单机 取证

2024-04-27 19:28
文章标签 取证 单机

本文主要是介绍单机 取证,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一.环境准备

1.镜像文件

2.任务说明

镜像文件取证

3.工具

Autopsy 4.21.0

二.开始取证

1.将镜像导入到Autopsy中

打开

稍等一会

都选择默认

导入镜像

(1)evidence1

1.保存到桌面

2.stegsolve

50 4b 03 04压缩包文件头

3.010 Editor

用010 Editor打开随便一个压缩包,将里面的十六进制Ctrl+Shift+v复制粘贴到左边并保存压缩包

解压并打开得到Evidence1

4.转化为MD5值

certutil -hashfile D:\文件路径\eg2kX.jpg md5

(2)evidence2
1.导出文件并把、并保存到桌面

2.010 Editor

用010 Editor打开是zip压缩文件,修改后缀名,将.jpg修改为.zip

3.解压

4.转化为MD5值

certutil -hashfile D:文件路径\ZQOo2.jpg md5

(3)evidence3
1.导出并保存到桌面

2.png高宽一把梭工具(高度隐写)

用工具对图片进行高度隐写的解密

3.转化为MD5值

certutil -hashfile D:文件路径\p3qQ4.jpg md5

(4)evidence4
1.打开并保存到桌面

2.转化为MD5值

certutil -hashfile D:文件路径\nsOh2.png md5

(5)evidence5
1.打开并保存到桌面

2.010 Editor

看到文件头是png,修改压缩包后缀改为.png,得到一张图片

3.foremost

foremost 文件名 ,分离得到两张图片

4.010 Editor

用010 Editor打开导出的压缩包,Ctrl+f搜索 49 45 4E 44

发现有一串base32的编码

5.随波逐流

用随波逐流工具进行base32解码

6.转化为MD5值

certutil -hashfile D:文件路径\RVlYt.zip md5

(6)evidence6
1.导出并保存到桌面

2.file

file 显示文件类型

修改后缀名

3.Audacity

用Audacity打开音频文件,是莫斯电码

4.摩斯电码解密

莫斯电码在线网站:CTF在线工具-在线莫尔斯电码编码|在线莫尔斯电码解码|莫尔斯电码算法|Morse

5.转化为MD5值

 certutil -hashfile D:文件路径\mkjRv.zip md5

(7)evidence7
1.导出并保存到桌面

2.010 Editor

修改后缀名

3.StegSolve

用StegSolve工具进行分析

4.转化为MD5值

 certutil -hashfile D:文件路径\OR8iq.xml md5

(8)evidence8
1.导出并保存到桌面

2.010 Editor

用010 Editor打开是.png文件,修改后缀名

再用010 Editor打开,看到最后有一堆二进制

3.Python脚本

二进制转十进制,十进制转ASCII码,ASCII码进行base解密

import base64
def binary_to_decimal(binary_str):decimal_list = []for i in range(0,len(binary_str),8):binary = binary_str[i:i+8]decimal = int(binary,2)decimal_list.append(decimal)return decimal_list
binary_str = "01001011010010010101100101010101010101010101010100110010010100110100100101010110010101110100011101000011010101010011001101001101010010110101101001001000010001100100100101010110010000110100101101001001010101100100101101000110010010110100111001001011010011000100101101011010010000110101011101001001010101000101001101001110010001110100001001001010010001010101100101010110010000110101011101001111010000100100110001010110010001010100110101000010010100010101000001000110010010100100010101001011010011110100101101010000010010110100011001010111010001110100100101010011010000110101011001001011010100100100101001000101010010110101010100110010010101100100011101010110010100010101011001001101010101100100110001000101010010100101101001000111010101110101100101010101010100110100110101001011010100100101011001011000010000010101011001001011010100110100011101000110010000110101100001010101010101010101001101000110010011100101001001001110010001100100111100110011010000110101011101001010010110100100101001000110010010010101001101010011010001100100101101010110010010110101010001001011010100110011001001010111010001110100001001010011010001100100011101010110010100110100011001001011010010100100010101000110010010010101011001010100010100010100101101011010010010100100010001000001010011010100010001011010010010110100100101011001010001100100110101010100001100100101001101001001010101100100101001000101010100010101011001001011010101110100111101000010010000110101011001000111010101100101010001001101010010100100111001001100010001110101011101011010010000110101001101001010010101100101011001010110010001010101001001000011010101010100111001001110010010100100010101010001010101010101001001010010010010100100101001001010010101100100010101010010010011000100110101001010010110100100110001010111010110010101011001010011010011110100101101001110010010110100010101010101010100100100101101010011010010110101010100110010010101010100011101010110001100110100110001001101010100100100110001000101001100100011001000110010010100110100101001000010010010110100011001001101010100110101001101011000010010110100100101011001010001010100101100110110010010110101001101001001010110100100100001000101001101000101010001001010010100010100101101010101001101100101000100111101001111010011110100111101"
res=binary_to_decimal(binary_str)
data = ''
for i in res:data += chr(i)data=base64.b32decode(data).decode('utf-8')
data=base64.b64decode(data).decode('utf-8')
data=base64.b32decode(data).decode('utf-8')
data=bytes.fromhex(data).decode('utf-8')
data=base64.b32decode(data).decode('utf-8')
data=base64.b64decode(data).decode('utf-8')
data=base64.b32decode(data).decode('utf-8')
print(data)

4.转化为MD5值

 certutil -hashfile D:文件路径\8cFQj.py md5

(9)evidence9
1.导出并保存到桌面

2.010 Editor

用010 Editor打开文件,是png,修改后缀名为.png文件

并解压

3.WPS

用WPS打开,发现什么都没有,右键填充为黑色

4.转化为MD5值

 certutil -hashfile D:文件路径\jMH7w.js md5

(10)evidence10
1.导出并保存到桌面

2.010 Editor

用010 Editor打开,是png修改后缀名为.png

3.StegSolve

用StegSolve打开

4.转化为MD5值

 certutil -hashfile D:文件路径\01d98.gif md5

三.取证结果

这篇关于单机 取证的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/941326

相关文章

衡石分析平台使用手册-单机安装及启动

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud
阅读更多...
单机部署Redis集群

单机部署Redis集群

文章目录 Redis集群1.单机安装Redis2.Redis主从集群2.1.集群结构2.2.准备实例和配置2.3.启动2.4.开启主从关系2.5.测试 3.搭建哨兵集群3.1.集群结构3.2.准备实例和配置3.3.启动3.4.测试 4.搭建分片集群4.1.集群结构4.2.准备实例和配置4.3.启动4.4.创建集群4.5.测试 Redis集群 本章是基于CentOS7下的Redi
阅读更多...
域取证的日志分析

域取证的日志分析

目录 介绍步骤横向移动行为分析 介绍 1、evtx文件是微软从 Windows NT 6.0(Windows Vista 和 Server 2008) 开始采用的一种全新的日志文件格式。在此之前的格式是 evt 。evtx由Windows事件查看器创建,包含Windows记录的事件列表,以专有的二进制XML格式保存。 Windows系统日志是记录系统中硬件、软件和系统问题的信
阅读更多...
【硬刚ES】ES高级(16) 使用基础(4)安装(4) Linux 单机

【硬刚ES】ES高级(16) 使用基础(4)安装(4) Linux 单机

本文是对《【硬刚大数据之学习路线篇】从零到大数据专家的学习指南(全面升级版)》的ES部分补充。 1 软件下载 软件下载地址:https://www.elastic.co/cn/downloads/past-releases/elasticsearch-7-8-0 2 软件安装 1) 解压软件 将下载的软件解压缩 # 解压缩tar -zxvf elasticsearch-7.8
阅读更多...
kafka单机安装

kafka单机安装

kafka单机安装 下载地址 官网:https://kafka.apache.org/最新版本下载页面:https://kafka.apache.org/downloads 说明 版本选择:3.0.0,kafka_2.12-3.0.0.tgz下载地址:https://archive.apache.org/dist/kafka/3.0.0/kafka_2.12-3.0.0.tgz 安装前准
阅读更多...
Linux平台中标麒麟安装单机DM8数据库

Linux平台中标麒麟安装单机DM8数据库

1 说明 数据库是现代信息化系统的基石,而国产数据库的发展则关乎国家的信息安全和国民经济的命脉。达梦数据库作为中国数据库领域的领军企业,其DM8数据库管理系统凭借其高性能、高可靠性、易用性等特点,逐渐赢得了用户的青睐。 本文详细介绍了基于Linux平台的中标麒麟V7操作系统安装单机版DM8数据库的完整过程,涵盖了安装前的准备工作、软件安装、数据库创建和安装后验证等方面,旨在帮助各位同学更好地了
阅读更多...
单机数据库策略

单机数据库策略

单机 单机时代考虑2个问题:速度,存储空间 表格设计的策略: 早期硬盘成本高,速度响应要求不高,尽可能的牺牲时间,减少空间的占用 使用三范式。 第一范式:数据库表格字段不可切分(关系型数据库自然支持) 姓名电话王翠花66666668,17760769456 将电话继续拆分:为两个字段固话,手机 第二范式:所有的非主键字段必须依赖全部的主键字段(复合主键:多个字段实现主键的功能) stu
阅读更多...
一文详解粗排服务 向量计算引擎单机高可用模式设计

一文详解粗排服务 向量计算引擎单机高可用模式设计

文章目录 1. 前言2.初步设计1.需求3.单机的实现4. 高可用的实现 3.详细设计1. 数据库设计2.manager设计1.manager接口1. 注册接口2.上传向量接口3.向量生效接口4.server通知开始加载向量接口5.server通知完成加载接口6.server通知完成切换接口7.向量详情接口 3. server端设计1. 项目启动的加载2. 定时任务 1.
阅读更多...
开源模型应用落地-qwen2-7b-instruct-LoRA微调合并-ms-swift-单机单卡-V100(十三)

开源模型应用落地-qwen2-7b-instruct-LoRA微调合并-ms-swift-单机单卡-V100(十三)

一、前言     本篇文章将使用ms-swift去合并微调后的模型权重,通过阅读本文,您将能够更好地掌握这些关键技术,理解其中的关键技术要点,并应用于自己的项目中。 二、术语介绍 2.1. LoRA微调     LoRA (Low-Rank Adaptation) 用于微调大型语言模型 (LLM)。  是一种有效的自适应策略,它不会引入额外的推理延迟,并在保持模型质量的同时显着减少下游
阅读更多...
【手机取证】智能手机位置数据提取方法

【手机取证】智能手机位置数据提取方法

文章关键词:手机取证、电子数据取证、云取证 一、前言 随着智能手机的普及,人们的生活方式和行为模式发生了巨大变化。智能手机不仅是通信工具,还是集成了多种传感器和定位技术的强大设备。这些设备每天都会产生大量的位置信息,这些信息不仅对于用户的日常生活至关重要,对于执法机构、数字取证专家和隐私研究人员来说也具有重要价值。 二、位置数据概述 2.1 位置数据的来源 智能手机可以通过多种途径获
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2