.png)
Windows取证
未读
【数字取证篇】Autopsy案例更改时区
【数字取证篇】Autopsy案例更改时区 Autopsy案例更改时区教程—【蘇小沐】 文章目录 1.实验环境 2.Autopsy下载安装 (一)"添加数据源"处修改 (二)"数据分析完成"处修改 总结
【镜像取证篇】FTK imager校验外部镜像的源盘哈希值
本文介绍了如何使用FTK Imager校验E01镜像文件的源盘哈希值。实验环境为Windows 11专业工作站版和AccessData FTK Imager v4.7.1.2。首先,通过“添加证据项”选择镜像文件路径,然后通过菜单栏的“校验驱动/镜像”功能或在“证据树”中右键选择相应选项来计算镜像文件的哈希值。最后将得到的哈希值与制作镜像时记录的源盘哈希值进行对比,确认一致性。文章强调了“镜像文件”的哈希值不等于“镜像的源盘”哈希值,并提醒读者不要混淆两者。此外,作者还提供了资源获取方式及往期精彩内容回顾。
【FTK Imager篇】FTK Imager制作镜像详细教程
【FTK Imager篇】FTK Imager制作镜像详细教程 以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番—【蘇小沐】 1、选择源证据类型 【路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器
Windows取证
未读
【电子取证篇】FTK Imager取证教程合集,看这一篇也够了(附下载)
FTK Imager不但可以制作镜像、挂载镜像、分析镜像,还有数据恢复等,功能还是很多的,有兴趣的自己多实验吧,目前一样先做个合集,入门足够了—【蘇小沐】 (一)FTK Imager中文设置教程 FTK Imager一款功能强大的镜像取证工具,但默认是不支持语言切换功能的,对于大部分人,尤其是新入门
【云笔记篇】Microsoft OneNote笔记分区数据删除方法
【云笔记篇】Microsoft OneNote笔记分区数据删除方法 Microsoft OneNote删除分区数据需要在网页端操作才能彻底删除—【蘇小沐】 1、实验
Windows取证
未读
【Windows取证篇】Window日志分析基础知识(一)
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析---【蘇小沐】
