![](https://img-blog.csdnimg.cn/20201206103731199.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
计算机取证
文章平均质量分 84
计算机取证知识库
DFIR蘇小沐
致力于电子数据取证(数字取证)与事件应急响应实战技术经验分享,计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】
展开
-
【镜像仿真篇】磁盘镜像仿真常见错误
记系统镜像仿真常见错误集---【蘇小沐】原创 2024-05-09 21:05:55 · 763 阅读 · 2 评论 -
【微信取证篇】从微信收藏图片看微信存储详细记录(附思维导图下载)
本篇主要测试微信收藏图片的功能,发现许多有意思的地方,**微信收藏图片缓存的文件目前发现有三个地方,都是在Fav下,名称都一样,有直接原始图片,也有加密的形式……,而且微信收藏的图片另存的大小和缓存的大小一致,但却和收藏中转发出去的还不一样大,从收藏中转发的图片会被再次压缩**\---【蘇小沐】原创 2024-04-21 23:30:09 · 1154 阅读 · 0 评论 -
【微信取证篇】微信收藏图片存储记录思维导图
最近在测试微信收发图片和收藏的功能,发现许多有意思的地方,**微信收藏图片缓存的文件目前发现有三个地方,都是在Fav下,名称都一样,有直接原始图片,也有加密的形式……,而且微信收藏的图片另存的大小和缓存的大小一致,但却和收藏中转发出去的还不一样大,从收藏中转发的图片会被再次压缩。**先简单做个笔记---【蘇小沐】原创 2024-04-16 20:13:51 · 402 阅读 · 0 评论 -
【Mac取证篇】macOS取证注意事项
Mac 电脑会提供文件保险箱,这是一项内建加密功能,用于保护所有静态数据安全。文件保险箱使用AES-XTS数据加密算法保护内部和可移除储存设备上的完整宗卷。搭载 Apple 芯片的 Mac 上的文件保险箱会通过使用宗卷密钥的数据保护 C 类来实施。在搭载 Apple 芯片的 Mac 电脑和搭载 Apple T2 安全芯片的 Mac 电脑上,直接连接到安全隔区的加密内部储存设备会使用安全隔区的硬件安全性功能和 AES 引擎的功能。用户在 Mac 上启用文件保险箱后,启动过程中将需要其凭证【蘇小沐】原创 2024-04-14 21:59:22 · 1042 阅读 · 0 评论 -
【电子取证篇】USB软只读锁软件
软只读还可以通过修改注册表、CMD命令修改成只读,FTK、WinHex这些也可以,请自行尝试。【蘇小沐】原创 2024-04-07 18:33:26 · 843 阅读 · 3 评论 -
【Windows取证篇】Window日志分析基础知识(一)
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】原创 2024-01-17 21:11:10 · 3848 阅读 · 0 评论 -
【网络取证篇】Windows终端无法使用ping命令解决方法
以Ping命令为例,最近遇到ping命令无法使用的情况,很多情况都是操作系统"环境变量"被改变或没有正确配置导致\---【蘇小沐】原创 2024-01-15 23:01:12 · 2087 阅读 · 2 评论 -
【数据恢复篇】浅谈FTK Imager数据恢复功能
FTK Imager在视频恢复功能上,给我的感觉很好,恢复结果按照原始数据结构树呈现,方便查找,所见即所得---【蘇小沐】原创 2023-10-06 12:44:31 · 2491 阅读 · 0 评论 -
【计算机取证篇】Windows禁用驱动程序签名教程
Windows高级启动禁用驱动程序签名---【蘇小沐】原创 2023-10-01 23:23:57 · 450 阅读 · 0 评论 -
【Fiddler篇】Fiddler抓包配置与数据分析(简)
Fiddler 抓包配置与数据分析(简) 简单介绍了Fiddler抓包常用到的基础知识,看完可以大概明白怎么分析抓包数据 —【suy999】 Fiddler 抓包工具,可以将网络传输发送与接受的数据包进行截获、重发、编辑、转存等操作。 原理是通过改写HTTP代理,让数据从它那通过,来监控并截取数据;默认设置好浏览器代理,关闭软件的时候会自动还原代理。 Fiddler 官网下载地址:“https://www.telerik.com/download/fiddler”。一、Fiddler 抓包环原创 2020-11-12 23:13:20 · 3120 阅读 · 1 评论 -
【物联网取证篇】5G消息取证浅谈
【物联网取证篇】"5G消息"白皮书与取证浅谈 5G消息-传统短消息服务的全新升级,按条计费转变为按流量计费模式;取证偏于云计算存储,网络取证、痕迹分析模式—【suy】文章目录【物联网取证篇】"5G消息"白皮书与取证浅谈一、5G消息白皮书(一)5G消息-核心理念(二)5G消息-业务功能1、个人用户之间的消息功能1)基本功能2)点对点消息3)群发消息4)群与群聊2、行业与个人用户之间的消息功能1)基本功能2)发现 Chatbot服务3)查看 Chatbot详细信息4)消息操作(三)5G消息-技术要求1、基原创 2021-11-16 23:22:37 · 3898 阅读 · 0 评论 -
【网络取证篇】suy网络工具包
新型案件、信息查询、网络工具包原创 2020-11-16 21:26:23 · 1019 阅读 · 3 评论 -
【无人机取证篇】无人机取证飞行日志分析(简)
无人机取证飞行日志分析(简) —【suy999】文章目录无人机取证飞行日志分析(简)一、实验材料1、大疆精灵3 4K2、CsvView二、飞行日志文件(一)APP日志存放位置1、Android应用飞行日志存放位置2、iOS应用飞行日志存放位置(二)CsvView加载飞行日志1、加载后![在这里插入图片描述](https://img-blog.csdnimg.cn/20201118235855384.png?x-oss-process=image/watermark,type_ZmFuZ3po原创 2020-11-19 00:01:41 · 8963 阅读 · 22 评论 -
【Windows取证篇】Windows便笺数据浅析-取证分析时容易忽略的重要数据
便笺数据取证分析,没有突破的时候,不妨换个方向换个角度去分析问题---【蘇小沐】原创 2023-06-28 20:03:55 · 468 阅读 · 0 评论 -
【网络取证篇】宝塔面板server和panel的目录功能说明
宝塔面板的目录结构在不同的情况下可能有所不同---【蘇小沐】原创 2023-05-07 23:18:06 · 2411 阅读 · 0 评论 -
【OfflineExplorer篇】网站固定神器OfflineExplorer基础教程(简)
OfflineExplorer是一款网络离线浏览器,它最大的功能就是能够将若干个网页同时离线,本地使用。如固定的网站数据量大,非常容易卡顿,仅供学习实验。书写片面,纯粹做个记录,有错漏之处欢迎指正。原创 2023-04-28 15:50:37 · 3355 阅读 · 0 评论 -
【微信篇】PC端微信文件夹里的“微信号“
纯粹做个记录原创 2022-12-20 13:01:45 · 3436 阅读 · 1 评论 -
【Autopsy数字取证篇】Autopsy案例分析报告导出
Autopsy案例分析报告导出。—【蘇小沐】原创 2022-12-04 23:44:01 · 946 阅读 · 0 评论 -
【Autopsy数字取证篇】Autopsy案例更改时区
Autopsy案例更改时区原创 2022-12-04 23:32:15 · 487 阅读 · 0 评论 -
【Autopsy数字取证篇】Autopsy案例创建与镜像分析详细教程
Autopsy是一款非常优秀且功能强大的免费开源数字取证分析工具。—【蘇小沐】以本地E01镜像做实验测试。【Autopsy数字取证篇】Autopsy数字取证软件的下载安装与优化配置—蘇小沐要创建案例,请使用欢迎屏幕上的"创建新案例"选项或"案例"菜单中的选项。这将启动新建案例向导。您需要为其提供案例的名称和用于存储案例结果的目录。您可以选择提供案例编号和审阅者姓名。软件启动界面如下,选择"新建案件"。将案件名和存储路径填好后,方可进入下一步操作。选填项可不填写,如果是正式案件,建议填写好,以便记录与回溯原创 2022-12-04 23:04:39 · 6916 阅读 · 6 评论 -
【Autopsy数字取证篇】Autopsy数字取证软件的下载安装与优化配置
Autopsy是The Sleuth Kit(TSK)的图形界面版开源的数字取证工具,可用来分析磁盘镜像和恢复删除的文件,提供在磁盘镜像中进行字符串提取,包括关键字搜索,哈希匹配,注册表分析,Web分析,恢复文件,时间轴分析,chrome,firefox 等浏览器历史分析,关键字搜索和邮件分析等功能,并具有可扩展性(附加模块)。由于本人能力有限,纯粹做个记录,文中如有不妥和错漏之处欢迎批评指正。【著作所有权归作者蘇小沐所有,转载请注明文章出处】原创 2022-11-26 18:31:30 · 7440 阅读 · 4 评论 -
【微信篇】电脑版微信的照片视频文件位置变化
新版的微信视频图片更新了位置,感觉有好有坏吧,好的方面就是以后查找视频、图片、文档等可能更方便;不好就是越更新占用体积越大,还多很多数据,不懂是否流氓?!—【蘇小沐】微信默认安装路径:C:\Program Files (x86)\Tencent\WeChat。微信默认存储路径:C:\Users\电脑用户名\Documents。微信默认照片存储路径:C:\Users\电脑用户名\Documents\WeChat Files\微信账号ID\FileStorage\Image。微信默认视频存储路径:C:\User原创 2022-06-09 00:04:49 · 6272 阅读 · 3 评论 -
【镜像取证篇】DD系统镜像仿真问题的一些补充说明
系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳。—【蘇小沐】Windows建议用专业版,功能全。这里的镜像是以电子取证而言的法证镜像,国际常用的证据文件格式及应用有.DD、.001、.E01/L01、.Ex01/Lx01、.Raw、.AFF等镜像,是将一个磁盘打包成一个单独的文件,可以随时还原到另一个磁盘上,是一种位对位的数据备份功能,其数据和原盘数据完全相同的副本(包括了有数据的部分和没有数据的部分),并非简单的复制粘贴,这也是为什么DD镜像可以恢复删除的数据最重要原创 2022-06-07 21:27:44 · 3108 阅读 · 9 评论 -
【数据库取证篇】阿里云RDS MySQL数据库在线取证教程
【数据库取证篇】阿里云RDS MySQL数据库在线取证教程在线取证或备份数据—【suy】文章目录【数据库取证篇】阿里云RDS MySQL数据库在线取证教程1、实验环境一、RDS登录方式(一)云数据库RDS三种登录方法1、登录路径:产品与服务->云数据RDS版->RDS管理控制->实例列表2、实例列表登录数据库3、基本信息登录数据库(二)RDS数据管理1、RDS数据库登录界面(三)登录实例面板1、未登录实例2、已登陆实例二、导出数据库数据(一)数据库导出1、数据库查询2、选中需要的表(二原创 2022-05-25 00:00:47 · 1505 阅读 · 0 评论 -
【镜像取证篇】qemu-img磁盘镜像转换神器
【镜像仿真篇】qemu-img磁盘镜像转换神器转换磁盘镜像格式,便于仿真搭建–【suy】文章目录【镜像仿真篇】qemu-img磁盘镜像转换神器一、qemu-img:磁盘镜像格式转换工具1、功能简介2、支持格式3、下载地址二、raw、qcow2等镜像装换为vmdk1、命令:./qemu-img convert -f raw NDASH.raw【源镜像路径】 -O vmdk NDASH.vmdk【输出镜像路径】2、转换后的镜像![在这里插入图片描述](https://img-blog.csdnimg.cn/原创 2021-10-11 20:47:19 · 4748 阅读 · 6 评论 -
【内存取证篇】内存取证工具-DumpIt
【内存取证篇】内存取证工具-DumpItDumpIt内存取证小工具,小体积大用途,一步制作计算机内存镜像—【suy】一、DumpIt特点1、用于生成Windows计算机的物理内存转储运行环境:32位、64位计算机。2、原始内存转储在当前目录中生成镜像保存路径:DumpIt软件所在位置,启动前仅提示确认问题。3、便携性便携性:可完美地部署在USB闪存盘上,快速响应事件。二、DumpIt运行界面双击软件即可运行,输入“y”,即开始制作当前机器的内存镜像。内存镜像默认保存在“DumpIt软原创 2020-11-29 00:12:04 · 7603 阅读 · 26 评论 -
【FTK Imager篇】FTK Imager制作镜像详细介绍
FTK Imager制作镜像详细介绍以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番—【suy】文章目录FTK Imager制作镜像详细介绍一、磁盘镜像制作步骤(一)选择源证据类型1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)(二)选择需要做的磁盘(三)选择镜像类型(四)填写案件信息(可选)(五)设置镜像参数!1、镜像保存位置、镜像名2、是否分卷!!!默认分卷不分卷3、加原创 2020-11-26 23:01:21 · 17993 阅读 · 10 评论 -
【文件权限篇】利用回收站解除文件权限问题
【文件权限篇】利用回收站解除文件权限问题 --【suy】文章目录【文件权限篇】利用回收站解除文件权限问题一、提示错误1、图像文件打不开-显示不支持此格式2、Word、PDF等办公文件打不开-显示打开文件错误等3、压缩包打不开-提示拒绝访问等二、优先尝试(一)复制到其它盘(二)拖入回收站再还原1、回收站属性调节容量方法2、回收站容量调节路径:回收站->右键“属性”->“常规”->“自定义大小”回收站最大能设置多大呢?总结 有时候在拷贝复制一些文件过程中、如从旧电脑、旧硬原创 2021-04-22 15:56:50 · 891 阅读 · 0 评论 -
【内存取证篇】内存镜像神器-MAGNET RAM Capture
【内存取证篇】内存镜像神器-MAGNET RAM Capture MAGNET取证公司出品的内存取证工具、免费、小巧(300多KB)、操作极简(一步到位?!)、内存镜像可分段—【suy】文章目录【内存取证篇】内存镜像神器-MAGNET RAM Capture就需要设置两样1、设置分段大小2、镜像保存位置内存镜像完成总结就需要设置两样1、设置分段大小 五种:不分段、500MB、1GB、2GB、4GB;2、镜像保存位置自定义内存镜像保存位置(镜像需要自命名);然后点击开始即可。实时原创 2020-12-01 16:14:41 · 4058 阅读 · 0 评论 -
【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真
【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真 星河滚烫,人生有理想! —【suy999】文章目录【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真(一)使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"!!!(三)VMware新原创 2020-10-26 22:53:01 · 17426 阅读 · 17 评论 -
【计算机取证篇】镜像挂载利器-Arsenal Image Mounter
【电子取证:计算机取证篇】镜像挂载利器-Arsenal Image MounterArsenal Image Mounter是一款非常优秀的磁盘挂载工具,在Microsoft Windows中可以将磁盘映像的内容作为“真实磁盘”挂载到系统中。—【suy】文章目录【电子取证:计算机取证篇】镜像挂载利器-Arsenal Image Mounter一、Arsenal Image Mounter简介下载安装![在这里插入图片描述](https://img-blog.csdnimg.cn/202011282104原创 2020-11-28 21:12:04 · 4705 阅读 · 7 评论