柳似烟的专栏

基于热重启（warm-boot）的内存镜像获取，提取内存敏感数据信息，实现取证目的

同样的，具备TPM芯片的电脑，在系统中存在一个\Device\TPM的设备以及对应的TPM驱动程序，所以，当对系统进行基于TPM芯片的Bitlocker加密时，存在DeviceIOControl的交互，下面通过抓包来窥探这一过程。同样，基于TPM的安全启动链也不做过多解释，简单说就是当电脑通过TPM进行全盘加密后，后期对电脑的改动影响系统启动，PCR校验不通过时，触发输入恢复密钥的“蓝屏”。通过分析保存的json格式的文件，追踪文件句柄，得到TPM加密时的所有与驱动层的交互数据。PCR校验位图解释如下。

ReflectiveDLL注入后的一种触发DLL卸载操作

qemu 安装windows arm系统

追查WinHttpReceiveResponse错误的根本原因

在计算机取证界，经常遇到嫌疑人的目标电脑的磁盘是经过BitLocker加密的，此时通常的做法是通过某种手段（WinPmem、DumpIt、DMA PCILeech，ColdBoot等）取得目标机内存镜像，同时对目标机的磁盘做一个磁盘镜像（WinFE，WinHex，FTKImage等）。而后，对获取的内存镜像分析（MemProcFS等工具）取得BitLocker的VMK密钥，然后通过VMK密钥解密目标磁盘镜像（取证大师等工具），进而获取磁盘中的文件。

WinAPI代码方式启用外置存储设备的写缓存，提高写文件性能

RDP缓存分析、RDP取证方式，RDP，取证

向日葵RCE远程命令执行

shellcode：void __declspec(naked) inject_func(){ __asm { pushad; push 11111111h; // dll路径 mov eax, 22222222h; // LoadLibrary call eax; // 调用LoadLibrary popad; push 33333333h; // 返回地址 }}话不多说，撸代码，看代码int inject_running_thread(i

传递消息的结构体：struct dbwin_buffer{ DWORD dwProcessId; char data[4096 - sizeof(DWORD)];};具体实现，直接艹代码：void my_outputdebugstring_ansci(const char *msg){ HANDLE mutex = CreateMutexW(NULL, FALSE, L"DBWinMutex"); DWORD err = GetLastError();

一次项目，需要用到MTP协议存储文件数据，参考微软的WpdApiSample相关代码实现，下载地址如下：https://github.com/microsoft/Windows-classic-samples/releases/download/MicrosoftDocs-Samples/wpd-sample.zip功能代码完成后，在一次连续的通过MTP操作文件后，再次通过MTP操作文件时，出现调用阻塞较长时间的情况，这一情况只在MTP设备（手机）首次接入PC后出现，根据该情况进行分析。通过多次

Windows读取物理磁盘很简单，通过文件操作相关API即可实现，如：handle = CreateFileA("\\\\.\\physicaldrive0",...);ReadFile(handle,...);CloseHandle(handle);

PC中的一个分卷，如果启用了Bitlocker开机自动解锁功能，会在系统的注册表中记录自动解锁的密钥信息，该密钥信息是经过加密存储的，无法直接用来解密分卷。并且会生成一个meta entry type为0x000b的元数据，存储在加密的系统盘Bitlocker结构中。注册表位置如下：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FVEAutoUnlock\{volume identifier guid}其内容如下：Data部分的数据就是加

按下列方式操作：

在Window 64位系统中，System32文件夹存放64位的程序，SysWoW64文件夹存放32位程序，当一个32位程序访问System32文件夹时，系统会自动重定向到SysWoW64文件夹，如：当32位程序通过CreateProcess创建C:\Windows\System32\nbtstat.exe进程时，系统自动重定向到C:\Windows\SysWoW64\nbtstat.exe文件，...

在一次项目中，需要做一个公共的DLL模块，该DLL需要有弹出窗体，以此做一记录，备忘！首先用vs2008新建一个Win32 DLL工程在vs2008中选中并右击该工程名，选择添加一个Dialog资源在需要弹出窗口的位置插入如下代码：ret = DialogBoxParamW(g_dllmodule, MAKEINTRESOURCEW(IDD_DIALOG1), parent_hwn

市面上存在一种usb设备叫BashBunny，将该BashBunny插入目标锁屏windows电脑后，就可以抓取到windows的密码hash，然后通过彩虹表或者爆破的方式即可还原目标主机的密码。后来通过进入该设备发现，其主要功能是通过Responder实现，获取windows密码hash的协议主要有SMB，HTTP，MSSQL，涉及的知识点有WPAD协议，NBNS，LLMNR等协议，以及页面

Ghost Tunnel技术相关介绍请参考：《Ghost Tunnel：适用于隔离网络的WiFi隐蔽传输通道》通过文章我们知道，实现这种攻击需要满足一下条件：需要在目标机中植入客户端程序，用以接收指令和发送目标机信息到控制端，植入方式可以为远程植入、现场植入；目标机需要具备无线网络适配器，一般笔记本是自带无线网卡的，其它情况可以插入USB无线网卡实现；目标机发送数据利用的是Probe Reques...

法证PE下，内置磁盘不会自动加载，需要手动将磁盘联机，通过手动操作磁盘管理器中磁盘实现联机，磁盘具备读写权限，但多个磁盘情况下，有的磁盘无法通过手动操作方式联机（但可以通过DiskPart工具实现将该磁盘连接，但联机后的磁盘为只读，并且无法抹掉磁盘的readonly属性），该种情况下如何实现所有磁盘联机并且具备读写权限呢？首先在DiskPart中设置磁盘san策略为onlineall，如下图所...

在注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\Windows Error Reporting修改DontShowUI的值为1，十六进制为0x00000001