YT的博客

计算机取证目标计算机取证要解决的问题是：找出是谁 (Who)、在什么时间 (When)、在那里 (Where)、怎样地 (How) 进行了什么 (What) 非法活动。以网络入侵为例，具体而言，计算机取证需要解决以下几个问题：攻击者什么时间进入系统，停留了多长时间攻击者是如何进入系统的攻击者做了什么如何找到、并证明攻击者是现实中的某个具体行为人被害者的损失情况攻击者的行为动机…...

一般情况下，当发现 Windows 系统受到入侵而需要对系统进行取证分析的时候，首先需要关闭系统，然后对硬盘进行按位（bit-level）备份。但是有些重要的入侵数据一旦关机往往会丢失。这些证据主要存在于被入侵机器的寄存器、缓存、内存中。主要包括网络连接状态、正在运行的进程等信息。这些数据被称为易失性数据。主要的易失性数据包括：系统日期和时间当前运行的活动进程当前的网络连接当前打开的...

FAT 文件系统FAT 文件系统分为 5 个部分：MBR区MBR(Main Boot Record 主引导记录区) 位于整个硬盘的 0磁道 0柱面 1扇区，占用 512 字节。① MBR 引导程序占用其中的前 446 个字节② 随后的 64 个字节为硬盘分区表（DPT）。每一个分区为 16 个字节，故共可以划分 4 个主分区。③ 最后 2 个字节是分区的阶数标志 0x55AADB...

初始响应阶段应该收集的数据：系统日期和时间当前登录的用户清单整个文件系统的时间/日期戳当前正在运行的进程列表当前打开的套接字列表在打开的套接字上监听的应用程序列表当前或最近连接到系统的系统列表易失性数据收集：首先需要上传取证人员自己可信任的 shell记录系统的日期和时间：date记录网卡信息，包括网络地址和状态等：ifconfig -a查看系统每...

虚拟机镜像文件转化你命里：qeum-imgqemu-img convert -p -f raw xxxx.raw -O vmdk xxxx.vmdk-p 显示转换进度-f 原有镜像格式-O 输出镜像格式

① 按 e 进入编辑模式② 修改启动方式注：有时候需要将ro改为rw在最后加上init=/bin/sh，有时可以使用init=/bin/bash③ 按 Ctrl + x 进入单用户模式④ 挂载根目录mount -o remount,rw /⑤ 选择要修改密码的用户名进行密码修改演示修改 root 用户的密码，先输入passwd root，然后输入两次一样的新密码⑥ ...