Python信息取证

最新推荐文章于 2023-04-06 20:04:32 发布
最新推荐文章于 2023-04-06 20:04:32 发布
阅读量246 收藏 6
点赞数
分类专栏: pyhton黑ke编程 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54252904/article/details/116309955
版权
这篇博客介绍了如何使用Python进行信息取证,包括读取Windows注册表中的MAC地址,检查回收站内容,解析PDF元数据,以及从照片中提取GPS定位信息。这些技术对于系统调查和数据恢复具有重要意义。
摘要由CSDN通过智能技术生成

python进行信息取证

注册表mac地址取证

管理员身份运行

from winreg import *
import re

def vlal2addr(val): 
	addr = ""
	i = 1
	for ch in val:
		ret = re.match(r"^0x(\w*)",hex(ch))
		addr += ret.group(1)
		if i < 6:
		  addr += ":"
		i +=1
	return addr

def printNets():
	net = r"SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged"
	key = OpenKey(HKEY_LOCAL_MACHINE,net)
	print("Networks You are join")
	for i in range(100):
		try:
			guid = EnumKey(key,i)
			netkey = OpenKey(key,str(guid))
			(n,addr,t) = EnumValue(netkey,5)
			(n,name,t) = EnumValue(netkey,4)
			if addr == None:
				continue
			macaddr = vlal2addr(addr)
			print(str(name)+"的MAC地址是:  "+macaddr)
			CloseKey(netkey)
		except:
	 		break

if __name__ == '__main__':
	printNets()

在这里插入图片描述

回收站取证

管理员身份运行

#管理员身份运行
import os
from winreg import *


def returndir():
    wenjian = ["c:\\recycler\\","c:\\recycled\\","c:\\$Recycle.Bin\\"]
    for i in wenjian:
        if os.path.isdir(i):
            print("存在:"+i)
            return i
    return None




def sid2user(sid):
    net = r"SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList"+'\\'+sid
    try:
        Key = OpenKey(HKEY_LOCAL_MACHINE,net)
                
        (value,type) = QueryValueEx(Key,'ProfileImagePath') #查找ProfileImagePath的值
       
        #print(value)
        user = value.split('\\')[-1]
        #print(user)
        #print(type)
        return user
    except:
        pass
        

def find(recy):
    dirlist = os.listdir(recy)	#把文件下的文件名添加到列表
    #print(dirlist)
    for i in dirlist:
        
        files = os.listdir(recy + i)
        user = sid2user(i)
        #print(i)
        print("user is :" + str(user))
        for file in files:
            print("found : " +file)
            

if __name__ == '__main__':
	recy = returndir()
	find(recy)

pdf取证

import PyPDF2
from PyPDF2 import PdfFileReader

def printMeta(filename):
    pdffile = PdfFileReader(filename,"rb") #创建一个PdfFileReader类
    docinfo = pdffile.getDocumentInfo() #调用类里的getDocumentInfo方法
    for i in docinfo:
        print(i+':'+docinfo[i])

if __name__ == '__main__':
	printMeta('/root/桌面/a.pdf')  #填写Pdf文件路径

照片GPS取证

import exifread
import re



def main(imagename):
    f = open(imagename,"rb")
    tags = exifread.process_file(f)
    #print(tags)
    GPS = {}
    for tag , value in tags.items():
        if "GPS GPSLatitude" in tag:
            GPS['纬度'] = str(tags['GPS GPSLatitude'])
        elif "GPS GPSLongitude" in tag:
            GPS['经度'] = str(value)
        elif "Image DateTime" in tag:
            GPS['时间'] = str(value)
    print(GPS)
    
if __name__ == "__main__":
    main('/root/桌面/c.jpg')

在这里插入图片描述

道长在此
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
python进行时间取证
weixin_42348105的博客
05-16 331
时间概念 Coordinated universal time(UTC),1972年采用的国际时间标准。 NMI:各国指派国家级的测量机构。 取证要求: 保证时间来源于官方时间源; 保证时间没有被篡改; 证据上的踪迹,用于审计和不可否认。 时间历程: ...
Chapter 3 【Python绝技:用Python进行取证调查】
打代码的小女孩
02-25 823
代码来自《Python绝技:运用Python成为顶级黑客》第三章:用Python进行取证调查 环境:Win 7,python 2.7 1、你曾经去过哪里?——在注册表中分析无线访问热点 # -*- coding:utf-8 -*- from _winreg import * def va12addr(val): addr="" for ch in val: ...
使用Python进行数字取证调查
热门推荐
CSDN
05-28 1万+
连上注册表,使用OpenKey()函数打开相关的键,在循环中依次分析该键下存储的所有网络network profile,其中FirstNetwork网络名和DefaultGateway默认网关的Mac地址的键值打印出来。子目录中的字符串表示的是用户的SID,对应机器里一个唯一的用户账户。以管理员权限开启cmd,输入如下命令来列出每个网络显示出profile Guid对网络的描述、网络名和网关的MAC地址。pyPdf是管理PDF文档的第三方Python库,在Kali中是已经默认安装了的就不需要再去下载安装。
python——信息取证
xlsj雪松的博客
05-29 513
1 读取PDF元信息 from PyPDF2 import PdfFileReader,PdfFileWriter from io import FileIO as file import sys def printMeta(fileName): pdfFile = PdfFileReader(file(fileName,'rb')) docInfo = pdfFile.getDocumentInfo() print('[*] PDF MetaData For:'+ str(
python进行电子取证
weixin_42348105的博客
05-17 1003
CHIRP:用Python编写的取证工具
03-25
Python编写的取证工具。 观看 :memo: 目录 :face_with_monocle: 关于 CISA搜寻和事件响应程序(CHIRP)是一种工具,用于以单个程序包动态查询主机上的危害指标(IoC),以JSON格式输出...
基于python图像取证技术研究与实现(django)源码.zip
02-26
基于python图像取证技术研究与实现 伴随着当下的多媒体时代的来临,信息的传递方式更加的丰富,不仅仅在局限于传统的电视、报纸、杂志等传统的媒体传播,而更多的通过数字化转型来实现快速的传播效果的实现。通过...
Python编程在电子数据取证分析中的应用.pdf
06-28
Python编程在电子数据取证分析中的应用.pdf
python图像取证技术研究与实现(django)源码数据库演示.zip
06-16
Python图像取证技术是一种在数字图像处理领域中用于验证图像真实性的技术,它涉及到图像的元数据分析、篡改检测、时间戳验证等多个方面。在这个项目中,使用了Django这一强大的Python Web框架来构建一个图像取证系统...
毕业设计:python图像取证技术设计与实现(源码 + 数据库 + 说明文档)
最新发布
04-29
毕业设计:python图像取证技术设计与实现(源码 + 数据库 + 说明文档) 第2章 技术介绍及需求分析 8 2.1 技术介绍 8 2.1.1 Python技术介绍 8 2.1.2django框架 8 2.1.3MySQL数据库 8 2.1.4OpenCV技术 8 2.1.5ELA算法 ...
网络编程入门
xxxjackboy的博客
11-18 149
1.1 软件结构: 1、C/S结构:Client/Server结构,客户端与服务器结构,如qq。 2、B/S结构: Browser/Server结构,流浪器和服务器结构,如谷歌。 1.2网络通信协议 网络通信协议:对计算机必须遵守的规则,只有遵守这些规则,计算机之间才能进行通信。协议中对数据的传输格式、传输速率、传输步骤等做了 统一规定,通信双方必须同时遵守,最终完成数据交换。 TCP/IP协议:传输控制协议/因特网互联协议( Transmission Control Protocol/Internet P
python网络编程取证_网络取证(Network Forensics)
weixin_39517241的博客
01-13 222
网络取证(Network Forensics)现代网络环境的情况是,由于许多困难,调查可能充满困难。 无论您是在响应违规支持,调查内部活动,执行与漏洞相关的评估,还是验证法规遵从性,都可能发生这种情况。网络编程的概念以下定义用于网络编程。Client - 客户端是在个人计算机和工作站上运行的网络编程的客户端 - 服务器体系结构的一部分。Server - 服务器是客户端 - 服务器体系结构的一部分...
python计算机内存取证,Python黑帽子:自动化内存取证
weixin_31746993的博客
07-25 216
#coding=utf-8importsysimportstructequals_button= 0x01005D51memory_file= "WinXPenSP3-Snapshot8.vmem"slack_space=Nonetrampoline_offset=None#读入我们的shellcodesc_fd = open("cmeasure.bin","rb")sc=sc_fd.read()...
电子数据取证python方法第三章
qq_27017791的博客
10-20 1540
import os import csv import hashlib import time import logging def getinfo1(dirfile): m = hashlib.sha256() f=open(dirfile,'rb') m.update(f.read()) ha=m.hexdigest() return ha ...
python操作注册表半自动化取证
玄道的网安博客
01-06 645
前前言:这是有关取证工具入门开发的最后一章,后面的课程以及文章会详细理解有关硬盘取证,内存取证,网络取证的知识。然后在前面的取证开发基础上,针对实战需求开发真正的有关取证工具。   前言:Windows注册表是一个分层式的数据库,其中存储了操作系统的大量配置设置信息,无线连接相关的信息也会存储在当中,了解相关注册表键值所在位置和函以后,我们可以获取到网关mac地址,通过国外有关服务查询到准确地...
头歌python实训通关九——信息安全——计算机取证
qq_65950075的博客
04-06 1068
注意,这个模块的名字对大小写是敏感的,所以,确保y是小写的,其他字母都是大写的 #####PdfFileReader 构造方法: PyPDF2.PdfFileReader(stream,strict = True,warndest = None,overwriteWarnings = True) 初始化一个 PdfFileReader 对象,此操作可能需要一些时间,因为 PDF 流的交叉引用表被读入内存。有一个加密的Zip格式的压缩文件src/step1/evil.zip,它的密码未知。
数据恢复/电子取证 非常有用的python库——Construct
ani_di的专栏
02-01 4495
和硬盘打交道,不免会用到字节、大\小端对齐、结构等。C语言定义了很多类型,我们定义一个结构,配合mem***函数、大小端转换宏等几乎可以应付了。Python就没那么好用了,因为它本身也不是为这种低级操作而设计的。处理这种二进制数据,貌似只有struct库能沾上一点边,它用起来像printf,数据一多就会把你搞晕的,它还有几个致命缺点:1. 不支持小于1个字节的;2. 数据格式固定。总的来说,它的扩
一次真实的网络攻击取证纪实
chengfangang的专栏
12-29 3764
随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民 服务,银行和证券机构也都开始依托互联网来进行金融和股票交易,但是随着方便的同时也同时带来了新的 随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民 服务,
python取证-获取浏览器本地数据库
玄道的网安博客
01-02 1198
开发环境:python3/mac os x 使用模块:“sqlite3”,“getopt”,“sys”   前言:有些应用程序需要在客户端中存储数据,绝大部分使用的都是sqlite数据库,使用sqlite把整个数据裤都存放在客户端本地一个单一不分层的文件中。今天主要以火狐浏览器为例,利用python自动获取存储在本地sqlite数据库中的浏览器“历史浏览记录”,“cookie”信息和“历史提...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值