随笔分类 - 电子取证 / 介质分析
发表于 2024-03-05 19:01阅读:264评论:0推荐:0
摘要:数据恢复,第一次做这种题 我们拿到的是一个zip文件,解压 发现是一个001结尾的文件,应该是镜像的分卷表示格式 我们把它放到7-zip中,发现大小只有76和12,而源文件有5个G,显示不对的,我们需要把原文件恢复出来,这里使用工具R-studio Network 1、先加载镜像 2、对镜像进行扫描
阅读全文 »
发表于 2024-03-05 18:01阅读:37评论:0推荐:0
摘要:学校里刚学到net命令,当时课上主要讲的是net的账户管理功能,但之前也碰到过使用net命令来开启mysql这样的网络服务,所以觉得总结一下net命令还是很有必要的! 用户管理 提权用户:net localgroup administrators 用户名 /add 创建隐藏用户:net user 用
阅读全文 »
发表于 2024-02-23 00:26阅读:111评论:0推荐:0
摘要:现场介质取证流程 特别需要注意现场开机状态下的计算机需要提取内存镜像,用来保护易失性数据 数据固定 复制文件 拍照 克隆(需要另外准备一块容量较大的硬盘): winhex的磁盘克隆功能--需要管理员权限 制作镜像: dd镜像(非压缩) e01镜像(压缩) FTK镜像提取 数据恢复 主要采用一些专业工
阅读全文 »
