蘇小沐的电子数据取证博客

数据的价值远超案件，很多数据的价值没在当前的案件中发挥作用，并不代表着它就没有用。在 NTFS 文件系统中，可以通过隐写来将一些不为人知的、甚至是恶意的程序、代码隐藏在"NTFS 数据流（ADS）"等特殊文件中，一般的文件管理器和工具是无法发现和对其处理的，本文通过一些介绍，来初步认识下常用的Windows操作系统NTFS文件系统数据流\---【蘇小沐】

2024-11-06 22:58:07 1418

原创【电子书赠送福利】蘇小沐电子数据取证实务教程！风吹哪页读哪页，哪页不会撕哪页！

一路走来，磕磕碰碰，也遇到许多朋友，总之，感恩相遇，愿所有的后会有期，都是他日的别来无恙！书写片面，纯粹做个记录，有错漏之处欢迎指正---【蘇小沐】

2024-06-04 18:33:49 829

原创【电子取证篇】电子数据取证标准合集更新202405（附下载）

公众号回复关键词【电子取证标准】自动获取资源合集---【蘇小沐】

2024-06-04 17:37:35 2501

系统仿真是个很神奇的东西，他能让你开心玩，也能让你崩溃。真的是没想到还有用的上FTK Imager3.1版本的一天，上一次使用应该还是2020年的时候，也是遇到一个奇葩的镜像死活起不来，这次没想到在ESXi又遇上，而且我一直引以为傲的Arsenal Image Mounte主力居然也不行。书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词【ESXi】自动获取资源合集。！！转载引用请注明出处，著作所有权归 [蘇小沐] 所有】记录开始编辑：2024年 05月 06日‍。

2024-06-04 17:30:09 1680

原创【镜像仿真篇】磁盘镜像仿真常见错误

记系统镜像仿真常见错误集---【蘇小沐】

2024-05-09 21:05:55 2107 2

原创【电子取证篇】WinHex哈希校验值大小写转换和WinHex常规设置功能

简单记录下WinHex哈希校验大小写值转换和新增加的一些功能、常用设置，WinHex时不时增加点小功能的，挺喜欢这种的，像挖宝藏一样，总会给你一些惊喜\---【蘇小沐】

2024-05-01 14:49:29 2043

原创【微信取证篇】从微信收藏图片看微信存储详细记录（附思维导图下载）

本篇主要测试微信收藏图片的功能，发现许多有意思的地方，**微信收藏图片缓存的文件目前发现有三个地方，都是在Fav下，名称都一样，有直接原始图片，也有加密的形式……，而且微信收藏的图片另存的大小和缓存的大小一致，但却和收藏中转发出去的还不一样大，从收藏中转发的图片会被再次压缩**\---【蘇小沐】

2024-04-21 23:30:09 1917

原创【微信取证篇】微信收藏图片存储记录思维导图

最近在测试微信收发图片和收藏的功能，发现许多有意思的地方，**微信收藏图片缓存的文件目前发现有三个地方，都是在Fav下，名称都一样，有直接原始图片，也有加密的形式……，而且微信收藏的图片另存的大小和缓存的大小一致，但却和收藏中转发出去的还不一样大，从收藏中转发的图片会被再次压缩。**先简单做个笔记---【蘇小沐】

2024-04-16 20:13:51 565

原创【Mac取证篇】macOS取证注意事项

Mac 电脑会提供文件保险箱，这是一项内建加密功能，用于保护所有静态数据安全。文件保险箱使用AES-XTS数据加密算法保护内部和可移除储存设备上的完整宗卷。搭载 Apple 芯片的 Mac 上的文件保险箱会通过使用宗卷密钥的数据保护 C 类来实施。在搭载 Apple 芯片的 Mac 电脑和搭载 Apple T2 安全芯片的 Mac 电脑上，直接连接到安全隔区的加密内部储存设备会使用安全隔区的硬件安全性功能和 AES 引擎的功能。用户在 Mac 上启用文件保险箱后，启动过程中将需要其凭证【蘇小沐】

2024-04-14 21:59:22 1717

原创【电子取证篇】USB软只读锁软件

软只读还可以通过修改注册表、CMD命令修改成只读，FTK、WinHex这些也可以，请自行尝试。【蘇小沐】

2024-04-07 18:33:26 1690 3

原创【电子取证篇】一文带你了解哈希！作为取证人员，我不允许你不懂哈希，也不允许你只懂哈希

密码杂凑算法（Hash Algorithm）也称作“散列算法、哈希（Hash）算法”，在现在的密码行业标准中统称其为密码杂凑算法，简称“杂凑算法”或“杂凑函数”。因为音译及前期习惯，我们普遍遇到的都是MD5、SHA1、SHA2多，所以口语习惯叫"哈希算法"。实际还有很多算法，如国密SM3算法是国内自主研制的，所以在密码行业领域会更加倾向于叫"密码杂凑算法"。目前MD5、SHA1都已被破解，所以不建议再使用两种哈希算法来校验文件【蘇小沐】

2024-03-31 22:16:23 2957

原创【电子取证篇】哈希校验值的变与不变

哈希值（散列值）是针对电子数据内容来计算的，内容变则哈希变；但计算对象的文件名、文件时间等属性改变不会影响散列值！！！---【蘇小沐】

2024-03-30 09:21:49 1459

原创【网络取证箱】网络取证在线分析工具箱

这款网络工具里面的链接我最后一次更新是在2022年10月，后面我将其它工具集合到一起后就没再更新，如遇到失效的链接请自行更换或自定义添加等。书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词【工具箱】自动获取资源合集。！！**转载引用请注明出处，著作所有权归 [蘇小沐] 所有】记录开始编辑：2020年 11月 02日最后编辑：2024年 03月 21日。

2024-03-22 17:58:17 1410

原创【视频图像取证篇】模糊图像增强技术之去噪声类滤波场景应用小结

【视频图像取证篇】模糊图像增强技术之锐化类滤波场景应用小结【蘇小沐】

2024-03-20 21:16:28 1402 1

原创【视频图像取证篇】模糊图像增强技术之锐化类滤波场景应用小结

【视频图像取证篇】模糊图像增强技术之锐化类滤波场景应用小结---【蘇小沐】

2024-03-18 21:57:20 1173

原创【视频图像取证篇】模糊图像增强技术之色彩空间类滤波器场景应用小结

模糊图像增强技术之色彩空间HSI滤波器---【蘇小沐】

2024-03-17 23:23:00 479

原创【视频图像取证篇】模糊图像增强技术之深度转化类滤波场景应用小结

简单介绍模糊图像转化类滤波器应用场景【蘇小沐】

2024-03-16 22:35:28 916

原创【视频图像取证篇】模糊图片复原车牌号技术原理和实战应用小结

模糊图片复原车牌号常用的技术原理和实战应用。本文的模糊图像和真实案例无关，部分图像是个人日常生活中特意拍摄当作模糊图像研究素材的！---【蘇小沐】

2024-03-08 21:52:18 2027

原创【视频图像取证篇】Impress模糊图像增强技术之颜色滤波器场景实例教程（蘇小沐）

Impress模糊图像增强技术之颜色滤波器场景实例教程---【蘇小沐】

2024-03-08 21:41:49 1236

原创【Android取证篇】渗透测试工具apk2url快速提取APK内的IP和URL地址

通过渗透测试工具apk2url快速检索APK开发过程中没有删掉的URL地址，来发现一些搜索引擎、子域名查找不到的资源，从而进一步收集信息查找后台等。工具不是终点，而是起点，好的侦查案件思维、分析能力，分析方向都需要不断的积累进步！需要更专业的还是比较推荐取证厂商的产品，省时省力【蘇小沐】

2024-03-08 21:21:44 5920

原创【视频图像篇】Impress模糊图像增强软件设置

Impress模糊图像增强软件设置与右侧工具栏功能说明等---【蘇小沐】

2024-02-27 18:36:34 825 1

原创【视频图像篇】MP4受损视频修复方法（一）

使用untrunc视频修复软件可恢复部分损坏（截断）的mp4，m4v，移动，3GP视频。视频受损因素较多，仅对部分受损的视频可以恢复，建议多尝试一些参数设置，或者更换软件、手动编码修复等。【蘇小沐】

2024-02-18 14:35:50 3891

原创【微信取证篇】微信过期图片恢复之微信Dat文件加密原理和解密工具

挖一挖微信图片，看它藏着个什么世界---【蘇小沐】

2024-01-24 10:26:35 8774

原创【加解密篇】电子数据取证分析之特殊的自加密BitLocker解密

公众号回复关键词【加解密】自动获取资源合集【蘇小沐】

2024-01-23 22:55:10 2044

原创【办公软件篇】软件启动器Lucy打造自己的工具箱

自从Rolan改为订阅制后就弃用了，本次推荐一款快速启动器Lucy，不联网，不写注册表，体积小，绿色免安装，免费无广告，风格简洁但不简单，目前用了几年了，一直很稳定---【蘇小沐】

2024-01-20 10:52:10 2540

原创【数据恢复篇】WinHex数据擦除功能

简单写下WinHex数据擦除功能---【蘇小沐】

2024-01-19 19:39:14 3073

原创【Windows取证篇】Window日志分析基础知识（一）

Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核，一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能，我们在系统审计取证分析时，可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】

2024-01-17 21:11:10 5527

原创【网络取证篇】阿里云DNS服务器解析分配规则

记录一下阿里云DNS服务器命名规则，IP解析会用得上---【蘇小沐】

2024-01-15 23:37:10 995

原创【数据恢复篇】免费数据恢复软件推荐之WinFR界面版

WinFR界面版完全调用Windows文件恢复（Microsoft 命令行应用程序），可快速从Windows11/10中恢复已删除的文件---【蘇小沐】

2024-01-15 23:28:27 4807

原创【网络取证篇】Windows终端无法使用ping命令解决方法

以Ping命令为例，最近遇到ping命令无法使用的情况，很多情况都是操作系统"环境变量"被改变或没有正确配置导致\---【蘇小沐】

2024-01-15 23:01:12 3228 2

原创【电子取证篇】蘇小沐的电子取证工具合集在线文档

书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词自动获取资源合集，如链接失效请留言，便于及时更新。转载引用请注明出处，著作所有权归作者 [蘇小沐] 所有】记录开始编辑：2024年 01月 15日最后编辑：2024年 01月 15日。

2024-01-15 22:51:31 1338

原创【视频图像篇】模糊图像增强技术之视频平均帧处理

Impres属于国外专业软件，并不提供试用版，仅在此做个学习笔记。经过测试实验，在高速夜间行驶等复杂情况，视频当中如找不到较好的帧，视频帧处理效果一般不理想。【蘇小沐】

2024-01-07 10:16:03 596

原创【视频图像篇】模糊图像处理之运动模糊造成的车牌号码图像模糊还原

处理车辆运动过程中造成车牌号码的视频图像模糊，公众号回复关键词【声像资料】自动获取资源合集，如链接失效请留言，便于及时更新【蘇小沐】

2024-01-07 10:14:13 2890 3

原创【视频图像篇】模糊图像处理之车辆运动造成的字体模糊还原

公众号回复关键词【声像资料】自动获取资源合集，如链接失效请留言，便于及时更新【蘇小沐】

2024-01-07 10:07:11 566

FTK Imager 4.7

FTK Imager 4.7现在支持AFF4格式，也支持在便携式驱动器上执行;将安装目录复制到便携式驱动器，例如 C：\Program Files\AccessData\FTK Imager。

2022-04-22

内存取证工具：MAGNET RAM Capture（v1.20）

内存取证工具-MAGNET RAM Capture，是由于取证公司MAGNET开发一款免费制作内存镜像的小工具，体积小、还可以对内存镜像设置分段。

2020-12-01

HashMyFiles-x64中文版（v2.37）.zip

HashMyFiles，Hash计算神器，目前最新的64位官网版本v2.37，已经包含了中文语言包，直接运行就是中文版本。

2020-11-29

FTK Imager中英文切换

FTK Imager中英文切换！！！注意，不是软件包，不是软件包，不是软件包，通过修改注册表来切换中文，需要下软件在另一个资源。

2020-11-25

网络工具包、信息查询

经常查询各类信息用网页收藏夹不是太方便，偷了个懒，把常用的一些查询网站借助Rolan工具汇总成工具箱，没什么介绍的，所见即所得，在文档里补充了其它一些网络安全资源，请忽用于非法用途，仅供研究学习。【解压密码：NDASH】

2020-11-16

FTK Imager（v4.5.0.3）

FTK Imager 最新版安装包，支持几十种镜像格式，E01、DD、L01、DMG、VMDK、VHD、AD1，使用过程中几乎没有遇到挂在不了的镜像格式。

2020-10-26

2017，2018华科834考研真题及答案解析

华中科技大学 2018年收攻读硕士研究生，入学考试自主命题试卷与答案解析

2018-09-23

数据恢复技术深度揭秘

数据恢复技术深度揭秘，对于数据恢复的简介，走进数据恢复领域

2018-09-23

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人