.png)
Windows取证
未读
【镜像取证篇】qemu-img磁盘镜像转换神器
Windows取证
未读
【镜像取证篇】仿真碎片-记一次镜像仿真失败的复盘过程
Windows取证
未读
【镜像取证篇】常见镜像文件类型
Windows取证
未读
【Windows取证篇】压缩包骗局,来自定制客户的计算机木马分析与TG黑灰产浅谈
本文详细分析了一起通过压缩包传播的计算机木马病毒案例,该病毒以"xxx舞蹈.zip"为伪装,内含一个名为"xxx自动转换.CHM"的文件。通过对该CHM文件进行静态和动态分析,发现其包含恶意JavaScript脚本,能够执行一系列高危行为,如修改用户外壳文件夹、获取敏感系统权限以及自动关闭电脑等。此外,文章还揭露了与此类攻击相关的Telegram黑灰产业链,包括群组成员信息、聊天记录及病毒文件更新情况。最后,作者提供了安全防护建议,强调提高安全意识的重要性,并提醒读者谨慎处理未知来源的文件与链接。
MacOS取证
未读
【Mac取证篇】macOS取证注意事项
本文介绍了Mac文件保险箱和时间机器备份功能。搭载Apple芯片或T2安全芯片的Mac数据已自动加密,文件保险箱进一步要求输入登录密码以访问数据,提供了额外的安全保护。用户可以手动打开或关闭文件保险箱,并在忘记密码时通过iCloud账户或恢复密钥解锁磁盘。时间机器是Mac内置的备份功能,可自动备份个人数据到外置存储设备上,支持多种类型的外置储存设备。使用时间机器前需先连接合适的外置存储设备并选择其作为备份磁盘。最后提醒,在处理加密数据时应注意操作风险,建议在知道密码的情况下先关闭文件保险箱再进行备份。
【镜像仿真篇】DD、E01系统镜像仿真教程
本文介绍了如何使用FTK Imager和VMware工具对DD、E01等系统镜像进行仿真,以便查看镜像中的数据。首先,通过FTK Imager的“可写”模式将镜像挂载为本地驱动器,需特别注意选择“Block Device/Writable”选项以确保镜像可以被正确仿真。接着,利用VMware创建一个新的虚拟机,并在创建过程中指定之前挂载的镜像作为操作系统来源。在配置虚拟机时,需要关注固件类型(BIOS或UEFI)、处理器与内存分配以及磁盘类型(推荐SATA)。文章还列举了常见的错误示例及解决方法,如固件类型选择不当导致无法启动等问题。最后提醒读者,如果遇到问题可能是因为FTK Imager版本不兼容,建议尝试使用低版本软件。
Windows取证
未读
【镜像仿真篇】Linux镜像仿真、E01镜像取证
【镜像仿真篇】Linux镜像仿真、E01镜像取证 主要是Linux镜像仿真(DD、E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的“磁盘占用”,导致无法成功仿真的问题!—【蘇小沐】 前篇"
Windows取证
未读
【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真
本文介绍了如何在没有自动化取证软件的情况下,手动将E01或DD格式的系统镜像进行动态仿真查看数据的方法。主要步骤包括使用FTK Imager(v4.5.0.3)以“可写”模式挂载镜像到本地驱动器,并通过VMware Workstation 15 Pro (v15.5.2) 新建虚拟机来仿真系统镜像。文中详细描述了从选择所需软件、挂载镜像文件至创建和配置虚拟机的具体操作流程及注意事项,如确保选择正确的固件类型(BIOS或UEFI)、磁盘类型(建议SATA),以及使用物理磁盘作为虚拟机硬盘等关键点。最后提醒读者注意FTK Imager版本的选择,较旧版本可能更稳定。
【镜像仿真篇】Arsenal Image Mounter镜像挂载利器
【镜像仿真篇】Arsenal Image Mounter镜像挂载利器 Arsenal Image Mounter是一款非常优秀的磁盘挂载工具,在Microsoft Windows中可以将磁盘映像的内容作为“真实磁盘”挂载到系统中—【蘇小沐】 1、Arsenal Image Mounter简介 Ars
Windows取证
未读
【镜像仿真篇】ESXi镜像仿真教程
【镜像仿真篇】ESXi镜像仿真教程 我以为不会再有使用FTK Imager低版本的时候,毕竟Arsenal Image Mounte是我目前遇到的最强镜像挂载软件,直到这次遇到了这个ESXi镜像仿真的时候一直报错-–【蘇小沐】 1、实验环境
