引言最近在网络安全的学习中,关于取证方面有很多之前不理解并且很复杂的问题,Windows取证最容易“工具一堆、思路发散”。今天与大家一起分享自己的一些经验。1. 什么是注册表 如果把Windows主机比做成一个人,那么注册表就是他的记忆宫殿。 操作系统什么时候出生的?名字是什么?安装过什么软件?
转载 by nkever1.记录当前时间dos命令:dat /t & time /t2.记录登录的用户sessiondos 命令:net sessions工具:Psloggedon.exe Logonsessions.exe3.记录打开的文件dos 命令:net file工具:psfile.exe open?les.exe其它:查看文件打开历史记录4.
转载
精选
2014-11-11 10:29:32
9504阅读
引言最近在网络安全的学习中,关于取证方面有很多之前不理解并且很困难的问题,Windows取证最容易“工具一堆、思路发散”。今天与大家一起分享自己的一些经验。注册表就是1. 什么他的记忆宫殿。就是假设把Windows主机比做成一个人,那么注册表就操作系统什么时候出生的?名字是什么?安装过什么软件?哪些 ...
或分析稿件通过并发布还能收获200-800元不等的...
原创
精选
2023-05-09 12:59:40
546阅读
调查或分析稿件通过并发布还能收获200-800元不等的...
原创
2023-05-09 13:02:32
373阅读
0x0、概述 evtx文件是微软从 Windows NT 6.0(Windows Vista 和 Server 2008) 开始采用的一种全新的日志文件格式。在此之前的格式是 evt 。evtx由Windows事件查看器创建,包含Windows记录的事件列表,以专有的二进制XML格式保存。 0x1、 ...
转载
2021-07-26 15:36:00
2140阅读
ang010ela 嘶吼专业版 简介FireEye咨询师在应急响应过程中经常需要对计算机网络进行取证分析,其中经常会使用Windows注册表数据。Windows注册表数据对发现恶意活动,找出哪些数据通过网络被窃取了非常有用。注册表中许多不同类型的数据都可以提供一些程序执行、应用设置、恶意软件驻留等的证据。从过去的经验来看,对攻击活动执行取证分析非常困难。许多高级的攻击者都会使用一些反取证技术来隐
原创
2021-04-13 10:21:10
1614阅读
一、概述
注册表(英语:Registry)是Microsoft Windows操作系统和其应用程序中的一个重要的层次型数据库,用于存储系统和应用程序的配置信息。
早在Windows 3.0推出OLE技术的时候,注册表就已经出现。但是,从Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今。随后推出的Windows NT是第一个从系统级别广
转载
2021-06-25 09:27:00
936阅读
2评论
当年,APT这个词刚出现的时候震慑了一大群安全同学,“APT(Advanced Persistent Threat)是指高级持续性威胁”,这个专业定义让大家都无比崇拜。随着逐步研究与接触,尤其是在处理过APT后,慢慢明白,其实所谓apt,就是一个或组织死心眼,一门心思要搞你。
转载
2022-01-17 14:53:04
236阅读
1概述注册表(英语:Registry)是Microsoft Windows操作系统和其应用程序中的一个重要的层次型数据库,用于存储系统和应用程序的配置信息。早在Windows 3.0推出OLE技术的时候,注册表就已经出现。但是,从Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今。随后推出的Windows NT是第一个从系统级别广泛使用注册
原创
2023-05-09 13:01:43
266阅读
没有突破的时候,不妨换个方向换个角度去分析问题—【蘇小沐】
原创
2023-07-01 00:23:19
468阅读
内存取证免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.简介内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取重要信息。CTF writupV&N2020 公开赛Misc-内存取证 Writeup内存取证三项CTF赛题详解强网杯 广博的BlueTeaming内存提取 这个步骤是从目标机器
如何对Windows剪切板里的内容进行取证分析 Windows剪切板取证
原创
2023-05-25 11:06:33
647阅读
最近简单的了解了一下Volatility这个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等等等等~~~ 0x01 安装安装分为三步走:下载安装必要的python依赖文件安装本体下载你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可
转载
2024-05-21 10:54:16
269阅读
1.3 取证审查方法与任何取证研究一样,这里提供几种方法用于信息获取和分析。无论用任何方式进行信息获取都不能修改源信息,这是信息获取的关键,也可以说是最重要的一点。如果在一些实时系统或移动设备上获取信息时无法避免要修改源信息,那么分析者必须说明修改的细节以及必须作此修改的原因。移动领域取证与传统的计算机取证不一样,传统的计算机取证,你可以拆下硬盘,连上数据恢复工具write blocker,然后映
转载
2024-08-06 23:04:20
170阅读
实验目的1.理解“活取证”和“死取证”两类技术的差别和应用场合2.掌握“活取证”和“死取证”基本工具的使用方法实验内容一、活取证
