|
|
|
|
摘要:
1. We are releasing EnCase v6.19 with the next day or so that will support the new Ex01 format. This will enable v6 users to also read the new v7 evidence files.2. EnCase v6 and v7 can both still create legacy E01 files. We are not removing that functionality from any EnCase product, but are recomm. 阅读全文
posted @ 2011-08-18 18:05 YiDiscovery 阅读(390) 评论(0) 推荐(0) 编辑
摘要:
之前就了解到,EnCase v7将放弃之前v6版本所使用的Aladdin HASP HL加密狗,而改为采用和FTK一样的CodeMeter加密狗;但由于种种原因,未能见到v7 CodeMeter Dongle的真身,今日终得一见~ v7加密狗与之前的EnCase Portable 2.0采用了一样的CodeMeter,但是EP是带存储,且为银色,v7 Forensic是蓝色,且不带存储。 阅读全文
posted @ 2011-08-17 17:28 YiDiscovery 阅读(893) 评论(0) 推荐(0) 编辑
摘要:
很多人都遇到过在更新或者重装Office之后序列号失效的情况,当然,也有些是因为使用了网上提供的序列号,在Office 2003中,序列号的更换相对较为简单,可以直接删除注册表项目,再次运行即可按照提示输入新的序列号,在Office 2007和2010中,尤其是2010中,微软官方提供的解决方案是使用cscript ospp.vbs命令,执行序列号更换或者删除,但这种办法相对麻烦,且如需删除前一序列号还需要先找到前一序列号,使用cscript ospp.vbs输入前一序列号后五位才可以。在网上找到这么个小工具"Office Key Remover”,使用它可以直接移除Office 2 阅读全文
posted @ 2011-08-14 03:20 YiDiscovery 阅读(452) 评论(0) 推荐(0) 编辑
摘要:
GSI近日在一篇KB中对于新的EX01证据文件结构进行了解释: What New Features are Offered by the EX01 Evidence File Format?Affected Products:EnCase Forensic 7.xSummary:EnCase V7 allows for the creation of EX01 files. This evidence file format retains many of the features of E01 files and adds several new features.Explanation/R 阅读全文
posted @ 2011-08-13 15:42 YiDiscovery 阅读(620) 评论(0) 推荐(0) 编辑
摘要:
在前面的文章中我们提到过,EnCase v7由于采用了全新的证据文件格式*.ex01,支持全新的压缩方式,关于此种压缩方式的效率,Guidance官方近日给出了相关KB An Overview of Compression Levels in EnCase Version 7Affected Products:EnCase Version 7Summary:This documentexplains compression concepts and compression results using EnCase Version 7.Explanation/Resolution:Compres 阅读全文
posted @ 2011-08-13 15:20 YiDiscovery 阅读(655) 评论(0) 推荐(0) 编辑
摘要:
Android逻辑数据手动提取和分析 1. SMS、MMS相关信息的手动提取 首先,通过镜像或者具备ROOT权限的程序将以下文件夹完整提取: 以下分别对各个目录进行解释: App_parts: 手机中收发的彩信附件,如图片: 该文件是以附件添加/收到的时间命名的,时间戳采用毫秒换算,由于不熟悉C语言,只能用Excel做一个换算式: 文件解析为图片: Databases 该文件夹下包含两个文件: 分别包含手机APN信息: 手机短信、彩信中包含的所有号码信息(推荐号码/典型号码): 以保存(已发送/已接收)的彩信结构: ... 阅读全文
posted @ 2011-08-12 23:00 YiDiscovery 阅读(3416) 评论(0) 推荐(0) 编辑
摘要:
EnCase v7为调查人员提供了强大的报告功能,这一点在之前的博文中已经提及(http://www.cnblogs.com/ysun/archive/2011/05/23/2054580.html) 但是,真正自己去制作案例模板的时候,才会发现,制作模板是一个既费时又费力的工作,令我不由回忆起当年用Frontpage制作自己个人网站的情景 其实,完全不必这么复杂,在EnCase v7中,一开始变为调查人员提供了方便的内置模板。 大部分人和我一样,习惯了在EnCase v6使用时随意输入一个诸如123或者asdf的案例名称,如果你在EnCase v7中也这么操作,那么你必然会与内置的... 阅读全文
posted @ 2011-07-26 23:28 YiDiscovery 阅读(682) 评论(0) 推荐(0) 编辑
摘要:
习惯了使用Gmail的联系人双向同步,在Android上整合使用很方便,但是遇到多平台使用时,尤其是在Symbian平台上,同步联系人就比较麻烦,如果不通过网络同步,一般的办法是把联系人从Gmail里同步到Outlook,然后导出csv或者vcf,再用PC套件导入手机,但是这样的同步方式问题很多,尤其是Outlook和诺基亚PC套件/ovi套件支持的csv格式不太一样,即使Outlook导出的时候一个一个指定了映射,还是会出现号码错乱、姓名颠倒的问题,而且Gmail里面上传的联系人头像也会消失。 之前的解决方案是从Ovi商店中下载一个Exchange同步软件,从Ovi商店下载软件还需要注册,麻 阅读全文
posted @ 2011-07-26 15:22 YiDiscovery 阅读(873) 评论(0) 推荐(0) 编辑
摘要:
很多用户在安装了EnCase v7之后会发现,在建立了几个案例之后,C盘可用空间便会急剧减少,尤其是使用了Case Processor的案例,C盘空间减少的情况更为明显。原因分析:之前在EnCase v7的新功能介绍中提到,EnCase v7采用了新的加载方式,v6及之前的版本在复合文件加载以及索引过程中,均需要占用大量内存,而在EnCase v7中,符合文件、Case Processor以及索引均改为“硬盘换内存”的方式,即所有复合文件将被直接解析为若干L01等文件并存储至硬盘,这个存储位置便是案例缓存位置Primary Cache,而用户新建案例时一般不会更改默认的C:\Users\%us 阅读全文
posted @ 2011-07-18 09:29 YiDiscovery 阅读(409) 评论(3) 推荐(0) 编辑
摘要:
Logicube近期发布两款新产品和升级 手机取证产品CellXtract 和 Talon 增强版 The Ultimate Forensic Warrior CellXtract™ COMING SOON - AVAILABLE MID Q3 2011 The new CellXtract™ provides fast and thorough forensic data extraction from mobile devices. Designed for tough field environments, including military operations... 阅读全文
posted @ 2011-07-15 15:08 YiDiscovery 阅读(469) 评论(2) 推荐(0) 编辑
摘要:
ICOM IC-R3全频收信机一般指标频率范围: 0.495-2450.095 MHz* * 816-901.995 MHz range is inhibited for the U.S.A. version.模式: FM, AM, WFM, AM-TV*1 , FM-TV*2 *1 One of either NTSC M, PAL B or PAL G systems. *2 For 900?300 MHz, 2250?450 MHz ranges only; not available in some versions. Frequency resolution: 5 kHz, 6.25 阅读全文
posted @ 2011-07-13 23:35 YiDiscovery 阅读(3455) 评论(0) 推荐(0) 编辑
摘要:
今天本想上网找找专用的航空频段接收机,结果刚好看到了德生的全频PL-660收音机,很惊讶,现在的民用收音机竟然都能做得这么牛,想起了中学时候上晚自习偷听收音机,那时候用家里的德生PL-757,觉得已经是非常先进的设备了,还有那时候某同学在地摊上淘来的各种简易收音机,乐趣很多,印象最深的还是某同学的“福生 R-535”,它给我们带来了很多砖家叫兽的学习教程,特此纪念一下。 阅读全文
posted @ 2011-07-11 01:47 YiDiscovery 阅读(336) 评论(0) 推荐(0) 编辑
摘要:
引用来源: http://news.sina.com.cn/c/2011-06-29/044222723439.shtml 部分节录: 刑事诉讼法将大修 嫌疑人有望不再自证其罪 http://www.sina.com.cn 2011年06月29日04:42 四川新闻网-成都商报 修改内容提要 ◆拟完善强制措施体系,新增电子监控和扣押、没收身份证、驾照和护照等证件,限制犯罪嫌疑人的活动 ◆有望强化律师辩护权,将其正式延伸到侦查阶段,而按现行法律,律师在侦查阶段只有法律咨询权和帮助权 ◆特别规定只有真正有犯罪行为,法院裁判需要进行强制医疗的精神病人才能送医 ◆跟踪、卧底... 阅读全文
posted @ 2011-07-04 09:23 YiDiscovery 阅读(481) 评论(0) 推荐(0) 编辑
摘要:
Guidance Software近日正式发布了EnCase v7版本,下面为一些正式版的截图。可以看到,此版本版本号为7.01.00.48,发布时间2011-6-24日主界面,在Preview 1和Preview 2中看到的白底界面,在正式版中改为了渐变的蓝色,更为美观(//显然很符合我的颜色审美,LOL)正式版中,已经可以针对智能手机直接进行获取,上图为针对BlackBerry Bold进行获取经测试,可以直接针对Android和BlackBerry进行获取(BB需要自动在Windows Update更新驱动支持),Symbian的和iOS据信是要安装相应的同步软件之后才可直接获取。获取到 阅读全文
posted @ 2011-07-02 16:58 YiDiscovery 阅读(1382) 评论(0) 推荐(0) 编辑
摘要:
Guidance Software近日正式发布EnCase v7,同时Guidance正式停止了v7 Preview计划,有兴趣试用EnCase v7的用户,现在开始可以向Guidance申请试用。1. Guidance EnCase v6 用户EnCase v6的Law Enforcement和FIM用户,可以向Guidance申请免费的14天全功能试用,提交有效的v6加密狗号,即可得到v7的Cert文件。v6用户申请地址: http://www.guidancesoftware.com/V7Evaluation.aspx2. 非EnCase用户未购买EnCase v6的用户或购买EnCas 阅读全文
posted @ 2011-07-02 11:37 YiDiscovery 阅读(796) 评论(0) 推荐(0) 编辑
摘要:
Version 7: A New Approach
With powerful automation capabilities, streamlined user interface, and optimized case management, EnCase® Forensic v7 will transform how you perform investigations.
At the core of EnCase® Forensic v7 is our commitment to robust file and operating system support. With version 7 you will be able to investigate more file syst 阅读全文
posted @ 2011-07-02 11:24 YiDiscovery 阅读(603) 评论(0) 推荐(0) 编辑
摘要:
环境:UCWeb Android V7.7.0.85,HTC G7,Android 2.2 分析目的 查找出Android版UC浏览器的相关痕迹信息。 分析过程 UC浏览器安装后会在手机内存的data目录下生成com.uc.browser文件夹(手动App2SD除外),如下图所示: 1 Cache文件夹 1.1 WebResCache 该目录下为网页的缓存文件(如图片等) 下图为缓存图片示例: 该文件夹下同时还有uccacheindex.dat和uccachesorted.dat两个缓存索引和分类文件。 2 databases文件夹 2.1 webview.d... 阅读全文
posted @ 2011-06-27 17:31 YiDiscovery 阅读(3070) 评论(2) 推荐(1) 编辑
摘要:
环境:京东Android客户端V1.0.4,HTC G7,Android 2.2 分析目的 分析过程 京东Android客户端安装后,在手机内存data/data下,生成com.jingdong.app.mall文件夹,结构如下: 并在存储卡根目录生成jingdong文件夹,目录结构如下: 下面,将分别就两个存储位置进行分析。 手机存储 com.jingdong.app.mall文件夹 1. databases文件夹 1.1 jd.db文件 该文件包含:当前购物车中的商品名称(请见对比) 缓存图片的下载时间及保存路径 2. lib文件夹,该文件夹默... 阅读全文
posted @ 2011-06-27 11:14 YiDiscovery 阅读(2006) 评论(0) 推荐(0) 编辑
摘要:
腾讯微博Android手机客户端取证分析 环境:腾讯微博Android版 V2.3.1(2011-5-10),HTC G7,Android 2.2 目的 通过针对Android手机中安装的腾讯微博程序的分析,提取用户曾经使用腾讯微博的痕迹以及用户名密码等敏感信息,已达到取证目的。 分析过程 l 腾讯微博Android程序安装后会在手机存储卡目录data/data目录下生成com.tencent.WBlog文件夹,其目录结构如下: 图中黑色遮盖部分为登陆过的QQ号码,如登录过多个号码,则会显示多个号码文件夹。 l 同时,手机SD卡根目录中将生成Tencent\MicroBlog... 阅读全文
posted @ 2011-06-27 05:42 YiDiscovery 阅读(1940) 评论(0) 推荐(0) 编辑
摘要:
分析目标 提取iPad中安装的新浪微博HD应用的相关内容。 通过第三方软件,将iPad中安装的新浪微博HD应用文件夹导出,文件结构如下图 树形结构 根目录 分析结论 1. Ipad上的新浪微博应用“微博HD”取证与android平台应用取证类似,大部分数据采用明文保存,包括用户名和密码等信息 2. Ipad版微博应用比android存储结构复杂,但所有数据存储方式基本类似,均采用UTF-8编码 分析过程 1. Documents目录 该目录包含data_cache、user_wallpapers和user_wallpapers_tmb三个子目录 l data_ca... 阅读全文
posted @ 2011-06-24 14:08 YiDiscovery 阅读(1829) 评论(0) 推荐(0) 编辑 |
|