.png)
Windows取证
未读
【Windows取证篇】Windows禁用驱动程序签名教程
【Windows取证篇】Windows禁用驱动程序签名教程 Windows高级启动禁用驱动程序签名—【蘇小沐】 实验环境
Windows取证
未读
【Windows取证篇】压缩包骗局,来自定制客户的计算机木马分析与TG黑灰产浅谈
本文分析了一种通过压缩包传播的计算机木马病毒案例,该病毒伪装成舞蹈练习文件“xxx舞蹈.zip”,内含恶意CHM文件。对“xxx自动转换.CHM”进行静态和动态分析后发现,它利用系统程序hh.exe加载恶意HTML文件,执行包括修改用户外壳文件夹、获取敏感系统权限以及自动重启电脑等高危行为。此外,文章还揭示了与该病毒相关的Telegram黑灰产链条,展示了其广泛的传播渠道和简单的诈骗手法。最后,文章提供了若干安全防护建议,强调提高个人安全意识的重要性。
Windows取证
未读
【Windows取证篇】Windows镜像仿真绕过开机密码技巧
本文介绍了如何使用镜像仿真技术绕过Windows系统的开机密码,特别是在电子取证场景中。作者首先说明了通过替换系统镜像来破解密码的不足之处,并推荐了一种更为简便的方法:利用PE工具制作ISO镜像文件,并通过设置虚拟机从光驱启动来加载该工具,从而实现密码绕过。文中详细讲述了如何在VMware 16 pro中添加ISO镜像、进入BIOS设置光驱启动优先级以及具体步骤以实现密码绕过和自动重启进入操作系统。最后提醒读者根据实际情况选择合适的密码处理方式(绕过、修改或移除),并提供了相关软件资源下载链接。
Windows取证
未读
【Windows取证篇】Window日志分析基础知识(一)
本文介绍了Windows日志分析的基础知识,适用于Windows 11专业工作站版。主要内容包括:Windows日志的查看方法、记录类型(系统、安全、应用程序)、数据大小限制(核心日志20MB,其他日志1MB)、存储位置(默认在C:\Windows\System32\winevt\Logs)以及导出类型(evtx、xml、txt、csv)。通过事件查看器可以访问这些日志,并根据特定的时间点、事件ID进行取证分析。文章还提供了详细的图示和路径说明,便于理解和操作。
Windows取证
未读
【Windows取证篇】Windows日志线索分析之设备名称痕迹
本文介绍了如何在Windows 11专业工作站版中进行设备名称痕迹的取证分析。文章首先指出设备名称可以自定义修改,并且需要重启后生效,同时强调了设备名称与Windows用户名的区别。接着,通过运行“winver”和“msinfo32”命令来查看系统信息,展示了如何获取和对比注册表中的系统信息。文章还详细说明了事件ID 6011在事件查看器中的作用,该事件ID表示系统名称发生改变,可以通过它来追踪设备名称的更改记录。此外,文章探讨了其他可能存储设备名称信息的位置,如凭证管理器和系统配置工具。最后,提供了实验验证的结果,包括不重启电脑和重启电脑两种情况下的日志记录差异。
