使用volatility3,如何找到windows中用户最后访问的目录? 在 volatility2 中,我们能够使用 Shellbags 插件找到这样的东西。 但是我怎样才能在 volatility3 中做到这一点? ...
使用volatility3,如何找到windows中用户最后访问的目录? 在 volatility2 中,我们能够使用 Shellbags 插件找到这样的东西。 但是我怎样才能在 volatility3 中做到这一点? ...
我正在做一个关于 Android 取证的项目,我需要从 android 设备转储数据,所以我使用的是 android 工作室的模拟器。 使用 android 版本 8.1.0。 我正在关注 github 的回购,这是链接; https://github.com/mspreitz/ADEL In ...
这是一个“CTF 挑战”(一组在线信息安全挑战),我已经陷入困境。 我注意到在对话中一个人要求另一个人发送加盐密码文件。 我想获取该数据,所以我右键单击它并复制为可打印文本: 此时我认为我有加盐密码,所以我将其保存到 file.des3。 在对话中,对话如下: 嘿,你如何再次解密这个文件? 你 ...
取证新手,但我们正在考虑从许多机器中提取注册表以进行基线分析,我们将使用 PowerShell 来运行: reg export HKLM hklm.reg 在每台机器上,然后解析导出的hklm.reg文件(与 HKCU 等相同)。 看起来很简单,所以我尝试使用yarp来解析它,如下所示: 并得到这 ...
我是这个简单事物的新手,对于我的 Windows 取证课程,我将 $mft 和 $logFile 扩展到我的桌面文件夹中。 我可以在文件属性中看到它们已加载。 但是当我访问文件时,我什么也看不到。 我打开了隐藏文件选项,但是没有用,我该怎么办? ...
我目前正在对 Android 12 API 31 上的应用取证进行研究。在这项研究中,我需要使用来自 Keystore 的私钥,我可以在 ZE84E30B9390CDB64/misc/misc/C9AB8 中找到没有问题的私钥,该私钥通常位于“/data6D/6DB2C9AB8178”用户_0/”。 ...
我不清楚为什么会这样。 复制:# create file $ touch mydocument.txt $ echo "Hallo welt." > mydocument.txt $ ls -li 24529 -rw-rw-r-- 1 tsurugi tsurugi 33 Jan 20 ...
我的 android 设备被某人自愿损坏以删除其上的数据。 这是出厂重置 那么 Fone 博士仍然可以恢复一些数据 所以在应用了这个 Dr fone 橡皮擦之后 然后屏幕坏了 屏幕修复很容易,但在此之后还有希望恢复吗? 你认为数据有可能恢复吗? 设备有点旧 huawei Honor ...
如何在另一个正在运行的进程的内存中自动查找数据? 因为每次内存地址都是不同的动态内存分配。 目前我通过作弊引擎搜索所需的值。 但我很好奇游戏训练师如何每次找到正确的值? 也许你可以推荐一些关于这个任务的文章或书籍。 ...
有没有办法在 Facebook/Instagram 上上传未压缩的图像? 我发现每张具有不同像素(猫/自然...)的经典图片都会被压缩至少 2 倍以前的大小,即使大小是 20kb。 当压缩算法只保留照片时是否有限制? 我问是因为对 CTF 感兴趣(夺旗) 感谢您的回答,期待收到您的来信。 ...
我从图像中得到一个 hash 文件,我的设备是 Surface Pro BitLocker 加密图像 Recovery Key hash #0: $bitlocker$2$16$57debb77a3b130a92397f8c063049274$1048576$12$20cfa3155178d7019 ...
我正在做一些数字取证调查。 我想知道如何通过注册表查看谷歌浏览器的历史记录?,我试图导航到 \HKEY_CURRENT_USER\Software\Google\Chrome 但我没有找到任何谷歌历史记录。 ...
我的目标是将记录的块级访问 (LBA) 转换为文件名。 我在 UEFI 级别登录,因此程序和引导加载程序主要从 ESP(EFI 系统分区)读取,它的结构类似于 FAT。 我知道fsutil volume querycluster能够为 NTFS 执行此操作,是否有 FAT 的解决方案? 使用已安装的 ...
抱歉,标题如此不明确,我有一个磁盘映像 disk.raw,我使用 Sleuth Kit 及其命令blkls disk.raw 1-8000 > carved从中雕刻已删除的文件,该命令将未分配块中的数据从 1 到8000(我知道我删除的文件在哪里) 所以我的 output 是一个文件,其中包含 ...
我正在寻找我们供应商软件工厂部署到生产环境的代码中可能存在的逻辑炸弹。 为了读者的好奇心,这里是一个简短的回顾。 该应用程序在某个时候停止了无限等待。 反编译混淆的代码,我发现一个奇怪的Thread.sleep永远不应该在 MVC API 中,其中数量是通过当前刻度与以某种方式计算的值的差异来计算的 ...
十进制十六进制描述 33211 0x81BB TROC 文件系统,1263425345 个文件条目 948694 0xE79D6 StuffIt Deluxe 片段(数据):f:IK ...
我正在从 powerforensics 网站尝试这些 power forensics 命令,第一个两个命令运行良好,而接下来的 3 个命令给出了错误,我正在分享以下错误之一。 请告诉我摆脱此错误的解决方案。 在此处输入图像描述cmd 的路径有什么问题? 命令 - PS C:> Get-For ...
我为我的电脑创建了一个.E01 文件和一个.dd 文件。 我想研究它的某些部分(例如目录)。 我希望能够分析 E01 文件上的内容,但我不确定如何。 有哪些方法可以查看这些文件? 我想我可以用 vmware 或类似的东西来做,但我无法在网上找到这方面的指南。 谢谢你的时间。 ...
我在我的数字取证课上做一些活动我能够找到最后一个登录计算机的用户(在 WINDOWS/SYSTEM32/CONFIG/SOFTWARE/MICROSOFT/WINDOWS NT/CURRENT VERSION/WINLOGON/DEFAULT USER NAME 上找到它)。 计算机上有 5 个用户 ...
我在 oracle virtual box 中使用 windows 2000 我想获取它的注册表数据,同时使用 regdump.exe 但它说应用程序不能在 WIN32 模式下运行。 有没有办法让它运行? ...