forensics
恢复有破损部分的 JPEG 图像
一些文件在从磁盘驱动器恢复时被损坏,包括视频和图像的部分。它们似乎都具有数据部分被重复字节替换的特征(下图供参考) 此外,某些地址的偏移量似乎也损坏了(填充了 00),但我不太确定 图像打开后如下所示: 有没有办法修复损坏的图像文件?如果有,有哪些方法?00 填充的偏移部分是否损坏?一小部分如何破坏以下其余图像数据? ...
forensics
forensics
挂载 /sda 内存的 Android 10 dd 映像
通过 TWRP 的 adb shell dd 制作了整个 /dev/sda(包含所有分区)的映像,以便进一步取证和恢复已删除的文件。无法安装磁盘映像。还尝试安装一个小分区(sda19),同样的错误。 mmls sda.dd Cannot determine partition type 有关的一些信息: Disk /dev/loop9: 234.26 GiB, 251532365824 bytes, 491274152 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logica...
forensics
删除文件末尾的0x00字节
我使用以下方法从 Linux SD 卡中恢复了一些文件(Python、Shell 脚本等,所以只是文本文件)FTK 成像仪精简版0x00。文件没有问题,但它们的末尾现在包含很多字节。 我如何0x00使用我的 Windows 机器批量删除这些尾随字节? 我熟悉该for命令,因此只需建议如何针对一个文件执行此操作即可。然后我可以将其应用于所有文件。 ...
forensics
Windows 系统和 DNS 客户端 - 不断查询未知的本地主机
我今天注意到我连接的所有网络接口(环回、2 个 VMWare 网络适配器、以太网和 wifi)上都有大量流量。 Wireshark 主页显示流量图。除 WiFi 外,所有接口上的流量都非常相似(如果不是相同的话) 这似乎很奇怪,因为我没有使用 VMWare,也不认为我应该在环回上安装任何东西。深入研究后,我发现所有 MDNS、NBNS 和 LLMNR 流量分别来自 UDP 端口 5353、137 和变量,并且都在查询BRW30F7727FAC8E- 一个我不知道的主机。 MDNS、NBNS 和 LLMR 流量 - 忽略由于 IP 校验和卸载导致的错误 ...
.png)
forensics
Rekall 工具:SSL 错误 - Certification_verify_failed (_ssl.c:1076)
我的 SSL 证书有问题。我想解释一下我的问题。 我正在尝试安装Rekall 工具以及它的内存取证框架。我安装了 Python 3.7,然后创建了新的虚拟环境称为 DEV。任何新的 pip 包都将安装到此环境中。 之后,我将安装 rekall 工具 (rekall/rekall-core/setup.py)。当我尝试安装时,出现此错误。我正在 Windowsx86 上尝试。 在此处输入图片描述 ...
forensics
安装 Windows 的文件系统是否会影响 Windows 注册表配置单元中的时间戳的时区设置?
这个问题与注册表文件本身的文件系统时间戳无关。 据我所知,当 Windows 安装在 NTFS 文件系统上时,Windows 注册表中的时间戳将存储为 UTC 时间戳。当 Windows 安装在 FAT 文件系统(例如 FAT32)上时,这种情况会改变吗?时间戳是否存储为本地时间,还是仍为 UTC? 问题也可以简化:Windows 注册表配置单元中的时间戳是否始终是 UTC 时间戳? ...
forensics
确定本地 leafpad 实例打开了哪个文件
我在某台计算机上运行 leafpad 文本编辑器实例,该实例打开了某个文件,我忘记了它的名称和位置(实际上更复杂,但这是一个简化版本)。然后我离开物理机器,通过 SSH 连接到机器并运行 shell。我现在想弄清楚 leafpad 实例打开了哪个文件。 它不在 leafpad 的命令行中(用 检查ps);并且它不是一个打开的文件,或者至少 - 它似乎没有出现在 上lsof。 ...
forensics
比较两个整个硬盘的内容(扇区级别)
在分析两块 4TB 的 HDD 时,它们采用某种 RAID 1 配置,因此在文件 / 文件夹方面具有相同的内容(它们已重新格式化,但 R-Studio 在两个驱动器的主分区中列出了相同的文件树),我发现使用 WinHex 进行并排比较时,在扇区级别存在细微差异(并且在 R-Studio 中,“额外找到的文件”类别中存在一些差异,该类别列出了使用“原始雕刻”方法检测到的文件,基于已知文件签名 - 我还没有提取这些文件,所以我不知道它们是否有效/重要)。它可能是来自以前分区的松弛数据。 为了找出这些差异,我想彻底比较这些驱动器,找出所有不匹配的区域,然后快速检...
forensics
在哪里可以找到 CCleaner 安装日期?(取证)
我已经尝试过了 HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall 却一无所获 有什么建议么? ...
forensics
C:\Windows\ 文件夹的创建日期时间戳早于 Windows 7 操作系统的“原始安装日期”,为什么?
我的 Windows 7 机器上的 C:\Windows\ 文件夹的创建日期是“2009 年 7 月 14 日, 08:07:05”,但是从 cmd 中的“systeminfo”命令获取的“原始安装日期”是“2013 年 6 月 27 日,11.33.15”。 可能是什么原因呢? 此外,许多系统文件的创建日期早于操作系统安装日期。需要此解释以完成一项重要任务,请帮忙。 ...
forensics
Windows 7中哪个系统文件存储了“net user Administrator”命令显示的信息?
哪个系统文件存储了 Windows 7 中“net user Administrator”命令显示的信息?需要查找死机的 Windows 7 计算机中的用户详细信息。 命令的详细信息是这里。 编辑: @Moab 告诉我,NTUSER.DAT 文件中的每个用户帐户文件夹中都存储有特定的用户信息。但是,就我而言,管理员帐户从未登录过,也没有用户帐户文件夹。 ...
forensics
foremost 与 mount 有何不同?
我正在做picoCTF 挑战其中包括从文件中获取标志.dd。该.dd文件最初看起来是FAT包含一些jpg文件的分区。 我的想法是使用 装载文件mount并检查结果文件。结果我得到了四个文件,其中没有一个是旗帜,只是动物的图片。 解决方案是一个名为最重要的,当我在文件上使用它时,它提取了八个文件而不是四个。其中一个文件是旗帜,另外七个是动物。 这些工具有何不同?是否忽略了文件中可提取的mount信息片段?.ddforemost ...
forensics
Fdisk 无法识别 Macbook 的文件系统
我需要镜像一台 MacBook,它运行正常。但是当我运行 fdisk -l 时,我得到了这个: Disk /dev/sda: 113 GiB, 121332826112 bytes, 236978176 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 4096 bytes I/O size (minimum/optimal): 4096 bytes / 4096 bytes Disklabel type: gpt Disk i...
forensics
如何将“RECYCLER”文件夹导入Windows?
问题: 如果我将 HDD 连接到 PC,如何将RECYCLER文件夹导入 Windows XP? 换句话说:我如何告诉 Windows XP 将内容包含D:\RECYCLER\在回收站中? 例如: 我的 PC 中有 2 个 HDD。两个硬盘的RECYCLER根目录中都有文件夹。WIN XP 回收站中显示其中的 文件。但是, 中的文件却没有显示在那里。原因可能是该驱动器之前在另一台 WIN XP PC 中使用过,并且删除操作也发生在那里。 那么我该如何集成,以便其文件显示在回收站中?C:\RECYCLER\D:\RECYCLER\D:D:\RECYCLER\...