mozhe_的博客

安卓手机文件分析取证(Wi-Fi密码)背景介绍嫌疑人在犯罪时连接过一个Wi-Fi，请分析取证文件，找到连接过的wifi密码。实训目标1、了解Wi-Fi在手机存储的地址；靶场地址：https://www.mozhe.cn/bug/detail/203安卓手机文件分析取证(微信发送的视频)背景介绍嫌疑人使用微信给某人发送了一个视频文件，分析取证文件找到该视频。实训目...

Windows硬盘文件分析取证(登陆用户的用户名)背景介绍犯罪嫌疑人在使用电脑时，登录过www.laifudao.com这个网站，分析硬盘文件并找到登录这个网站的用户名。实训目标1、了解AccessData FTK Imager使用方法；2、了解XP保存的网站用户存放在什么文件里；靶场地址：https://www.mozhe.cn/bug/detail/194Windo...

网络数据分析溯源(新增用户的身份证号)背景介绍某公司安全工程师抓取到一段Wireshark数据包，发现有人利用WebShell操作了数据库，请找到新增的用户的身份证号。实训目标1、掌握“Wireshark”的基本使用方法；2、了解数据在网络中传输的过程和协议；靶场地址：https://www.mozhe.cn/bug/detail/146网络数据分析溯源(发布文章...

电子数据取证专题-网络数据分析溯源 新题来了！！！网络取证对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原，它能够真实、连续地获取网络上发生的各种行为；能够完整地保存获取到的数据，并且防篡改；对保存的原始证据进行网络行为还原，重现入侵现场。网络数据分析溯源(爆破扫描的IP地址)背景介绍某公司安全工程师抓取到一段Wireshark数据包，其中一IP对目标服务器做爆破扫描攻击扫...

最近一项针对12万个Chrome扩展的调查显示，超过三分之一的谷歌Chrome扩展要求用户允许访问和阅读他们在任何网站上的所有数据。同一项调查还发现，Chrome网上商店列出的12万个Chrome扩展中，大约85%没有列出隐私政策，这意味着没有具有法律约束力的文件来描述扩展开发者承诺如何处理用户数据。其他的调查结果还包括，77%的测试Chrome扩展没有列出支持站点，32%的扩展使用了包含公开...

Windows系统用户要当心了：安全专家在WinRAR软件中发现了一个新的危险的远程代码执行漏洞，已影响全球数亿用户。Check Point的网络安全研究人员披露了winrara中一个关键漏洞的技术细节。Winrara是一种流行的Windows文件压缩应用程序，全球用户数量达5亿，而发现的漏洞则会影响过去19年发布的所有版本。这个漏洞存在于一个名为UNACEV2的旧版第三方库中，而该库被用...

海运仍然在世界经济中发挥着重要作用，从大宗商品的供应、现货价格到小国的稳定，准时装运影响着方方面面。不幸的是，根据Pen Test Partners的分析，用网络攻击倾覆一艘船是一项技术要求并不高的任务。此前已有不少入侵船舶网络的方法(如卫星通信黑客攻击、网络钓鱼、USB攻击、不安全的机组Wi-Fi等等)，于是新的问题产生了，攻击者可以利用这些访问做什么?Pen Test Partners...

电子证据与其他传统证据例如书证相比较，电子数据的记录方式具有很大的特殊性。其记录方式决定电子数据的信息与载体是可分离的。电子数据取证的基本过程包括（发现，固定，提取，分析，报告和展示），墨者学院将分析过程（证实信息的存在特征）所需的内容分类，准备了三种类型的取证环境（磁盘取证，手机取证，网络取证）供用户测试、研究、学习。磁盘取证是对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。...

攻击银行和金融机构的网络犯罪分子利用他们在被妥协的基础设施中的据点来获取其他地区或国家的类似目标。在2月19日发布的一份报告中，专门防范网络攻击的国际安全公司Group-IB描述了一种所谓的跨境多米诺骨牌效应，这种效应会导致感染范围超出最初的目标数量。该报告基于该公司计算机取证专家团队于2018年开展的事故应对工作的信息的调查。连锁攻击获得最大收益各金融机构的事件响应活动表明，在某些情...

意大利学者开发了一种可以检测Tor流量中Android应用活动的模式的算法，其准确率为97％。该算法不是去匿名化脚本，因为它无法显示用户的真实IP地址或其他识别细节。但是，它将揭示Tor用户是否正在使用Android应用程序。意大利罗马萨皮恩扎大学(Sapienza University of Rome)的研究人员的研究工作建立在之前的研究基础之上，该研究能够分析Tor流量的TCP数据包流...

总部位于美国加利福尼亚州伯克利市的非营利性研究机构AppCensus于上周四（2月14日）发布的一份报告中指出，1.8万款安装量从数千到数亿次的安卓APP似乎违反了谷歌在线应用程序商店Google Play的广告ID政策。具体来讲，这些APP被指隐蔽地收集了用户的永久性设备标识符（如序列号、IMEI、WiFi MAC地址、SIM卡序列号等），并将它们与Google Play的广告ID（Adve...

美国网络安全公司Menlo Security在上周发文称，该公司在今年1月份发生的恶意网络攻击活动中发现了一个新的Emotet木马病毒变种。通过将用于释放主有效载荷的XML文件伪装成Word文档，新的Emotet变种变得更加难以检测。什么是Emotet木马病毒？Emotet（也被称为Geodo或Heodo），一种模块化木马病毒，据称是由黑客组织Mealybug于2014年开发的。Emote...

过去几个月，商业WordPress插件WP Cost Estimation一直受到黑客的攻击。黑客们利用这些插件中的旧漏洞闯入网站并植入后门。这些持续的攻击首先被Defiant发现，他是Wordfence防火墙插件的幕后工作者。受影响的插件最新的漏洞会影响WP成本估算和付款表单生成器。它是WordPress的商业插件，主要帮助用户构建以电子商务为中心的表单。该插件已在CodeCanyon市...

越来越多的网络罪犯已经倾向于利用医疗机构内部工作人员，而非单纯依赖于技术。这些行业中的攻击目标可能并非与人们的想象一样，任何对象都可能成为攻击目标。要想保护公司/机构，必须要先从保护员工开始。电子邮件欺诈是一个日益严重的问题，它给世界各地的组织造成了数十亿美元的损失。特别是医疗机构损失尤为惨重，欺诈者的攻击目标是其员工、患者和业务伙伴。为了更好地理解电子邮件欺诈如何影响世界各地的医疗机构，Pr...

据外媒报道，安全研究人员发现，一家名为深网世界的面部识别公司将其数据库暴露在网上，泄露了数百万人的信息。深网世界（SenseNets）是一家总部位于深圳的公司，主要提供面部识别技术和人群分析服务，该公司宣传其技术可以追踪城市中的人流，并在人群中进行精确识别。然而，周三荷兰GDI基金会(GDI Foundation)的安全研究员Victor Gevers发现，这个数据库内含超过250万人的信...

在2018年11月份，趋势科技发现了一个带有密码抓取模块的Trickbot木马变种，它可以从大量的应用程序中窃取凭证。在今年1月份，趋势科技继续观察到了Trickbot的多个变种（如TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD），它们或多或少都具备一些新的能力。显然，Trickbot的开发者并没有停止对它的更新。最近，趋势科技再次发现了...

趋势科技的研究人员观察到Windows应用程序具备在Mac上运行以及在目标系统上下载和安装恶意软件的能力。尽管EXE扩展是Windows的官方可执行文件格式，但该应用程序可以在macOS上运行并覆盖平台的内置保护机制，例如Gatekeeper，以提供恶意负载。这种情况是可能实现的，因为Gatekeeper仅验证本机Mac文件，并不会检查EXE扩展，所以你能绕过代码签名检查和验证。研究者已经...

网络安全公司Check Point的研究人员在最新发布的一份分析报告中指出，他们于近日发现一场利用试图Linux服务器漏洞来植入一种新型后门木马的恶意攻击活动。值得注意的是，这种新型木马几乎绕过了VirusTotal（一个提供免费的可疑文件分析服务的网站）上所有杀毒引擎的检测。根据其中一台命令和控制（C2）服务器的名称，Check Point的研究人员将这种新型木马命名为“SpeakUp”。据...

总部位于美国密尔沃基的电子邮件提供商VFEmail遭遇了一场“灾难性”攻击，导致其美国境内服务器上主要和备份系统上的所有数据被破坏。摧毁式攻击攻击者并未向受害公司索要赎金，似乎只是单纯进行摧毁式攻击。2月11日上午，VFEmail公司的Twitter帐户开始不断收到用户抱怨未收到消息的报告，该公司回应称，“多个数据中心的外部面向系统(采用不同的操作系统和远程身份验证)出现故障”，随后解释了...

小米M365电动滑板车的设计缺陷允许研究人员在距其100米的范围内入侵它，迫使滑板车刹车或加速。Zimperium的研究人员周二发布了关于该攻击的概念验证（PoC）。在攻击过程中，他们发动了拒绝服务攻击，安装恶意固件，从而完全控制滑板车，可使其突然加速或者刹车。小米公司承认了问题的存在，目前针对该问题的解决方案仍然在更新中。“作为Zimperium zLabs团队物联网研究的一部分，我们...