.png)
Windows取证
未读
【Windows取证篇】Windows禁用驱动程序签名教程
本文介绍了在Windows 11专业工作站版22H2中禁用驱动程序签名的步骤,主要解决驱动安装失败的问题,如手机驱动安装时遇到的情况。通过进入高级启动选项(系统-恢复-高级选项-高级启动),用户可以找到并选择“疑难解答”->“高级选项”->“启动设置”,在此过程中选择F7键(部分机型可能是F5)来禁用驱动程序强制签名功能。文章提供了详细的图文指导,并指出操作步骤可能因具体设备而略有差异。此教程由[蘇小沐]编写,旨在为用户提供帮助,并欢迎读者对内容提出改进建议。
Windows取证
未读
【Windows取证篇】压缩包骗局,来自定制客户的计算机木马分析与TG黑灰产浅谈
本文详细分析了一起通过压缩包传播的计算机木马病毒案例,该病毒以"xxx舞蹈.zip"的形式发送给商家,解压后得到"xxx自动转换.CHM"文件。静态和动态分析显示,该CHM文件内含恶意JavaScript脚本,能够执行一系列高危行为,如修改用户外壳文件夹、获取敏感系统权限、自动关闭电脑等,并且尝试与远程服务器通信。此外,文章还探讨了Telegram(TG)平台上的黑灰产业链,揭示了病毒文件的来源及其背后的运作模式。最后,作者提出了一些防范建议,包括提高安全意识、谨慎处理外部文件以及保留证据及时报警等措施。
Windows取证
未读
【Windows取证篇】Windows镜像仿真绕过开机密码技巧
本文介绍了如何使用镜像仿真技术绕过Windows系统的开机密码,特别是在电子取证场景中。作者首先说明了通过替换系统镜像来破解密码的不足之处,并推荐了一种更为简便的方法:利用PE工具制作ISO镜像文件,并通过设置虚拟机从光驱启动来加载该工具,从而实现密码绕过。文中详细讲述了如何在VMware 16 pro中添加ISO镜像、进入BIOS设置光驱启动优先级以及具体步骤以实现密码绕过和自动重启进入操作系统。最后提醒读者根据实际情况选择合适的密码处理方式(绕过、修改或移除),并提供了相关软件资源下载链接。
镜像仿真
未读
【镜像仿真篇】WindowsServer服务器镜像仿真
本文介绍了如何使用qemu-img工具将raw、qcow2等格式的镜像转换为vmdk文件,以及在VMware Workstation 16 Pro中创建并配置Windows Server虚拟机的过程。首先通过qemu-img命令行工具进行镜像格式转换,然后详细讲述了在VMware中新建虚拟机时需要注意的关键步骤,包括选择BIOS作为固件类型、IDE作为磁盘类型,并强调了选择正确的操作系统版本和磁盘类型的重要性。此外,还提到了添加额外硬盘的方法及遇到“Windows错误恢复”时的处理建议。最后提醒读者在操作过程中注意数据安全,推荐使用备份文件进行实验。
Windows取证
未读
【Windows取证篇】Window日志分析基础知识(一)
本文介绍了Windows日志分析的基础知识,包括查看方法、记录类型、数据大小、储存位置及导出类型。文章指出,通过事件查看器可以访问系统、安全和应用程序三个核心日志文件,默认大小分别为20MB、20MB和1MB,超过容量后会覆盖旧日志。日志文件通常存储在`%SystemRoot%\System32\winevt\Logs`目录下。每个日志条目包含来源、时间、事件ID等九个元素。此外,文章还提供了多种日志导出格式(如evtx、xml、txt、csv)以及相关工具的下载链接。实验环境基于Windows 11专业工作站版。该文旨在为系统审计与取证分析提供基础指导。
Windows取证
未读
【Windows取证篇】Windows日志线索分析之设备名称痕迹
本文详细介绍了如何在Windows系统中查找和分析设备名称痕迹,这对于电子取证非常重要。首先,可以通过运行“winver”或“msinfo32”命令来查看系统信息。接着,通过注册表路径(计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion)可以找到系统版本等信息,并指出系统信息与注册表记录可能存在不一致的情况。此外,事件ID 6011表明系统名称发生了更改,如果发现设备名称不符,需重点检查此事件ID。实验验证部分展示了重启前后日志记录的变化。文章还提到了其他可能存储设备名称的位置,如凭证管理器和Windows工具中的系统配置。最后,提供了多种日志分析软件的下载链接。
