.png)
计算机取证
未读
【数字取证篇】Autopsy案例创建与镜像分析详细教程
本文详细介绍了使用Autopsy进行数字取证的步骤,包括案例创建、数据源添加与分析、以及报告生成。实验环境基于Windows 11专业工作站版和Autopsy 4.19.3版本,并以E01格式镜像为测试对象。首先,在Autopsy中创建新案例时需填写案件名称及存储路径等信息;接着,通过选择适当的数据源类型(如磁盘镜像或虚拟机文件)并指定其位置来添加数据源。Autopsy内置了多种标准采集模块用于自动分析数据源内容,如最近活动模块、哈希查找模块等。在完成数据分析后,用户可以通过左侧树形结构查看结果,并利用时间轴、图片库等功能进一步探索特定数据。最后,可通过“生成报告”功能导出包含所有分析结果的最终报告,支持HTML、XLS等多种格式。整个过程展示了Autopsy强大的数字取证能力及其便捷的操作界面。
Linux取证
未读
【Linux取证篇】Windows应用商店安装Kali Linux系统与Vmware虚拟机共存
本文介绍了在已安装有Vmware虚拟机的Windows 11环境下,通过启用开发人员模式、检查并启用适用于Linux的Windows子系统(WSL),以及从应用商店安装Kali Linux的方法。文章详细说明了如何设置账号和密码,并确保Kali Linux与现有Vmware虚拟机共存。关键步骤包括:启用WSL功能、在应用商店搜索安装Kali Linux、设置用户名和密码、查看并设置WSL版本为1以实现与Vmware兼容。最终,用户可以在同一台机器上同时运行Vmware虚拟机和WSL下的Kali Linux,从而无需频繁切换环境。
Linux取证
未读
【Linux取证篇】kali Linux下的su、sudo命令用法说明
本文详细介绍了在Kali Linux中`su`和`sudo`命令的使用方法及其区别。`su`(Switch User)用于切换用户,其中`su`仅切换用户身份但不改变环境变量,而`su -`则同时切换用户身份和环境变量。`sudo`(Super User do)允许用户以超级用户权限执行单个命令,通过输入当前用户的密码即可获得临时的root权限,无需切换整个环境。此外,文章还提供了如何重置root密码、查看具有sudo权限的用户以及避免一些常见错误命令的方法。最后强调了直接使用root账户的风险,并建议尽量减少其使用。
Windows取证
未读
【Windows取证篇】Window日志分析基础知识(一)
本文介绍了Windows日志分析的基础知识,包括查看方法、记录类型、数据大小、储存位置及导出类型。文章指出,通过事件查看器可以访问系统、安全和应用程序三个核心日志文件,默认大小分别为20MB、20MB和1MB,超过容量后会覆盖旧日志。日志文件通常存储在`%SystemRoot%\System32\winevt\Logs`目录下。每个日志条目包含来源、时间、事件ID等九个元素。此外,文章还提供了多种日志导出格式(如evtx、xml、txt、csv)以及相关工具的下载链接。实验环境基于Windows 11专业工作站版。该文旨在为系统审计与取证分析提供基础指导。
Windows取证
未读
【Windows取证篇】Windows日志线索分析之设备名称痕迹
本文详细介绍了如何在Windows系统中查找和分析设备名称痕迹,这对于电子取证非常重要。首先,可以通过运行“winver”或“msinfo32”命令来查看系统信息。接着,通过注册表路径(计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion)可以找到系统版本等信息,并指出系统信息与注册表记录可能存在不一致的情况。此外,事件ID 6011表明系统名称发生了更改,如果发现设备名称不符,需重点检查此事件ID。实验验证部分展示了重启前后日志记录的变化。文章还提到了其他可能存储设备名称的位置,如凭证管理器和Windows工具中的系统配置。最后,提供了多种日志分析软件的下载链接。
MacOS取证
未读
【Mac取证篇】macOS取证注意事项
本文介绍了macOS取证时需要注意的事项,重点讲解了Mac文件保险箱和时间机器备份的功能及使用方法。搭载Apple芯片或T2安全芯片的Mac数据已自动加密,启用文件保险箱可进一步保护数据安全,要求用户输入登录密码才能访问。文件保险箱使用AES-XTS算法进行加密,并且在搭载特定芯片的Mac上,所有密钥处理都在安全隔区中完成。若忘记密码,可以通过iCloud账户或恢复密钥解锁。关闭文件保险箱会移除额外的安全层。此外,文章还介绍了如何使用时间机器进行数据备份,包括选择合适的外置储存设备、设置备份磁盘等步骤。最后提醒,在进行取证操作前,应先关闭文件保险箱以确保能顺利获取数据。
