取证专题
【手机取证】智能手机位置数据提取方法
文章关键词:手机取证、电子数据取证、云取证 一、前言 随着智能手机的普及,人们的生活方式和行为模式发生了巨大变化。智能手机不仅是通信工具,还是集成了多种传感器和定位技术的强大设备。这些设备每天都会产生大量的位置信息,这些信息不仅对于用户的日常生活至关重要,对于执法机构、数字取证专家和隐私研究人员来说也具有重要价值。 二、位置数据概述 2.1 位置数据的来源 智能手机可以通过多种途径获
鹏城杯 2022 取证writeup
简单取证 我们进去首先使用imageinfo pslist screenshot clipboard filescan 等等插件查看相关信息。 这里找到一个password姑且先留着 然后使用filescan找到了一个jpg文件 我们先dump下来 vol -f file.raw --profile=WinXPSP2x86 dumpfiles -Q 0x000000000207e3d
自动操作一键数据恢复/电子取证
对磁盘模拟扫描修复丢失数据的实验。 先挂载题目磁盘VHD。 Windows系统中打开磁盘管理,-操作,-附加VHD 可以看到已经加载出题目磁盘,接下来打开RStudio数据恢复软件,对其进行扫描。 操作找回丢失/被删除的数据 可以看到已经加载出题目磁盘,右键对其进行扫描,或者点击上方工具栏的扫描选项 选择详细,然后直接扫描即可。 虚拟磁盘扫描速度非
数据取证:OSForensics,新时代的数字化调查取证工具
天津鸿萌科贸发展有限公司是 OSForensics 数据调查取证软件的授权代理商。 OSForensics 数据调查取证软件协助用户通过高性能文件搜索和索引快速从计算机中提取数据调查证据;通过哈希匹配、驱动器签名比较、电子邮件、内存和二进制数据识别可疑文件和活动;管理您的数字调查并根据收集的取证数据创建报告。 文章内容: 一、全面的取证调查工具 二、识别可疑文件和活动 三、管理您的
Dumpy:一款针对LSASS数据的动态内存取证工具
关于Dumpy Dumpy是一款针对LSASS数据的动态内存取证工具,该工具专为红队和蓝队研究人员设计,支持重新使用打开的句柄来动态转储 LSASS。 运行机制 Dumpy可以动态调用 MiniDumpWriteDump 来转储 lsass 内存内容。此过程无需打开 lsass 的新进程句柄,也无需使用DInvoke_rs。 为了在不调用 lsass 上的 OpenProcess
CTF-蓝帽杯 2022 初赛Misc计算机取证题目详解
使用工具:Volatility、Passware Kit、Arsenal Image Mounter、DiskGenius 题目文件如下: 首先要知道这些文件是什么: dmp后缀指Dump文件,是windows系统中的错误转储文件。包含计算机程序运行时的内存信息的文件。通常操作系统或应用程序在遇到系统崩溃、死机或其他严重错误时,会自动将程序运行环境的所有信息导出到一个.dmp文件中。所以
ElcomSoft iOS Forensic Toolkit: 在 iOS 取证中重置屏幕密码锁的含义
天津鸿萌科贸发展有限公司是 ElcomSoft 系列软件的授权代理商。 在 iOS 设备取证领域,解锁屏幕密码锁是一道初始且重要的环节。使用 checkm8 漏洞进行低级提取已成为一种常见做法。但是,使用此方法时,可能偶尔需要删除设备的屏幕锁定密码,这可能会导致一些不良后果。在本文中,我们将研究这些后果,并了解何时需要重置屏幕锁定,何时可以避免,以及最新的 ElcomSoft iOS Foren
SysTools MailXaminer: 电子邮件取证调查中的链接分析和时间线分析
天津鸿萌科贸发展有限公司是 SysTools 系列软件的授权代理商。 SysTools MailXaminer 电子邮件取证软件提供全面强大的解决方案,通过简化的操作,从电子邮件客户端、网络邮箱服务器、磁盘镜像、Skype 通讯工具中解密并搜索证据。软件对调查工作的每一阶段(邮件加载、预览、搜索、分析及导出),都提供了现代高级功能,以帮助数字取证调查员根据其具体要求对电子邮件证据进行核心调查。调
热重启(硬重启)获取Bitlocker密钥取证
计算机内存(条)在系统运行时存储了大量敏感信息,当断电后,内存中的数据荡然无存。反之,当一直通电的情况下,内存中的一些敏感数据一直存在。当然,正如某些人了解的,当断电后,对内存条进行“冷氮保鲜”(Cold Boot Attack)也是有机会获取内存中敏感数据的。 系统在重启过程中,实际并没有关闭电源,内存条一直处于通电状态,因此存储在内存中的数据一直存在。 一般情况下,当我们点击Windo
数字取证技术(Digital Forensics Technology)实验课II
@数字取证技术(Digital Forensics Technology)实验课II 本文是我本学期的教学课题目,不包含任何博客知识分享,无关的读者可忽略; 实验练习题 (♞思考):请对工作邮件进行签名;“problem3_1.txt"里存储的是由John Doe撰写的真实的邮件,而"problem3_2.txt"里存储的是其他人恶意伪造的邮件(关键时间作了篡改);内容分别如下,请
【电子取证篇】电子数据取证标准合集更新202405(附下载)
【电子取证篇】电子数据取证标准合集更新202405(附下载) 电子数据取证相关标准合集,按照司法鉴定职业分类目录,对电子数据鉴定可能涉及的测试、测量方法进行标准归类,更新于2024年05月14日—【蘇小沐】 (一)技术规范 1、常用技术规范 GA-T 976-2012《电子数据法庭科学鉴定通用方法》 GB-T 29360-2023《法庭科学 电子数据恢复检验规程》 GB-T 29362
北亚MF2200手机取证平台介绍
一、产品介绍。 北亚MF2200手机取证平台是由北亚企安科技(北京)有限公司(Frombyte)自主研发的一款针对智能手机(iPhone、Android)及 iPad 取证分析的法证平台。本平台采集速度快,可通过自动提取和分析手机系统中的短信、通讯录等常用信息以及 QQ、微信、钉钉、连信等多款常用手机软件中的重要数据, 深入挖掘手机中隐藏的用户痕迹,协助计算机法证人员收集信息,寻找线索。 ●支持多
电子取证平航杯的复现
闻早起部分: 一、闻早起的windows10电脑 (1).“闻早起”所使用的笔记本电脑使用何种加密程式? 1.在EFI文件中找到加密程式 (2) 教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件,其版本号为? 1.用火眼防真取证创建虚拟机,注意:启动参数不能勾选,网络配置勾选NAT模式, 观察检材的照片,得到密码和pim分别为5FlowerMa)(ThousandGoldQ
第四届全国网络空间取证竞赛—线上赛(服务器部分)
因为使用仿真软件会破坏 esxi 镜像引导,因此学会手动挂载是必要的 关掉杀软等会占用磁盘的软件 FTK(一定要是图标是放大镜的版本)挂载镜像,有几块挂几块,一次性挂挂好,务必 可读可写(不一定 FTK,看自己习惯什么挂载软件就用什么挂载) 管理员模式打开 vmware,cpu 和内存给大点,先挂系统盘,再挂数据盘 成功启动 手动绕密(exsi7 及以下) 手动加一块 is
近几年视频取证、视频篡改检测技术发展现状及挑战
前言 本文主要搜集了视频取证各个子领域近几年的高影响因子/引用数的文章及其主要思想和做法,旨在分析目前视频篡改检测的发展现状与热点领域,文章中也融合了自己的一点看法和展望,欢迎感兴趣的同学和我多多沟通。 本文无论是文献搜集还是方向发展和评价都是我一个字一个字敲出来的,如果你需要论文PDF/写论文要引用我的文字的话,请和我说一声。 本人能力有限,有很多领域了解的也不够深入,如果有表述错误也欢迎
PC-3000 Mobile Pro: 智能手机及平板设备数据提取及取证工具
天津鸿萌科贸发展有限公司从事数据安全业务20余年,在数据恢复、数据取证、数据备份等领域有丰富的案例经验、前沿专业技术及良好的行业口碑。同时,公司面向取证机构及数据恢复公司,提供数据恢复实验室建设方案,包含数据恢复硬件设备及数据恢复软件产品。 PC-3000 Mobile Pro 是 ACE Lab 的新产品,用于从移动设备(智能手机及平板设备)中提取数据,仅适用于执法机构及认证数字取证机构。
volatility内存取证
记录一道volatility内存取证的题目,第一次遇到,现场把环境搞出来,现记录一些操作指令。 一、安装volatility3 1、新建一个kali虚拟机 新建的过程不再赘述。 2、下载volatility3 GitHub - volatilityfoundation/volatility3: Volatility 3.0 development 可以使用Git下载 git clon
游戏黑灰产识别和溯源取证
参考:游戏黑灰产识别和溯源取证 1. 游戏中的黑灰产 1. 黑灰产简介 黑色产业:从事具有违法性活动且以此来牟取利润的产业; 灰色产业:不明显触犯法律和违背道德,游走于法律和道德边缘,以打擦边球的方式为“黑产”提供辅助的争议行为。 2. 游戏中的黑灰产方式 主要围绕着: 外挂辅助软件、盗号软件、工作室、私服、木马、钓鱼软件。 1. 外挂:一种基于游戏进行作弊的软件,通过利
22长安杯电子取证复现(检材一,二)
检材一 先用VC容器挂载,拿到完整的检材 从检材一入手,火眼创建案件,打开检材一 1.检材1的SHA256值为 计算SHA256值,直接用火眼计算哈希计算 9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34 2.分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2 要找技术员
参会记录|全国多媒体取证暨第三届多媒体智能安全学术研讨会(MAS‘2024)
前言:2024年4月13日上午,我与实验室的诸位伙伴共聚江西南昌的玉泉岛大酒店,参加了为期一天半的全国多媒体取证暨第三届多媒体智能安全学术研讨会(MAS’2024)。本届学术研讨会由江西省计算机学会、江西省数字经济学会主办,南昌大学承办。来自国内多媒体取证与人工智能安全的专家、学者代表等共计100余人次相聚豫章故郡,共同参与此次会议。以下为本人的会议笔记。 特邀报告 * 5场 智能化
CTFshow电子取证——内存取证2
接上回 JiaJia-CP-2 2.佳佳在网页上登录了自己的邮箱,请问佳佳的邮箱是? 因为是在网页上登陆的邮箱 用iehistory插件 查看一下网页历史记录 为了方便分析,使用grep命令正则匹配一下 *@*com 的记录 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory | grep ".*@.*com" 查看并没有
windows下使用的的数字取证工作工具套装:forensictools
推荐一套windows下使用的的数字取证工作工具套装:forensictools 部分工具包括: ▫️exiftool,一个命令行应用程序和 Perl 库,用于读写元信息。▫️YARA,一款开源工具,用于对恶意软件样本进行识别和分类。▫️OfficeMalScanner,一款 Office 取证工具,用于扫描恶意软件痕迹。▫️SQLECmd,一款根据需要查找和处理 SQLite 文件的工
黑烟车智能电子抓拍取证系统?违规排放黑烟车都有哪些处罚?
一、黑烟车智能电子抓拍取证系统 黑烟车智能电子抓拍取证系统是一种用于检测和抓拍排放黑烟的车辆的智能系统。它通常由以下部分组成: 摄像头:系统中安装了高清摄像头,用于拍摄车辆的照片或视频。 图像识别技术:通过图像识别算法,系统能够自动识别和分析车辆排放的黑烟情况。 废气检测设备:有些系统可能会配备专门的废气检测设备,如颗粒物传感器或尾气分析仪,以准确检测车辆的废气排放。 数据处理与