美亚柏科
文章平均质量分 62
22的卡卡
本人github:https://github.com/kakaandhanhan/cybersecurity_knowledge_book-gitbook.22kaka.fun
web学习的gitbook:http://gitbook.22kaka.fun
本人的gitbook和github都是开源的,并且上面还有一些工具和脚本也可以免费下载,希望大家可以给我的gitbook项目点亮星星或者follow me 。你的支持就是我最大的动力
展开
-
美亚杯赛前清单
1.MFT文件(Windows取证之MFT - FreeBuf网络安全行业门户)概念:它是包含了NTFS卷中所有文件信息的数据库,NTFS使用MFT条目定义它们对应的文件,有关文件的所有信息,比如大小、时间、权限等都存在MFT条目中,或者由MFT条目描述存储在MFT外部的空间中。数据恢复:假如现在有100个MFT条目和一个文件X,现在删除文件X并立即创建500个以上文件,那么文件X的MFT条目将会被覆盖。虽然文件的内容可能存在与硬盘上,但包含名称、元数据等的MFT条目将被覆盖。原创 2023-11-11 21:50:11 · 154 阅读 · 0 评论 -
内存取证笔记
2.进程解析(pslist,pstree,psscan:列出转储时运行的进程的纤细信息,显示过程ID,父进程(PPID),线程数目,把手数目,日期时间。版本过高的话,可以用小程序里面的内存镜像解析工具专业版,导入脚本。建议的操作系统文件也很重要,从第一个开始尝试,如果括号里面有sugest 什么,选括号里面的)如果无法解析,则使用volatility,前提是直到操作的版本。同样也是扫描进程的,但是是以进程树的形式出现的。PID,PPID,父进程,子进程,常考!:mem,vmem,dmp之类的。原创 2023-10-10 20:57:05 · 164 阅读 · 0 评论 -
Android命令行工具adb
android 基于linux内核,所以linux部分shell对于安卓设备同样适用。常用shell命令:mount 挂载chmod 授权ls 列出目录df 查看剩余存储空间ps 查看进程cat 查看,创建,合并文件若显示device,表示手机属于正常连接状态若显示offline,可能是没有点击允许,或者是手机处于异常状态,重启手机若为空,则表示未连接手机,或者手机处于充电模式。结束adb服务启动adb服务。原创 2023-09-16 19:20:20 · 137 阅读 · 0 评论 -
春苗集训营(手机取证)
data/data:应用的用户文件存储位置,一般为设置文件,数据库,临时缓存文件,进入后以每个软件的包名来命名,比如微信是com.tencent.mm。2.安卓锁屏密码:在\data\system\gesture.key(图形密码),在\data\system\password.key(数字及密码)口令锁:\data\system\password.key \data\system\gatekeeper.password.key。/data/app:用户自己的安装的应用程序放在这个目录下。原创 2023-09-15 10:39:23 · 118 阅读 · 0 评论 -
春苗集中营重点记录(取证大师)
1.EFS(Encrypting File System,加密文件系统)是Windows操作系统中基于NTFS(New Technology File System,新技术文件系统)实现对文件进行加密与解密服务的一项技术。2.原始数据搜索:可以搜索文件内容(但是对于加密的压缩包,需要解密才能搜索到内容,不然是可以直接搜索压缩包的内容)3.步骤:导出密钥文件,右键已经被锁的磁盘,然后可以导入或者输入。TC:加密容器的使用痕迹,可以查找到加密文件,然后解开。1.浅色的是被恢复的分区。2.解密:需要恢复密钥。原创 2023-09-03 18:03:06 · 529 阅读 · 2 评论 -
春苗训练营--存储介质取证2笔记
扫码,人脸识别之类的都是生成散列值然后进行比对。查看字节的方式,点击磁盘,右键点击格式化,查看磁盘分配单元大小。散列值:校验数据的完整性,原始性。可以对物理磁盘,文件,逻辑分区进行校验。一个扇区一般都是512byte(字节)CMD5网站只有查找功能,不能计算。但是4k硬盘就是4096个字节。4.硬盘结构与存储机制。原创 2023-07-15 11:22:53 · 80 阅读 · 0 评论 -
春苗培训营笔记--存储介质取证
虚拟容器加密:比如看到的很大的txt,就是虚拟容器的文件。只要未被覆盖,就可以恢复(上网记录,文件记录,聊天记录)文件残留区在已经分配的空间里面。4.文件残留区(数据恢复)3.未分配簇(数据恢复)原创 2023-07-15 10:50:49 · 104 阅读 · 0 评论