墨者 - Windows硬盘文件分析取证(新建的用户名)

最新推荐文章于 2023-12-31 12:08:20 发布
最新推荐文章于 2023-12-31 12:08:20 发布
阅读量547 收藏
点赞数 1
分类专栏: 墨者刷题笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39936434/article/details/95073197
版权
本文介绍如何使用FTK工具挂载镜像文件,并从Windows系统的SAM文件中提取用户信息。通过将SAM文件复制到Kali Linux环境中,利用chntpw工具进行密码破解,最终获取系统用户的登录凭据。
摘要由CSDN通过智能技术生成

用ftk挂载镜像

 

 找到SAM文件,因为几乎所有window的用户创建都会在这个文件里

 

将SAM文件拷贝到kali里,用chntpw 工具来爆破

具体参考链接:https://ywnz.com/linuxjc/90.html

爆出用户名,一个个试就行了

 

吃肉唐僧
关注
专栏目录
Windows取证——登录过的用户名新建用户名和访问的网址文件墨者学院)
记录并分享学习安全的知识点..
09-28 854
Windows取证——登录过的用户名新建用户名和访问的网址文件墨者学院)
墨者学院—Windows硬盘文件分析取证:连接过的FTP地址(简单复习)
LRedAnt的博客
12-31 687
墨者学院—Windows硬盘文件分析取证:连接过的FTP地址(简单复习) 背景描述: XP系统连接过的FTP记录都会以文件的形式保存在本地电脑,默认在C盘下,对于不同的Windows系统,存放的位置可能有差异,但是XP系统会保存在当前用户文件下的历史记录问文件文件格式是“.dat”的文档格式,如果用记事本等打开,内容会出现一定的乱码。 挂载工具:AccessData FTK Imager 靶场实...
Windows硬盘文件分析取证(新建用户名)
asd158923328的博客
08-20 387
靶场地址: https://www.mozhe.cn/bug/detail/QkpTbTNyLzJNZFZNaExwVzM3dE1mdz09bW96aGUmozhe 根据题意 进入环境,下载文件,用AccessData FTK Imager挂载镜像 找到SAM文件,因为几乎所有window的用户创建都会在这个文件里 在linux 下使用命令chntpw -l SAM 验证用户得到key ...
[墨者学院] Windows硬盘文件分析取证(新建用户名)
0of_blog
05-30 1858
题目 题解 他给了一个百度云链接,下载解压后是一个E01文件 先看一眼文件格式 在这里,我们使用accessDate这个工具挂载image 挂载到文件系统,进入E盘,先把隐藏的项目勾上 然后就能看到隐藏的Application Data了 看到用户头像,有那么几个 lihua是一只都存在的,Users目录就看到了lihua这个目录,应该是使用过。而没有momo目录,说明应该是新建的。 最后答案就是momo了 ...
墨者 - Windows硬盘文件分析取证(远程登录的IP地址)
吃肉唐僧的博客
07-16 793
下载文件ftk打开挂载镜像 上网百度后,发现Default.rdp 文件是使用远程桌面协议(RDP) 连接到远程计算机时,相应程序在计算机上创建的文件。 所以直接在搜索Default.rdp 找到了记录的ip地址 ...
墨者学院_Windows硬盘文件分析取证(登陆用户的用户名)
ierciyuan的博客
09-05 353
墨者学院_Windows硬盘文件分析取证(登陆用户的用户名)
在线靶场-墨者-电子数据取证1星-Linux硬盘文件分析取证(MySQL操作记录)
weixin_42079912的博客
07-19 371
打开靶场网页,下载文件,下载文件后是压缩文件,解压后发现是img镜像文件。img文件需要挂载才能读取。于是下载AccessData FTK Imager软件。下载地址:https://download.csdn.net/download/sunwen551/10839742 下载完软件后,点开软件,按照下图步骤: 找到root文件里的.mysql_history文件,在文件查看数据库更改的...
墨者学院 windows硬盘文件分析取证(新建用户名) 犯罪嫌疑人在使用过电脑之后并
12-15
墨者学院的Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机...
[墨者学院] Windows硬盘文件分析取证(登陆用户的用户名)
0of_blog
06-01 419
犯罪嫌疑人在使用电脑时,登录过www.laifudao.com这个网站,分析硬盘文件并找到登录这个网站的用户名
在线靶场-墨者-电子数据取证1星-Windows硬盘文件分析取证(新建用户名)
weixin_42079912的博客
08-09 358
打开靶场网页,下载文件。 使用accessdata ftk imager挂载windows分区,找到sam文件。 将sam文件复制到kail虚拟机处,使用chntpw工具。kail linux 输入chntpw -l sam。即可得到用户名。 或者使用ntpwedit软件,直接查看sam文件里的内容。 查看到有几个用户名,根据id可以看出momo的id是最大的。所以momo是新建用户名,...
Windows硬盘文件分析取证(连接过的FTP地址)
asd158923328的博客
08-20 491
靶场地址: https://www.mozhe.cn/bug/detail/UDl1dXYzdithbHNCaVNPNVdQY1lyQT09bW96aGUmozhe 根据题意 进入环境,下载文件,AccessData FTK Imager挂载 寻找history.ies 的 index.dat 直接用记事本打开index.dat,ip地址一般是1字开头,直接寻找找到 验证数据,得到key ...
Windows快捷方式文件格式解析
weixin_33963189的博客
12-01 154
大家知道通过IShellLink接口可以得到快捷方式的各种属性。具体怎么做,网上有很多文章,这里就不介绍了。现在主要是分析一下快捷方式文件的格式,并且自己写一个解析程序。为了方便大家理解,解说完每个段后附上一个快捷方式对应部分的事例数据并附内容解说。这里以Windows Media Player在桌面上的快捷方式为例。一、文件的整体结构二、文件文件头结构,参照下面表格: ...
Windows文件分析--文件夹篇
06-12
详细讲解了对Windows文件分析--文件夹篇
windows系统排查-文件分析
IT之一小佬的博客
05-03 2597
Windows分析排查介绍: 分析排查是指对Windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘Windows系统中是否具有异常情况。 目的在于:保护Windows系统安全 文件分析-开机启动文件 一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动。在Windows系统中可以通过以下三种方式查看开机启动项: 1、利用操作系统中的启动菜单 C:\Users \Administrator\AppData\RoamingMicroso...
Windows磁盘空间占用分析工具-WizTree
最新发布
yiwenrong的博客
12-31 1710
选中C盘,点击“扫描”按钮,它可以快速扫描并分析你的电脑C硬中文件文件夹,并以可视化块状的方式展示使用情况。这样你就很方便找到占用磁盘空间大的文件。平时我们电脑用久了,产生很多文件,导致盘符空间不足,但是不知道那些文件占用比较多,这就需要磁盘空间分析工具-WizTree来分析文件占用情况。
WINDOWS常见文件夹完全解析
平淡中求进取,柔和里觅激情
07-05 3385
  ├─WINDOWS│ ├─system32(存放Windows的系统文件和硬件驱动程序)│ │ ├─config(用户配置信息和密码信息)│ │ │ └─systemprofile(系统配置信息,用于恢复系统)│ │ ├─drivers(用来存放硬件驱动文件,不建议删除)│ │ ├─spool(用来存放系统打印文件。包括打印的色彩、打印预存等)│ │ ├─wbem(存放WMI测试程序,
在线靶场-墨者-电子数据取证1星-Windows硬盘文件分析取证(恢复删除文件)
weixin_42079912的博客
08-09 458
打开靶场网页,下在文件,发现是img文件。 解压。下载DiskGenus工具,下载地址http://www.diskgenius.cn/download.php 使用DiskGenius工具,点击磁盘,打开虚拟硬盘文件,根据题意,我们需要恢复文件。点击恢复文件。 恢复文件后,找到了一个存放数据的文本,将其输入靶场发现得不到key。 将这个文本里的内容使用md5解密,得到xiaoming。将...
墨者 - Windows硬盘文件分析取证(恢复删除文件)
吃肉唐僧的博客
07-15 1003
下载文件,根据题目提示 用diskgenius打开 dg1.txt文件,但是是MD5加密之后 解密后得到数据值
WINDOWS系统文件
weixin_34372728的博客
02-21 129
AACCESS.CHM - Windows帮助文件 ACCSTAT.EXE - 辅助状态指示器 ADVAPI32.DLL - 高级Win32应用程序接口 AHA154X.MPD - SCSI驱动程序 AM1500T.VXT - 网卡驱动程序 AM2100.DOS - 网卡驱动程序 APPSTART.ANI - 动画光标 APPS.HLP - Windows帮助文件 AUDIO...
墨者 - Windows硬盘文件分析取证(登陆用户的用户名)
吃肉唐僧的博客
07-11 466
E01文件,挂载文件 在liuhua用户找到cookies目录 有两个文件lihua@laifudao 相关文件,一一打开,就发现用户名
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值