蘇小沐的电子数据取证博客

蘇小沐搭建了电子取证网站DFIRDD.com，目前包含取证分类、软件库、法规库、友链导航等模块，后续将持续完善。网站提供电子取证相关资源整合，欢迎访问并提出建议。

摘要：本文探讨了监控视频数据恢复中的特殊情形，即固定名称、固定区域存储的数据恢复问题。实验环境采用FTK Imager和X-Ways Forensics工具。研究发现，此类监控视频具有五个特点：文件名固定、大小固定、存储位置固定、时间一致以及数据循环覆盖，导致无法从空闲区域恢复。人为删除或伪造视频时，新数据难以保持原始存储位置和连贯性。文章还提供了资源获取方式，并强调数据恢复的局限性。

本文介绍了Windows设备名称修改的相关操作和验证方法。通过运行winver和msinfo32命令可查看系统信息，注册表中记录的系统版本可能与实际显示不一致。重点分析了事件查看器中ID为6011的日志记录，验证了设备名称修改后需要重启才会生成相关日志。文章还列举了凭证管理器、系统配置等其他可能存储设备信息的位置，并提供了相关截图和事件ID说明。最后给出了资源获取方式和版权声明，适合作为Windows设备名称修改的参考指南。

蘇小沐电子取证资源库

公众号回复关键词【电子取证标准】自动获取资源合集

简要记录下GHO系统镜像还原及系统仿真的过程---【蘇小沐】

听说你还分不清镜像的源盘哈希和镜像文件的哈希？镜像的两层防护，镜像的源盘哈希、镜像文件的哈希傻傻分不清---【蘇小沐】

本文通过对某虚假理财类案的调证服务器镜像进行仿真，初始网站还原失败，通过一步步的查找分析配置环境，最后成功重构PHP网站---【凌风、蘇小沐】

数据的价值远超案件，很多数据的价值没在当前的案件中发挥作用，并不代表着它就没有用。在 NTFS 文件系统中，可以通过隐写来将一些不为人知的、甚至是恶意的程序、代码隐藏在"NTFS 数据流（ADS）"等特殊文件中，一般的文件管理器和工具是无法发现和对其处理的，本文通过一些介绍，来初步认识下常用的Windows操作系统NTFS文件系统数据流\---【蘇小沐】

一路走来，磕磕碰碰，也遇到许多朋友，总之，感恩相遇，愿所有的后会有期，都是他日的别来无恙！书写片面，纯粹做个记录，有错漏之处欢迎指正---【蘇小沐】

公众号回复关键词【电子取证标准】自动获取资源合集---【蘇小沐】

系统仿真是个很神奇的东西，他能让你开心玩，也能让你崩溃。真的是没想到还有用的上FTK Imager3.1版本的一天，上一次使用应该还是2020年的时候，也是遇到一个奇葩的镜像死活起不来，这次没想到在ESXi又遇上，而且我一直引以为傲的Arsenal Image Mounte主力居然也不行。书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词【ESXi】自动获取资源合集。！！转载引用请注明出处，著作所有权归 [蘇小沐] 所有】记录开始编辑：2024年 05月 06日‍。

记系统镜像仿真常见错误集---【蘇小沐】

简单记录下WinHex哈希校验大小写值转换和新增加的一些功能、常用设置，WinHex时不时增加点小功能的，挺喜欢这种的，像挖宝藏一样，总会给你一些惊喜\---【蘇小沐】

本篇主要测试微信收藏图片的功能，发现许多有意思的地方，**微信收藏图片缓存的文件目前发现有三个地方，都是在Fav下，名称都一样，有直接原始图片，也有加密的形式……，而且微信收藏的图片另存的大小和缓存的大小一致，但却和收藏中转发出去的还不一样大，从收藏中转发的图片会被再次压缩**\---【蘇小沐】

最近在测试微信收发图片和收藏的功能，发现许多有意思的地方，**微信收藏图片缓存的文件目前发现有三个地方，都是在Fav下，名称都一样，有直接原始图片，也有加密的形式……，而且微信收藏的图片另存的大小和缓存的大小一致，但却和收藏中转发出去的还不一样大，从收藏中转发的图片会被再次压缩。**先简单做个笔记---【蘇小沐】

Mac 电脑会提供文件保险箱，这是一项内建加密功能，用于保护所有静态数据安全。文件保险箱使用AES-XTS数据加密算法保护内部和可移除储存设备上的完整宗卷。搭载 Apple 芯片的 Mac 上的文件保险箱会通过使用宗卷密钥的数据保护 C 类来实施。在搭载 Apple 芯片的 Mac 电脑和搭载 Apple T2 安全芯片的 Mac 电脑上，直接连接到安全隔区的加密内部储存设备会使用安全隔区的硬件安全性功能和 AES 引擎的功能。用户在 Mac 上启用文件保险箱后，启动过程中将需要其凭证【蘇小沐】

密码杂凑算法（Hash Algorithm）也称作“散列算法、哈希（Hash）算法”，在现在的密码行业标准中统称其为密码杂凑算法，简称“杂凑算法”或“杂凑函数”。因为音译及前期习惯，我们普遍遇到的都是MD5、SHA1、SHA2多，所以口语习惯叫"哈希算法"。实际还有很多算法，如国密SM3算法是国内自主研制的，所以在密码行业领域会更加倾向于叫"密码杂凑算法"。目前MD5、SHA1都已被破解，所以不建议再使用两种哈希算法来校验文件【蘇小沐】

哈希值（散列值）是针对电子数据内容来计算的，内容变则哈希变；但计算对象的文件名、文件时间等属性改变不会影响散列值！！！---【蘇小沐】

这款网络工具里面的链接我最后一次更新是在2022年10月，后面我将其它工具集合到一起后就没再更新，如遇到失效的链接请自行更换或自定义添加等。书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词【工具箱】自动获取资源合集。！！**转载引用请注明出处，著作所有权归 [蘇小沐] 所有】记录开始编辑：2020年 11月 02日最后编辑：2024年 03月 21日。

【视频图像取证篇】模糊图像增强技术之锐化类滤波场景应用小结【蘇小沐】

模糊图像增强技术之色彩空间HSI滤波器---【蘇小沐】

模糊图片复原车牌号常用的技术原理和实战应用。本文的模糊图像和真实案例无关，部分图像是个人日常生活中特意拍摄当作模糊图像研究素材的！---【蘇小沐】

Impress模糊图像增强技术之颜色滤波器场景实例教程---【蘇小沐】

通过渗透测试工具apk2url快速检索APK开发过程中没有删掉的URL地址，来发现一些搜索引擎、子域名查找不到的资源，从而进一步收集信息查找后台等。工具不是终点，而是起点，好的侦查案件思维、分析能力，分析方向都需要不断的积累进步！需要更专业的还是比较推荐取证厂商的产品，省时省力【蘇小沐】

使用untrunc视频修复软件可恢复部分损坏（截断）的mp4，m4v，移动，3GP视频。视频受损因素较多，仅对部分受损的视频可以恢复，建议多尝试一些参数设置，或者更换软件、手动编码修复等。【蘇小沐】

挖一挖微信图片，看它藏着个什么世界---【蘇小沐】

简单写下WinHex数据擦除功能---【蘇小沐】

Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核，一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能，我们在系统审计取证分析时，可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】

记录一下阿里云DNS服务器命名规则，IP解析会用得上---【蘇小沐】

WinFR界面版完全调用Windows文件恢复（Microsoft 命令行应用程序），可快速从Windows11/10中恢复已删除的文件---【蘇小沐】

以Ping命令为例，最近遇到ping命令无法使用的情况，很多情况都是操作系统"环境变量"被改变或没有正确配置导致\---【蘇小沐】

书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词自动获取资源合集，如链接失效请留言，便于及时更新。转载引用请注明出处，著作所有权归作者 [蘇小沐] 所有】记录开始编辑：2024年 01月 15日最后编辑：2024年 01月 15日。

【DFIR蘇小沐】回复对应资源的名字可自动获取。

逆向是一个漫长的过程，以上只简单的对当前主流脱壳方法进行了脱壳分析，在网络的发展中，各种高级加壳、花壳、混淆技术等越来越高级，进阶Apk脱壳技术通过dump内存中处于解密状态的dex，进行修复分析，普通的逆向将难以应对---【蘇小沐】

证伪存真，可以天马行空大胆推测，不放过任何的可疑点，但验证必须要依据事实证据，做到脚踏实地，还原事件真相。【蘇小沐】

汽车OBD（On-Board Diagnostic System，OBD）即"车载诊断系统"，用于监测和诊断车辆的状况。OBD系统的应用源于欧III排放标准。OBD是通过各种部件信息联接到"电控单元（ECU）"，当汽车与控制系统有关的系统或相关部件发生故障时，由ECU中存储的DTC(故障码)会记录故障信息和相关代码，并通过故障灯发出警告来告知驾驶员。传统的OBD装置监测多个系统和部件，包括发动机、催化转化器、颗粒捕集器、氧传感器、排放控制系统、燃油系统、GER等。

大多数为开源或免费的电子取证相关工具---【蘇小沐】

Windows高级启动禁用驱动程序签名---【蘇小沐】

华为设备在鸿蒙OS3系统之后，部分设备启用"允许USB调试"方式会有所变化，再次做个记录---【蘇小沐】