取证小TIPS

1、SID 

计算机用户的Profile ID也是这个

• 安全标识符

• Security Identifier

• 是标识用户、组和计算机帐户的唯一的号码

查看自己的SID，win+R，输入whoami /user

S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx

挺长的还，最后一位是RID

应用调用SID有其用户

eg.请找出登录系统中的用户的SID号，就是下面这个喽

2、.dd内存镜像取证

用volatility和美亚-工具集-内存镜像解析工具

volatility在使用时命令后面加> 1.txt，可以导出

在查找进程时，命令后面加-p +进程ID，可以专门查找某一个进程，用来查找路径贼好用，PID是-1的话进程是停止的

findstr相当于prep

3、时区

CET：欧洲中部时间 CET=UTC/GMT+1

UTC：世界标准时间

GMT：格林尼治标准时间，英国

CST：北京时间 CST=UTC/GMT+8=CET+9

4、Docker

三个核心概念：仓库、镜像、容器

一个完整的镜像路径=服务器地址+仓库名+标签

容器/var/lib/docker/containers

5、PHP在线运行测试

代码在线编辑,代码在线运行,在线写代码工具​​​​​​

6、Linux命令

操作系统版本：cat /proc/version 

操作系统内核版本：uname -a

查看硬盘分区：fdisk -l、lsblk -f

docker 镜像数量、TAG：docker images、docker image ls

docker 应用的 server 版本：docker version

容器/镜像的元数据：docker inspect ID

报错e502: "directname" is a directory ，退出用:q!，:wq退不出

查看ens33：vi /etc/sysconfig/network-scripts/ifcfg-ens3

查看数据库操作：cat /root/.dbshell

7、EFS解密

对于有些文件是EFS加密（文件名颜色由黑色变成了绿色），取证大师直接解密，密码是开机密码，可以试一下，解密之后再点击加密文件，即可查看

8、查看手机未读短信

短信数据库mmssms.db，位于\userdata\data\com.android.providers.telephony\databases，sms表中read=0代表未读

9、宝塔面板跳过绑定手机号

来自奇安信案例剖析：解决宝塔强制手机绑定问题的取证技巧与方法 (qq.com)

（1）宝塔7.7.0版以下

在服务器上执行如下命令强制删除/www/server/panel/data/目录下的文件bind.pl，该文件是宝塔面板中用来管理BIND配置的一个脚本文件，可以方便地进行域名管理、DNS记录设置和缓存管理等操作。

rm -f /www/server/panel/data/bind.pl

上述命令运行完成后重新登录宝塔面板，就可以正常进入首页了。

（2）宝塔7.7.0版以上

新建userInfo.json

vi /www/server/panel/data/userInfo.json

参考如下格式，保证键全部存在避免读取时出错，值随意填写即可：

{
 "id": 1,
 "uid": 1,
 "state": 1,
 "username": "",
 "secret_key": "",
 "access_key": "",
 "address": "",
 "addtime": 1,
 "idc_code": "",
 "area": "",
 "serverid": "",
 "ukey": ""
}

修改public.py

vi /www/server/panel/class/public.py

查找is_bind函数的定义：

改为无条件返回True。

重新登录面板，虽然会弹出错误提示框，但关闭后不影响功能使用。

10、恢复mysql数据库

给data文件夹，用phpstudy覆盖自带mysql的data文件夹，重启mysql，用navicat连接本地

11、mysql数据库root用户最后一次更改密码的时间

查看mysql数据库user表

12、邮件服务器

使用hMailServer 搭建个人邮件服务器(小白教程) - Book鱼 - 博客园 (cnblogs.com)

13、加密的备份iPhone解密

关键文件Manifest.plist

1.Passware Kit Forensic

参考中科实数杯 2023 题解 - XDforensics-Wiki (xidian.edu.cn)

 5位数字爆破

2.HashCat 爆破密码

参考破解 iTunes 备份密码 | CTF导航 (ctfiot.com)

利用网站

https://www.onlinehashcrack.com/tools-itunes-backup-hash-extractor.php

或用itunes_backup2hashcat先算出hash值 GitHub - philsmd/itunes_backup2hashcat：从 Manifest.plist 文件中提取所需的信息，将其转换为与 hashcat 兼容的哈希值

 5位数字掩码攻击用-a 3，iOS 版本 >10.2用 -m 14800

hashcat -m 14800 -a 3 $itunes_backup$*10*e72a7510f38b1ac84d90a7957f4fdf7b641ada32e8d7479cf0e63a682715aa2055b0f66f0735f871*10000*23d7d7a6d4c8e0fcb02fd3cbda1f05cc90f6398d*10000000*6ef09887d48b725f7b3305989e8c60114bb9660d ?d?d?d?d?d

得到备份密码是25922

14、计算原始检材哈希值

注意计算“原始检材”而非E01文件，使用火眼证据分析软件加载镜像文件，并执行计算哈希任务，得到原始镜像的哈希值。