概不负责。数据无价,请谨慎操作!
案例分析1_实验报告.docx
06-15
一、实验项目名称 案例分析练习题1 二、实验目的 1、熟悉取证大师的使用 2、使用取证大师加载磁盘镜像“案例分析练习.E01”,并对该镜像进行分析。 要求寻找下列问题: 1)新建案例,命名为“计算机取证实验案例分析”,并填写调查人员姓名,添加设备镜像“案例分析练习.E01” 。 2)分析该案例中相关操作系统信息操作系统版本? 3)系统安装时间? 4)最后一次正常关机时间? 5)嫌疑人登录Windows 的用户名为? 6)网卡的IP 地址为? 7)该对象曾在IE 浏览器输入哪些网址? 8)该案例中Windows 最近运行记录包括哪些? 9)该对象最近访问过哪些文档? 10)在现场勘查中搜查到里对象的一个U 盘,设备名称为“SMI USB DISK USB Device”,请确认对象是否在该计算机中使用过,如果有,请找出其最后一次使用该设备的时间? 11)通过取证分析,请确认对象是否删除过“201005210.jpg”图片,如果有请找出其具体的删除时间? 12)该案例中网络映射的地址为? 13)快速找出案例中被删除的jpg 和txt 文件数? 14)该对象曾经使用了什么邮件客户端进行收发邮件? 15)通过技术分析,可以得知对象计算机曾经用过哪些类型的反取证技术手段? 16)分析出案例中对象恶意修改过扩展名的jpg 图片有几张?分别为? 17)该案例镜像文件的md5 值为? 18)该案例中文件“4.JPG”的md5 值为?
windows硬盘数据恢复工具_数据恢复软件评测,数据恢复软件哪个效率高?
weixin_39917211的博客
11-09 445
好用的数据恢复软件有哪些?很多小伙伴都是选择自己动手完成数据恢复,其实经过测试后,你会发现绝大多数的数据恢复软件也都可以帮助你,或多或少地恢复被删除的文件的。长篇警告!本篇内容有两千多字,主要分享数据恢复原理相关知识,以及十款好用的数据恢复软件恢复工具推荐。言归正传,一些免费的数据恢复软件可帮助你“取消删除”或者恢复电脑中的文件,而那些你已经删除而且最近从回收站清空的文件仍然存在硬盘上(或介质卡或...
取证小TIPS
wuwuliuliu0524的博客
04-30 1083
1、SID 安全标识符 SecurityIdentifier 是标识用户、组和计算机帐户的唯一的号码 查看自己的SID,win+R,输入whoami /user S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx 挺长的还,最后一位是RID 应用调用SID有其用户 eg.请找出登录系统中的用户的SID号,就是下面这个喽 2、.dd内存镜像取证时,用volatility和美亚-工具集-内存镜像解析工具 volatility.
CTF必备取证神器(volatility、PTF、取证大师、Magnet AXIOM)
热门推荐
Love&Share
10-22 3万+
在CTF比赛中好的工具往往能让解题变得顺利,在取证题中更是如此,神器让flag无处可藏 接下来会分别介绍几个取证工具安装和使用 volatility PTF 取证大师 Magnet AXIOM volatility Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态 vol 存在多个版本 exe封装版 python2版 https://github.com/volatilityfoundation/volatil
【加解密篇】电子数据取证分析之特殊的自加密BitLocker解密
最新发布
蘇小沐的电子数据取证博客
01-23 1427
公众号回复关键词【加解密】自动获取资源合集【蘇小沐】

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值