数据取证知识点记录（一）

1. windows 用户密码存放在SAM文件里（位置在C:\Windows\System32\config\SAM）,SAM的意思是SecurityAccountManager。 在本地破解密码可以使用SAMinside工具进行。
2. webBrowserPassView可以查看浏览器保存的账户名密码。
3. winhex 中可以搜索文本，也可以搜索16进制数据.
4. windows 本地安全管理中可以设置对于用户的管理和登陆审核，以及对于文件的审核。
5. WIFI加密方式可以分为WEP WAP WAP2三种，其中WEP已经落伍。 aircrack-ng（kali自带）可以进行密码破解。
6. INF是Device INFormation
   File的英文缩写，是Microsoft公司为硬件设备制造商发布其驱动程序推出的一种文件格式，INF文件中包含硬件设备的信息或脚本以控制硬件操作。在INF文件中指明了硬件驱动该如何安装到系统中，源文件在哪里、安装到哪一个文件夹中、怎样在注册表中加入自身相关信息等等。安装监视器、调制解调
   器和打印机等设备所需的驱动程序，都是通过INF文件，正是INF的功劳才使得Windows可以找到这些硬件设备的驱动并正确安装。
7. 木马加壳：当你加壳时，其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当你执行这个程序的时候这个壳就会把原来的程序在内存中解开，解开后，以后的就交给真正的程序。所以，这些的工作只是在内存中运行的。 压缩后的程序可以直接运行。
8. wbStego可以实现在TXT、HTML和PDF等文件中隐藏秘密信息。
9. S-tools可以对WAV格式的音频文件、GIF和BMP格式的图像文件进行信息隐藏。
10. Advanced Office Password Recovery 可以破解office文件的密码
11. EFS是Windows自带的加密机制
12. notepad++ 可以使用插件来优化显示等等，比如以json方式显示。
13. FastIR Collector是一个Windows下的信息收集工具，收集的东西揽括了所有你能想到的东西，不限于内存，注册表，文件信息等。（可以直接在操作系统里运行以收集数据）
14. DiskGenius 可以用来进行磁盘数据恢复，磁盘备份等等。
15. C32Asm是一款国产的16进制编辑器，可以十分方便的对二进制文件进行各种编辑操作，同时支持反汇编操作。同类的16进制编辑工具还有WinHex、010Editor等。
16. binwalk 也可以用在磁盘取证类的题目