![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
取证
Tokeii
是个懒狗
展开
-
被带走的机密文件WP
题目难点在于发现藏于系统中处于打印失败的SPL文件正常解法(仿真解法)导入FTKimager中,选择加载镜像打开Vmware,新建虚拟机根据下图进行新建虚拟机(不同电脑设置可能不同,最主要的是需要后面的仿真设备是否相同)直接进行开机,提示有密码,先关机使用NTPWedit清除或更改密码后重新开机查看日志,在Microsoft-Windows-PrintService/Admin下 可以看到 因为错误删除掉的SPL文件所以需要使用DiskFenius进行文件恢复导出后,使用SPLVie原创 2022-05-08 17:29:59 · 794 阅读 · 0 评论 -
一道国外的标准取证题
Policy Violation Pt.1 142 One of our employees violate the companypolicy by running a malicious document on the company machine after wenoticed that he deleted the files can you bring it back to make someanalysis?Q1. What is the CVE Number and Date of.原创 2022-04-18 08:59:18 · 1461 阅读 · 2 评论 -
volatility3取证windows相关命令
windows.info:显示正在分析的内存样本的OS和内核详细信息windows.callbacks:列出内核回调和通知例程windows.cmdline:列出进程命令行参数windows.dlldump:将进程内存范围DLL转储windows.dlllist:列出Windows内存映像中已加载的dll模块windows.driverirp:在Windows内存映像中列出驱动程序的IRPwindows.driverscan:扫描Windows内存映像中存在的驱动程序windows.files原创 2021-09-25 20:53:01 · 2014 阅读 · 0 评论