本文主要是介绍春苗集中营重点记录(取证大师),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
版本
1.基本信息:产品名称+当前版本+当前build版本+最新服务包
密码
1.将密码的信息账户全部先记录下来
2.将需要密码的地方记录下来
取证大师表现
1.浅色的是被恢复的分区
开机自运行软件
1.主要注意通讯软件
BitLocker
1.用处:磁盘加密
2.解密:需要恢复密钥
3.步骤:导出密钥文件,右键已经被锁的磁盘,然后可以导入或者输入
EFS
1.EFS(Encrypting File System,加密文件系统)是Windows操作系统中基于NTFS(New Technology File System,新技术文件系统)实现对文件进行加密与解密服务的一项技术。
2.密钥导入要是整个电脑的文件
3.后缀名有:pfx
可疑签名文件
1.后缀不匹配的文件
文件系统介绍
文件恢复
1.
2.FAT32高级恢复:点击磁盘,右键,选择FAT32高级恢复。
3.签名恢复,最后做(属于终极大招)
扫描范围:
扫描范围:字节扫描更加精确,扇区扫描没那么精确(字节=扇区*512)
记住恢复完之后,都需要再跑一次自动取证
数据搜索
1.实时搜索:针对文件名
2.原始数据搜索:可以搜索文件内容(但是对于加密的压缩包,需要解密才能搜索到内容,不然是可以直接搜索压缩包的内容)
加密
1.EFS加密:
win7之前加密文字变绿色,win7之后图标右上方有小锁。
解密:
- 取证大师:后缀名为pfs的用户个人证书导出,然后再右键文件点击EFS,再点击密钥导入。
- 仿真:在运行中输入certmgr.msc,然后点击证书,点击myuser,再点击所有文件,再点击导出。
2.BitLocker加密:
磁盘有一个黄色的锁
解密:
- 取证大师:直接找到密钥
- 内存镜像:用内存镜像解析工具查看是否含有
- 也能在txt文件里面
3.加密软件
如:TrueCrypt或者VeraCrypt
TC:加密容器的使用痕迹,可以查找到加密文件,然后解开。
这篇关于春苗集中营重点记录(取证大师)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
