学习笔记第三章

最新推荐文章于 2024-12-30 23:11:44 发布
最新推荐文章于 2024-12-30 23:11:44 发布
阅读量311 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46121740/article/details/115223264
版权

学习笔记第三章

Windows验证方法
与linux不同,Windows没有内置的数字取证哈希算法工具,很多Windows第三方程序都有多种内置工具。这些第三方程序从十六进制编辑器(如X Way WinHex或断裂点软件十六进制讲习班)到取证程序(如ProDiscoverer、Enase和FTK)。在第9章中,您将了解如何通过使用十六进制编辑器查找和验证没有文件关联或文件中的节的数据组来散列特定数据。
商业鉴证程序也有内置的验证功能。每个程序都有其专有格式的采集数据使用的向下验证技术。例如,ProDiscover.eve文件包含获取文件中的元数据或分段文件,包括可疑驱动器或分区的哈希值。将图像数据加载到ProDiscoverd中,然后将其与存储的元数据中的散列值进行比较。

如果哈希没有匹配,ProDiscover会通知您获取信息已经损坏,不能被视为可靠的证据。此功能称为“自动验证图像校验和”。
然而,在ProDiscoverand许多其他的取证工具中,原始格式的图像文件并不包含元数据。如前所述,建议对分析时的所有RAWAcquipment单独进行手动验证。以前生成的原始格式获取的验证文件对于数字证据的完整性至关重要。保存的验证文件可以稍后使用,以检查获取文件是否仍然良好。
在FTK Imager中,当您选择ExpertWitness(.e01)或SMART(.so1)格式时,将显示其他验证选项。此验证报告还列出了MD5和SHA-1哈希值。MD5哈希值被添加到专有格式图像或被分割的文件中。当将此映像加载到FTK、SMART或X-WaysForensics(只能读取.e01和原始文件)时,将读取MD5哈希,并将其与图像进行比较,以验证获取是否正确。
您可以在网上找到其他开源哈希工具;只需搜索“WindowsOpenSource散列”即可找到最新可用的Windows哈希工具。例如,最近一次搜索发现了SourceForge md 5深度,网址是http://md5深处.SourceForge.net和SoftwareInversion atbttp:/lsoftwaresolution.informer.comlHash-Tool.。

NPCzfl
关注
CTF-数字取证合集
admin的博客
11-27 7419
本题来自moectf的easyForensics。 下面是题目链接: https://masternoah.lanzoui.com/iFXVfsy5o3e 一、首先下载软件X-ways Forensics 我们可以了解一下e01文件的文件类型。参照下面这篇文章。一句话来讲就是e01就是一个计算机某一时刻全部操作的证据文件。 封装E01文件格式说明 — 磁盘映像取证 (forensicsware.com) 二、打开文件 文件打开后是这个样子: 然后点击这个按钮,就可...
机器学习笔记 第三章线性模型
qq_53034510的博客
07-22 997
线性判别分析(简称LDA)是一种经典的线性学习方法,LDA的思想非常朴素,给定训练样例集,设法将样例投影到一条直线上,设法将样例投影到一条直线上,使得同类样例的投影点尽可能接近、异类样例的投影点尽可能远离;“一对其余”(简称OvR)则是每次每次将一个类的样例作为正例、所有其他类的样例作为反例来 训练N个分类器,训练N个分类器,存储开销和测试时间小;作为正例的相对可能性,对几率取对数得到“对数几率”。以上式子实际上是用线性回归模型的预测结果去逼近真实标记的对数几率,因此,其对应的模型称为“对数几率回归”。
计算机取证(Windows)FTK+X-Way取证复制
zsrzy的博客
04-05 8440
计算机取证(Windows)FTK+X-Way取证复制
数字取证一 证据固定、文件过滤、文件类型、文件签名、文件哈希
凌阳的博客
03-26 2926
实验一: 1.创建磁盘镜像校验哈希值并获取磁盘摘要或报告。 校验哈希值正确。 2. 查找所有分区中,扩展名为 doc 和 docx 的所有文档有多少个? 在点击的“文件名称”属性旁边的小漏斗,过滤出含有doc,docx文件名称。 在每个分区中选择浏览递归。 在分区1中筛出5个文件。 在分区2中筛出11个文件。 在分区3中筛出5个文件。 在分区4中筛出1个文件。 一共筛出了22个文件。 3.统计分区2中,路径名称包含mobile的文件数量 在上
X-ways_Forensics_教程
07-24
X-ways_Forensics 综合取证分析工具教程,另,《快速入门》手册及升级下载 HTTP://www.china-forensic.com\xways\index.htm
Windows环境取证
stillaway的博客
03-13 2815
电子取证里的Windows环境取证
ARM Cortex-M3权威指南学习笔记 第三章
07-19
本章节的学习笔记将围绕以下几个核心知识点进行详细阐述。 首先,向量表是Cortex-M3异常处理机制中的一部分。向量表是一个由32位整数构成的数组,每个数组元素称为一个向量,与一种异常类型相对应。向量表的每个...
Python学习笔记 第三章(变量,表达式,运算符)
12-22
三、算术运算符与表达式 四、基本的输入输出 一、变量 变量的定义: 变量有一个名字 并且包含一个值 在Python中会自动判断数据类型(type(变量)来输出变量类型) 支持的数字类型: int,float,complex 变量的声明: test_...
《统计学习方法》学习笔记 第一章概论
01-20
1、统计学习:监督学习、非监督学习、半监督学习、强化学习  对于监督学习:对于给定的、有限的、用于学习的训练数据集合出发,假设数据是独立...3、三要素 3.1 模型 对监督学习,就是条件概率分布或决策函数 3.2 策略
西瓜书学习笔记第三章
06-06
西瓜书学习笔记中的内容通常指的是某本书籍或在线课程的学习资料,由于没有具体的书籍名称和章节信息,我无法直接提供详细的第三章内容。西瓜书可能是网上的一个通用术语,用于指代某种学习资源的组织形式,比如某个...
综合取证工具ProDiscover
07-31
ProDiscover® 系列计算机安全工具使得系统管理员和调查员可以在计算机磁盘中迅速找到所需要的数据。
计算机安全检查取证系统
04-26
计算机安全检查取证系统查看电脑之前的操作,系统应用软件,以及上网缓存查证。
Discover Pro软件
12-10
电脑通过WIFI和I9000传文件,并且关键要在设置里面点选“只管理SD卡的文件”,然后就可以用了。
(四)计算机取证-用FTK Imager-X ways Forensics取证复制
m0_47110032的博客
05-31 2979
计算机取证-用FTK Imager-X ways Forensics取证复制
X-ways一把梭2024年美亚杯U盘取证(MFT详解-附工具检材链接)
m0_37867238的博客
12-30 1071
常见的是标准属性(0x10)、文件名属性(0x30)、数据流属性(0x80)和位图属性(0xB0)等,一个文件记录至少包含0x10和0x30属性。上图中,“3”代表簇流起始簇号的0x02AD0B的3个字节,“2”代表的簇流长度的簇流长度的0x0388的2个字节。4.承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少?6.承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少?
手动打开e01镜像文件并进行计算机取证
热门推荐
不忘初心,护天下安全!
02-28 3万+
每次开始一篇新的关于取证的博客,我必须要不断重复:真实性、关联性、合法性。 1.问题引入 在上电子取证课的时候,老师展示了一道题目,大意就是怀疑张三泄漏公司机密,泄密对象为6张灵猴的图片,现在对他的电脑进行证据固定,制作镜像文件为Disk.e01。经过证据固定及哈希计算,Disk.e01 MD5值为:F3EAAE7667BBB9E42F846408C65A7FBA。 首先我们需要明白一件事情...
虚拟机的创建与镜像导入
weixin_63155544的博客
12-19 5215
虚拟机的创建与镜像的导入
四种电子取证软件的比较
caoyongsheng的博客
09-02 9825
3)在证据处理速度方面,新版本Encase的“证据处理器(Evidence Processor)”具备多线程处理的功能,它不但能帮助用户自动化完成常用的取证任务,保证后期取证工作的顺利进行,而且调查人员还可以添加自定义的EnScript到证据处理器中,同时不必分别检查每一个EnScript的结果,调查人员还可以对EnScript结果建立索引,进行全局搜索,或查看某一特定EnSript的所有证据,这些改进,都能大大提高证据处理速度。2)将静态取证、自动取证和动态取证三种方式集成于一身,是该软件的一大优势。
x-ways forensics v20.0
weixin_50184520的博客
11-24 4037
x-ways forensics是一款功能强大的综合取证分析软件,特别是当你需要对软件数据进行一个全面检测备份的时候,通过它可以很好的帮助用户解决这类难题。同时使用该款软件进行过分析记录之后,要是我们电脑内的数据不小心丢失或者是损坏不能用了,那么可能用它来进行恢复处理,当然了,它的主要功能还是给用户们提供一个取证分析的用处,能够把电脑内的所有情况都摸得干干净净的,保证不会存在漏查的情况。另外相比于其它相关的软件,该软件的优势之处就在于它的体积非常的小,不会占用电脑的内存资源,而且还可以使用u盘等随身携带着,
apue学习笔记第三章
最新发布
01-10
### APUE 第三章 学习笔记 #### 文件 I/O 基础 APUE 的第三章主要讨论了 Unix 系统中的文件 I/O 操作基础。这一章节涵盖了多个重要的概念和技术细节,对于理解如何高效地操作文件至关重要。 #### 打开和关闭文件 为了打开一个文件,程序通常会使用 `open` 或者 `creat` 函数[^1]。这两个函数都返回一个小于零的整数作为错误指示,而成功的调用则返回一个非负整数表示新创建的文件描述符。当不再需要访问某个特定文件时,应该通过调用 `close` 来关闭它。这不仅释放了与该文件关联的操作系统资源,而且也使得这个文件描述符能够被重新利用。 ```c #include <fcntl.h> /* For O_* constants */ #include <unistd.h> /* For open(), close() */ int fd; fd = open("example.txt", O_RDWR | O_CREAT, S_IRUSR | S_IWUSR); if (fd >= 0) { // File opened successfully. } // Later... close(fd); ``` #### 文件读写 一旦有了有效的文件描述符,就可以对其进行读取 (`read`) 和写入 (`write`) 操作。这些基本的 I/O 操作允许应用程序直接处理底层的数据流而不必关心具体的设备特性[^2]。 ```c char buffer[BUFSIZ]; ssize_t n; n = read(fd, buffer, BUFSIZ - 1); if (n > 0) { buffer[n] = '\0'; // Null terminate the string printf("%s\n", buffer); } const char *msg = "Hello world!"; write(fd, msg, strlen(msg)); ``` #### 文件定位 除了简单的顺序读写外,还可以改变当前文件偏移量来实现随机访问。这是通过 `lseek` 实现的功能之一,它可以向前或向后移动文件指针的位置以便从不同的位置开始读写数据[^3]。 ```c off_t offset; offset = lseek(fd, SEEK_SET, 0); // Move to beginning of file if (offset != -1L) { // Seek succeeded. } ``` #### 特殊文件类型的支持 Unix 系统支持多种特殊类型的文件对象,比如管道、套接字以及终端设备等。本章还介绍了针对这些不同类型文件的具体 API 接口和支持机制[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值