- 博客(5)
- 收藏
- 关注
RSS订阅原创 电子数据取证读书打卡5
①磁盘驱动器:一个典型的磁盘驱动器每个扇区存储512字节。(对于高级格式磁盘,每个扇区存储4096字节)将柱面数乘以磁头磁头数,再乘以扇区数,就可以确定磁盘上可寻址字节的总数。②Windows操作系统可以有三个主分区,后面跟着一个扩展分区,扩展分区可以包含一个或者多个逻辑驱动器。检查分区物理级别的一种方法是使用磁盘编辑器,如winhex或者hex workshop。并详细介绍了使用winhex确定磁盘操作系统的步骤。...
2021-04-09 10:15:21
67
原创 电子数据取证读书打卡4
处理电子证据的一般任务识别可以作为证据的数据信息或其他人工制品收集、保存和记录证据分析、识别和组织证据重建证据或重复一个情况,以验证结果可以可靠的复制在现场获取电子证据的指导原则准备获取数字证据处理事故或犯罪现场授权人才可以进入现场如果可能,指派一个人收集并记录所有证据。尽量减少·处理证据的人数,以确保其完整性。标记你收集的所有证据,包括当前的日期时间、序列号或独特特征、品牌和型号,以及收集者的姓名。维护收集的证据的两个单独日志,以核对审计控制目的,并验证你收集的一切。持续控
2021-04-01 18:26:17
97
原创 电子数据取证读书打卡3
(三)数据采集数据采集就是复制数据的过程。对于数字取证,它的任务是从电子媒体收集数字证据Linux操作系统有很多工具可以用来修改非Linux文件系统。FTK Imager是一个数据采集工具,包含在AccessData 取证工具包的授权副本中。主机保护区域(HPA)磁盘驱动器为引导工具和诊断程序预留的区域。实时采集一种数据采集方法,当一个可疑的计算机不能被关闭来执行静态采集。高级取证格式(AFF)一种存储图像数据和元数据的开源数据采集格式。逻辑采集这种数据采集方法只捕获案例感兴趣的特定文件或
2021-03-25 21:10:49
350
原创 电子数据取证读书打卡2
本章节叙述了电子取证实验室的相关内容。便不再总结,给大家分享一下一些取证小知识有关于镜像的SHA-256值,一般直接使用取证大师进行计算,太耗时间了。***对于E01镜像,一般的资料中会提到,制作EO1镜像的时候,可以保存磁盘的MD5值和/或SHA-1值,大多数取证软件也支持对这两个值的提取。***在第六届美亚杯部分镜像中保存的并不是MD5值及SHA-1值,而是MD5值和SHA-256值,用X-Ways可以直接读取镜像中的SHA-256值,加载镜像中直接右击镜像节点,选择“属性”即可,整个过程5秒钟
2021-03-17 17:54:18
286
原创 电子数据取证读书打卡1
《Guide to Computer Forensics and Investigation 5th Edition》读书打卡总结一、了解电子数据取证专业和调查2012年10月,国际标准化组织(ISO)批准了数字取证标准,ISO27037信息技术-安全技术-识别、收集、获取和保存数字证据指南,定义了获取和保存数字证据的人员和方法。为解决出现的跨国案件,每个国家的机构都应制定符合这一标准的政策和程序。数字取证也不同于数据恢复,后者涉及检索因错误删除或在电脑或服务器崩溃期间丢失的信息。在数据恢复中,通
2021-03-10 10:37:38
342
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人