标签[computer-forensics] - 堆栈内存溢出

用户使用 volatility3 访问的最后一个目录 - last directory accessed by the user using volatility3

使用volatility3，如何找到windows中用户最后访问的目录？在 volatility2 中，我们能够使用 Shellbags 插件找到这样的东西。但是我怎样才能在 volatility3 中做到这一点？ ...

有没有办法在 Android Studio 中配置模拟器？ - Is there any way to configure emulator in Android Studio?

我正在做一个关于 Android 取证的项目，我需要从 android 设备转储数据，所以我使用的是 android 工作室的模拟器。使用 android 版本 8.1.0。我正在关注 github 的回购，这是链接； https://github.com/mspreitz/ADEL In ...

如何从 Wireshark 中提取 tcp 数据包？ - How do I extract the tcp data packet from Wireshark?

这是一个“CTF 挑战”（一组在线信息安全挑战），我已经陷入困境。我注意到在对话中一个人要求另一个人发送加盐密码文件。我想获取该数据，所以我右键单击它并复制为可打印文本：此时我认为我有加盐密码，所以我将其保存到 file.des3。在对话中，对话如下：嘿，你如何再次解密这个文件？你 ...

我是否滥用了这个 Windows 注册表解析工具 (yarp)？获取错误无效签名：b'\\xff\\xfeW\\x00' - Am I misusing this Windows registry parsing tool (yarp)? Getting error Invalid signature: b'\\xff\\xfeW\\x00'

取证新手，但我们正在考虑从许多机器中提取注册表以进行基线分析，我们将使用 PowerShell 来运行： reg export HKLM hklm.reg 在每台机器上，然后解析导出的hklm.reg文件（与 HKCU 等相同）。看起来很简单，所以我尝试使用yarp来解析它，如下所示：并得到这 ...

将 MTF LogFile 扩展到桌面中的文件 - Extend MTF LogFile to a file in desktop

我是这个简单事物的新手，对于我的 Windows 取证课程，我将 $mft 和 $logFile 扩展到我的桌面文件夹中。我可以在文件属性中看到它们已加载。但是当我访问文件时，我什么也看不到。我打开了隐藏文件选项，但是没有用，我该怎么办？ ...

Andoid 12 Keystore user_0 缺少文件 - Andoid 12 Keystore user_0 missing foder

我目前正在对 Android 12 API 31 上的应用取证进行研究。在这项研究中，我需要使用来自 Keystore 的私钥，我可以在 ZE84E30B9390CDB64/misc/misc/C9AB8 中找到没有问题的私钥，该私钥通常位于“/data6D/6DB2C9AB8178”用户_0/”。 ...

Ext3 文件系统：为什么在我编辑现有文件后块会发生变化？ - Ext3 filesystem: Why does the blocks change after I edit an existing file?

我不清楚为什么会这样。复制：# create file $ touch mydocument.txt $ echo "Hallo welt." > mydocument.txt $ ls -li 24529 -rw-rw-r-- 1 tsurugi tsurugi 33 Jan 20 ...

有没有办法在恢复出厂设置和 Dr Fone 橡皮擦后恢复一些 android 数据？ - is there a way to recover some android data after factory reset and Dr Fone eraser?

我的 android 设备被某人自愿损坏以删除其上的数据。这是出厂重置那么 Fone 博士仍然可以恢复一些数据所以在应用了这个 Dr fone 橡皮擦之后然后屏幕坏了屏幕修复很容易，但在此之后还有希望恢复吗？你认为数据有可能恢复吗？设备有点旧 huawei Honor ...

如何在另一个正在运行的进程的内存中自动查找数据？ - How to automate finding data in a memory of another running process?

如何在另一个正在运行的进程的内存中自动查找数据？因为每次内存地址都是不同的动态内存分配。目前我通过作弊引擎搜索所需的值。但我很好奇游戏训练师如何每次找到正确的值？也许你可以推荐一些关于这个任务的文章或书籍。 ...

Instagram图片压缩算法 - Instagram picture compression algorithm

有没有办法在 Facebook/Instagram 上上传未压缩的图像？我发现每张具有不同像素（猫/自然...）的经典图片都会被压缩至少 2 倍以前的大小，即使大小是 20kb。当压缩算法只保留照片时是否有限制？我问是因为对 CTF 感兴趣（夺旗）感谢您的回答，期待收到您的来信。 ...

我遇到“Hashcat”错误“Bitlocker”hash 的问题 - I have an issue with "Hashcat" error "Bitlocker" hash

我从图像中得到一个 hash 文件，我的设备是 Surface Pro BitLocker 加密图像 Recovery Key hash #0: $bitlocker$2$16$57debb77a3b130a92397f8c063049274$1048576$12$20cfa3155178d7019 ...

查看谷歌浏览器历史 - View Google Chrome History

我正在做一些数字取证调查。我想知道如何通过注册表查看谷歌浏览器的历史记录？，我试图导航到 \HKEY_CURRENT_USER\Software\Google\Chrome 但我没有找到任何谷歌历史记录。 ...

确定 LBA (FAT) 中的文件名 - Determine filename at an LBA (FAT)

我的目标是将记录的块级访问 (LBA) 转换为文件名。我在 UEFI 级别登录，因此程序和引导加载程序主要从 ESP（EFI 系统分区）读取，它的结构类似于 FAT。我知道fsutil volume querycluster能够为 NTFS 执行此操作，是否有 FAT 的解决方案？使用已安装的 ...

如何以原始格式从磁盘解压缩雕刻文件 - How to unzip carved files from disk in raw format

抱歉，标题如此不明确，我有一个磁盘映像 disk.raw，我使用 Sleuth Kit 及其命令blkls disk.raw 1-8000 > carved从中雕刻已删除的文件，该命令将未分配块中的数据从 1 到8000（我知道我删除的文件在哪里）所以我的 output 是一个文件，其中包含 ...

使用 DotPeek 调试混淆的 .NET 核心应用程序 - Debugging an obfuscated .NET core application with DotPeek

我正在寻找我们供应商软件工厂部署到生产环境的代码中可能存在的逻辑炸弹。为了读者的好奇心，这里是一个简短的回顾。该应用程序在某个时候停止了无限等待。反编译混淆的代码，我发现一个奇怪的Thread.sleep永远不应该在 MVC API 中，其中数量是通过当前刻度与以某种方式计算的值的差异来计算的 ...

我使用 binwalk 提取了一个文件。我发现它有一个 TROC 文件，如何读取或提取 TROC 文件的内容？ - I extracted a file using binwalk. I discovered it has a TROC file, how do I read or extract the contents of the TROC file?

十进制十六进制描述 33211 0x81BB TROC 文件系统，1263425345 个文件条目 948694 0xE79D6 StuffIt Deluxe 片段（数据）：f:IK ...

即使我输入的 CMDpath 正确，为什么在 PowerShell 中出现此错误？ - Why am I getting this error in PowerShell even though the CMDpath I entered is correct?

我正在从 powerforensics 网站尝试这些 power forensics 命令，第一个两个命令运行良好，而接下来的 3 个命令给出了错误，我正在分享以下错误之一。请告诉我摆脱此错误的解决方案。在此处输入图像描述cmd 的路径有什么问题？命令 - PS C:> Get-For ...

如何查看 E01 或 dd 文件中的内容 - How to view contents from a E01 or dd file

我为我的电脑创建了一个.E01 文件和一个.dd 文件。我想研究它的某些部分（例如目录）。我希望能够分析 E01 文件上的内容，但我不确定如何。有哪些方法可以查看这些文件？我想我可以用 vmware 或类似的东西来做，但我无法在网上找到这方面的指南。谢谢你的时间。 ...

使用尸检工具如何确定Windows XP中用户帐户的登录计数和上次登录日期？ - How to determine the Log-In Count and Last Log-on date of users account in Windows XP while using the autopsy tool?

我在我的数字取证课上做一些活动我能够找到最后一个登录计算机的用户（在 WINDOWS/SYSTEM32/CONFIG/SOFTWARE/MICROSOFT/WINDOWS NT/CURRENT VERSION/WINLOGON/DEFAULT USER NAME 上找到它）。计算机上有 5 个用户 ...

应用程序无法在 Windows 2000 中以 WIN32 模式运行 - Application cannot be run in WIN32 mode in windows 2000

我在 oracle virtual box 中使用 windows 2000 我想获取它的注册表数据，同时使用 regdump.exe 但它说应用程序不能在 WIN32 模式下运行。有没有办法让它运行？ ...