平航科技-介质取证

已于 2024-09-24 17:56:52 修改
阅读量240 收藏 8
点赞数 5
分类专栏: 取证 文章标签: 科技
于 2024-02-23 00:26:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75046593/article/details/138630821
版权

现场介质取证流程

特别需要注意现场开机状态下的计算机需要提取内存镜像,用来保护易失性数据

数据固定

复制文件

拍照

克隆(需要另外准备一块容量较大的硬盘):

winhex的磁盘克隆功能--需要管理员权限

制作镜像:

dd镜像(非压缩)

e01镜像(压缩)

FTK镜像提取

数据恢复

主要采用一些专业工具进行恢复(R-studio、winhex、DiskGenius)

常见文件头

 介质分析

系统痕迹

最近访问的文件C:\Users\YYL1024\AppData\Roaming\Microsoft\Windows\Recent

这里存储了最近访问文件的快捷方式,由系统自动生成(一般重要的文件都会在里面)

shellbags(系统操作记录)

jumplist(任务栏分析)

预读取文件分析

回收站痕迹(分区根目录下一个隐藏的文件夹,删除时只是移动文件位置,仍然占用空间)

注册表分析(注册表相当于系统的数据库,存放很多重要的数据)

注册表中可以分析的数据

1、浏览器中键入的url 

 2、跟踪系统的最新访问文档

还有很多数据可以从注册表中获取

Windows应用分析

1、邮箱软件(gmail、foxmail、QQ邮箱)

2、浏览器信息(下载记录、保存密码、cookie等)

3、即时通讯类(微信、QQ、陌陌等)

Appdata目录

C:\Users\用户名\AppData里面一般有三个文件夹,分别是Local,LocalLow,Roaming,简单地来说,都是用来存放软件的配置文件和临时文件的

分析火狐浏览器数据C:\Users\YYL1024\AppData\Roaming\Mozilla\Firefox\Profiles

内存分析

日志分析

主要是在计算机管理功能里的事件查看器

Pres1X
关注
专栏目录
2024世界技能大赛某省选拔赛“网络安全项目”B模块--数字取证解析
Aluxian_的博客
01-18 1606
现在,A 集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助 A 集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。A 集团的 WebServer 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系 统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行 全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为, 和残留的关键证据信息。请认真阅读以下指引!
EnCase-Forensic取证软件完整版资料.ppt
11-14
EnCase-Forensic取证软件完整版资料 EnCase Forensic是Guidance Software公司开发的一款计算机取证软件,旨在提供计算机犯罪取证的全面解决方案。该软件提供实时预览、分析和获取,符合美国立法规范,全球最大的...
平航杯电子取证WP
wild_smart_cuber的博客
04-20 1279
再下一步便是把经纬度输进在线网站里面查一下,但是这里基本上准不了,毕竟考虑到很多网站的精度。。。 `
2023平航杯——介质取证部分复现
m0_73756016的博客
04-25 1105
玉王直所使用的windows电脑中,使用的系统版本Build号为?【标准格式:1234】玉王直所使用的windows电脑中,系统安装时间为?【标准格式:2025年1月1日】_______________进去个鬼——————————————玉王直所使用的windows电脑中,曾经挂过U盘的盘符为?玉王直所使用的windows电脑中,玉王直实际登录次数为?——————————卡了20多分钟进去了————————这里比赛的时候居然写成6.27了。我这里用ftk是没挂起来的、比赛的时候以为要一个一个的打。
平航杯(手机取证部分)
2302_79119987的博客
04-29 396
从其他wp得知,content-type为105就是发送文件,在数据库中找到了4个文件。打开软件包数据库,在local_friend中找到了7条数据,因此有7个好友。用Navicat Premium 16工具打开数据,找到相关的内容。根据题目选项进行尝试,双击发现进入修改页面,意外发现服务器域名。同时找到了内部通信软件的安装包和MD5值,题目所需的MD5。用火眼分析后,在数据库中找到畅动力的文件包并导出数据。为大写,需要转码,同时将apk导入雷电app,得到包名。浏览内部信息时找到了在微信中的聊天记录。
电子取证平航杯的复现
2401_82388450的博客
05-06 962
(3) 玉王直所使用的标签为“飞天五子棋教”的u盘中“(内部)(机密)飞天五子。(5)玉王直所使用的标签为“飞天五子棋教”的u盘中在“(高层)(绝密)飞天五。(7) 玉王直所使用的标签为“IT”的u盘中结尾为.enc的文件md5值为?(8)玉王直所使用的标签为“IT”的u盘中提到的云服务器提供商的联系电话为?(9)玉王直所使用的标签为“IT”的u盘中提到的登录云服务器平台登录密码为?(6)玉王直所使用的标签为“IT”的u盘中结尾为.pem的文件md5值为?
CTFShow-电子取证篇Writeup
Aluxian_的博客
05-18 3017
CTFShow-电子取证篇Writeup。
2024平航杯部分复现
2301_80913334的博客
05-09 796
电脑1、教徒“闻早起”所使用的笔记本电脑使用何种加密程式?答案:VeraCrypt打开火眼证据分析在文件中直接找到了VC由于暂时没有找到别的可疑加密程序所以答案猜测是VC2、教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件,其版本号为?【标准格式:1.2.3.4】答案:8.71.020.5734创建虚拟机打开虚拟机发现需要密码查看闻早起的检材照片发现电脑上贴着疑是密码的字符输入密码后发现还需要pim(一般需要密码和pim)
Magnet AXIOM 8.0 Windows x64 Multilingual - 数字取证与分析
sysin | SYStem INside
08-12 1811
Magnet AXIOM 8.0 Windows x64 Multilingual - 数字取证与分析
Bugku-简单取证1
执着源于热爱
12-13 4620
前言 题目地址:Bugku-简单取证1 这题不难,目的大概就是想让我们知道怎么从 windows 的系统配置文件提取出账号密码 工具 下面的是我做这题所用的工具 官方地址:https://github.com/ParrotSec/mimikatz 蓝奏云(2.2版本,自用):https://fictory.lanzouo.com/inMs1xk1pwb 开始做题 下载附件后解压,发现是一个 config 文件夹,该文件夹是存放 windows 用户名和明文密码等主要配置文件的,一般位于 windows 的
华中科技大学网络空间安全学院-网络取证-内含源码和说明书(可自行修改).zip
05-09
在"华中科技大学网络空间安全学院-网络取证-内含源码和说明书(可自行修改).zip"这个压缩包中,我们可以看到一个关于网络取证的学习资源,其中包括源代码和详细的说明,为学习者提供了一个实际操作和理解网络取证...
20190123-东北证券-美亚柏科-300188.SZ-电子取证+大数据业务,双轮驱动高增长.pdf
09-15
20190123-东北证券-美亚柏科-300188.SZ-电子取证+大数据业务,双轮驱动高增长.pdf
2023年信息安全管理与评估省赛-单据取证原件环境
04-29
evidence 1 evidence 2 evidence 3 evidence 4 evidence 5 evidence 6 evidence 7 evidence 8 evidence 9 evidence 10
110-网络取证技术.pdf
03-15
110-网络取证技术
世优科技“1+2+N”,助力湖南旅发大会“火出圈”
shiyoutech的博客
09-25 563
N 个场景应用,开启AI智能时代下文旅IP营销新可能,以此为鉴,世优科技为文旅产业高质量发展再次提供了切实可行的路径,全链路 IP 再造和营销赋能,助力文旅企业打造独特品牌,通过复活 IP,挖掘文化价值,让古老的故事在现代语境中重焕光彩,技术突破带来全新体验,吸引游客关注。,现场,世优科技团队通过“1+2+N”模式(即:1个IP复活,2项技术突破,N个场景应用),助力衡阳市IP“火出圈”3D形象惊艳亮相,承担晚会主持、互动、产品推荐等任务,并此为蓝本,释疑文旅IP加快产业高质量发展不同可能,以及。
探索未来科技的无限可能:IT领域的深度剖析与前瞻
2401_85046497的博客
09-24 423
在这个充满挑战与机遇的IT时代,每一项技术的突破都预示着新的可能。云计算、大数据、人工智能、区块链、物联网……这些看似遥远的概念,正一步步走进我们的生活,成为推动社会进步的重要力量。让我们携手并进,共同探索未来科技的无限可能,共创一个更加美好的明天!
胤娲科技:AI程序员——重塑编程世界的魔法师
2401_85280582的博客
09-24 352
在这个时代里,技术的进化将不再仅仅依赖于人类的智慧,而是通过与AI的深度融合,实现前所未有的飞跃和突破。想象一下,一个对编程一无所知的初中生,在熙熙攘攘的展会现场,仅凭几句简单的提示词,就在几分钟内创造出一个功能完备的倒计时网页。在缺陷修复的场景中,它展现出了惊人的能力。对于专业开发者来说,AI程序员将成为他们最得力的助手,帮助他们从繁琐的编码工作中解脱出来,专注于更具战略性的创新任务。展望未来,随着技术的不断进步和AI能力的持续提升,我们有理由相信,AI程序员将引领我们进入一个全新的编程时代。
景联文科技精准数据标注:优化智能标注平台,打造智能未来
weixin_55551028的博客
09-27 366
对语音数据进行高效、精准的自动化处理,自动识别语音内容中的关键信息、情感倾向、说话者特征等,并转化为可训练的标注数据,为智能语音助手、语音识别、语音合成等应用提供强有力的支持。自动化或半自动化地理解和标注文本数据中的关键信息、情感倾向、实体关系等,大幅提高标注效率与准确性,为文本分析、情感分析、信息抽取等任务提供强有力的支持。同时制定详细的标注指南和流程,通过多轮验证和一致性检查,确保数据的一致性和准确性。具备强大的视频处理能力,能够识别视频中的关键信息,如物体、场景、行为等,并自动为其添加描述性标签。
大联大友尚集团推出基于炬芯科技产品的蓝牙音箱方案
最新发布
Geomatrix_123的博客
09-27 887
此外,ATS2835P支持多种音频输入源和全格式音频解码,支持多达20段均衡器(PEQ)、3段动态均衡器(DEQ)、多段动态范围控制(MDRC)、低音增强、3D环绕等音效,可提供卓越的音质特性。随着蓝牙技术的不断升级和音频处理技术的进步,蓝牙音箱将在音质、连接稳定性、功耗等方面实现进一步提升。同时,在智能家居的推动下,智能化、互联化也将成为蓝牙音箱的重要发展方向。在此趋势下,大联大友尚基于炬芯科技ATS2835P蓝牙音频SoC推出蓝牙音箱方案,具有低延迟和高音质特点,可以满足用户对于高品质蓝牙音箱的需求。
计算机取证:存储介质与技术详解
"主引导扇区结构示意图: 计算机取证基础ppt"这一资源详细探讨了计算机取证领域的核心概念,特别是针对存储介质、文件系统、数据安全和取证技术的关键环节。在第2章"计算机取证基础"中,内容涵盖了以下几个主要部分:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值