电子数据取证,从零基础到精通,收藏这篇就够了!

电子取证的基本概念

科学的运用提取和证明方法,对从电子数据源提取的证据进行保护、收集、验证、鉴定、分析、解释、存档和出示,以有助于进一步的犯罪事件重构或帮助识别某些计划操作无关的非授权性活动。

在网络安全大环境中,信息安全可以看作是解决事前防御问题,电子取证则是解决事后究责问题。

电子取证的发展历程

奠基时期

时间:1984年至九十年代中期

  • • FBI成立了计算机分析响应组(CART)。

  • • 数字取证科学工作组(SWGDE),这个小组首先提出了计算机潜在证据的概念形成了计算机取证概念的雏形。

  • • 计算机技术取证技术工作组(TWGDE),更多地在技术层面上对“数据取证”技术进行研究。

  • • 科学工作组(SWGs)的发展。

特点:公布了有关数字证据的概念、标准和实验室建设的原则等,截止1995年,美国48%的司法机关建立起了自己的计算机取证实验室。

初步发展时期

时间:九十年代中期至九十年代末期

典型的计算机取证产品:

  • • Encase:美国Guidance软件公司开发,用于证据数据的收集和分析。

  • • DIBS:由美国计算机取证公司开发,对数据进行镜像的备份系统。

  • • Flight Server:由英国Vogon公司开发,用于证据数据的收集和分析。

  • • 其他工具:密码破解工具、列出磁盘上所有分区的LISTDRV,软盘镜像工具DISKIMAG,在特定的逻辑分区上搜索未分配的或空闲的空间的工具FREESECS等。

理论完善时期

时间:九十年代末至今

计算机取证的概念及过程模型被充分研讨

较为典型的五类模型:

  • • 基本过程模型

  • • 事件响应过程模型

  • • 法律执行过程模型

  • • 过程抽象模型

  • • 其他模型

科学体系建设

电子取证的技术类别和相关领域

数字取证在中国的启动

我国网络安全界曾经从战略高度上提出了如何建立使入侵者感到有威慑的主动防御策略:

  • • 基于主动防御的网络安全技术改变了以往仅仅依靠防火墙、扫描、检测这些传统的网络安全工具,推动了我国的信息监控、数字取证等技术的发展以及相应产品的面世。

  • • 2000年5月,国南部确立了以办理计算机犯罪案件为主线,以电子数据证据为核心,以计算机犯罪侦查为主要内容开展专门技术研究。

  • • 计算机取证研究列入课题项目,出现一批早期的研究论文和文章。

取证业务涉及行业

  1. 1. 刑事类案件的侦查取证和诉讼活动大量涉及电子证据。这类案件的侦查取证一般由公安系统和检察院完成并由第三方鉴定机构做司法鉴定,出具司法鉴定报告。这个领域也是我国电子证据的技术标准和规范相对比较完善的领域。采用的技术手段和产品相对比较先进,但大部分是国外或者国外产品的OEM版。

  2. 2. 民事类型案件的举证涉及到电子证据的提取、分析和鉴定。一般由举证方提取并鉴定。但是,由于这个领域涉及普通百姓,还没有充分意识到电子证据的重要性,也没有特别适用于普通百姓的取证产品。

  3. 3. 行政诉讼类案件的举证需要电子证据的相关技术,这个领域也刚刚意识到电子证据的重要作用。比如,工商行政执法已经开始意识到网络上的非法经营的治理需要获取电子证据,但是,也没有特别合适的技术和产品。

  4. 4. 大型中外企业,特别是企业的内部安全工作涉及到电子证据的取证,因而对技术和产品有需求。

电子取证技术细则

数字取证面临的问题

  • • 搜集或检查会改变证据的原始状态,数据易被改变。

  • • 计算机调查和数字证据对法律执行、法庭和立法机关来说是个新生事物。

  • • 指数性增长的数字媒体密度和普遍深入的计算机平台。

  • • 数字数据或隐藏数据的非直观性。

  • • 信息技术及广泛应用在日益变化。

  • • 合格的取证人员的技能于培训。

  • • 数字信息的短暂性。

电子数据的来源

  • • 物理存储:包括传统介质,例如软盘、硬盘、移动硬盘、磁带等磁介质、光盘等光介质。新型的物理存储,例如固态硬盘、手机芯片、闪存(包括 U盘、存储卡)等电介质。

  • • 逻辑存储:电子数据在逻辑状态下是不同的,操作系统将电子数据以一定编码保存。这些电子数据逻辑存储包括:

  1. 1. 用户文件(电子文档、电子邮件、音视频文件,日程表、网络访问记录/收藏夹、数据库文件、文本文件等)。

  2. 2. 操作系统文件(配置文件、备份文档、Cookies、交换文件、系统文件、隐藏文件、临时文件等)。

  3. 3. 保护文件(压缩文件、加密文件:隐藏文件等)。

  4. 4. 日志包括系统日志、IDS、防火墙、FTP、WWW和杀毒软件日志。

  5. 5. 其他数据区中可能存在的电子数据,例如未分配空间(Unallocated Space)、松弛空间(Slack Space)、隐藏分区等。

电子数据取证架构

电子取证涉及计算机科学和法律的各个层次。它集中了所有计算机科学知识,并与法律紧密结合。偏重技术而忽略法律,或者拘泥法律而不研究技术,都无法根本理解电子数据取证。

数字取证的过程

这个过程指从有关电子证据的载体取回实验室开始的技术取证活动。

第一步:预览并决定是否进一步分析。

第二步:获取。

第三步:克隆,制作和原硬盘内容相同的目标硬盘。

第四步:分析,在目标硬盘上采取各种技术方法分析提取有用的数据信息。

取证的基本流程

常见取证工具

在对计算机数据进行取证过程中相应的取证工具必不可少,常见的有Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot,Tripwires、Network monitor、volatility、PTF、取证大师、Magnet AXIOM、

镜像工具等。目前在计算机取证过程中比较常用的工具是镜像工具和专业的取证软件,但很大多取证工具都是付费软件对于个人我们无法直接下载使用,但也有一些开源工具可以实现很好的使用效果。

根据取证工具的不通功能和作用,取证工具有如下分类:

  • • 磁盘和数据捕获工具

  • • 文件查看器

  • • 文件分析工具

  • • 注册表分析工具

  • • 互联网分析工具

  • • 电子邮件分析工具

  • • 移动设备分析工具

  • • Mac OS分析工具

  • • 网络取证工具

  • • 数据库取证工具

碍于篇幅本文选择Volatility Framework取证工具进行简单介绍

Volatility Framework是一个 完全开放的内存分析工具集,其基于GNU GPL2许可,以Python语言编写而成。由于Volatility是一款开源免费的工具,因此无须花任何费用即可进行内存数据的高级分析。因为代码具有开源的特点,所以当遇到一些无法解决的问题时,还可以对源代码进行修改或扩展功能。

在Windows操作系统平台下,有两种方式可以运行Volatility工具。第一种是先独立安装Python运行环境,再下载Volatility源代码执行命令行。第二种是下载Volatility独立Windows程序无须另外安装和配置Python环境。最新Volatility版本为V2.6,可以通过官方网站下载。在Windows 64位平台上,最便捷的方式就是直接使用独立Windows程序的Volatility版本。进入管理员命令行模式,运行volatility_ 2.6_win64_ standalone.exe 程序即可。程序如下图:

Volatility常用命令行参数:

-h:查看相关参数及帮助说明。  
--info:查看相关模块名称及支持的Windows版本。  
-f:指定要打开的内存镜像文件及路径。  
-d:开启调试模式。  
-V:开启显示详细信息模式(verbose)。  
  
获取--profile的参数   
volatility -f mem.vmem imageinfo  
  
volatility -f mem.vmem --profile=WinXPSP2x86  
shell的命令:dt("内核关键数据结构名称")   
如:dt("_PEB")  
  
列举进程:pslist  
volatility -f mem.vmem --profile=WinXPSP2x86 pslist  
  
列举缓存在内存的注册表 :hivelist  
olatility -f mem.vmem --profile=WinXPSP2x86 hivelist  
  
hivedump 打印出注册表中的数据 :  
volatility -f mem.vmem --profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址  
  
获取SAM表中的用户 :printkey  
volatility -f mem.vmem --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"   
  
获取最后登录系统的账户 :  
volatility -f mem.vmem --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"   
  
提取出内存中记录的 当时正在运行的程序有哪些,运行过多少次,最后一次运行的时间等信息   
volatility -f mem.vmem --profile=WinXPSP2x86 userassist  
  
 将内存中的某个进程数据以 dmp 的格式保存出来 。  
volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]  
  
提取内存中保留的 cmd 命令使用情况 。  
volatility -f mem.vmem --profile=WinXPSP2x86 cmdscan  
  
获取到当时的网络连接情况 。  
volatility -f mem.vmem --profile=WinXPSP2x86 netscan  
  
获取 IE 浏览器的使用情况。   
volatility -f mem.vmem --profile=WinXPSP2x86 iehistory   
  
获取内存中的系统密码,我们可以使用 hashdump 将它提取出来 。  
volatility -f mem.vmem --profile=WinXPSP2x86 hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)  
volatility -f mem.vmem --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60   
  
最大程度上将内存中的信息提取出来,那么你可以使用 timeliner 这个插件。它会从多个位置来收集系统的活动信息   
volatility -f mem.vmem --profile=WinXPSP2x86 timeliner  
  
文件扫描  
volatility -f mem.dump --profile=Win7SP1x64 filescan | grep 'flag.ccx'  
文件导出  
volatility -f mem.dump --profile=Win7SP1x64 dumpfiles -Q 0x000000003e435890 -D ./

电子数据取证技术-windows操作系统取证

日志取证

Windows事件日志

事件日志为操作系统及关联的应用程序提供了一种标准化、集中式地记录重要软件及硬件信息的方法。微软将事件定义为:系统或程序中需要向用户通知的任何重要的事项。事件是统一由Windows事件日志服务来统一收集和存储的。它存储了来自各种数据源的事件,常称为事件日志。

事件日志可以为取证人员提供丰富的信息,还可将系统发生的各种事件关联起来。事件日志通常可以为取证人员提

供以下信息:

(1)发生什么:Windows内 部的事件日志记录了丰富的历史事件信息。

(2)发生时间:事件日志中记录了丰富的时间信息,也常称为时间戳,它记录了各种事件发生的具体时间。

(3)涉及的用户:在Windows操作 系统中,几乎每一个事件都与相关的系统账号或用户账号有关。

(4)涉及的系统:在联网环境中,单纯记录主机名对于取证人员来说比较难以进一步追踪回溯访问请求的来源信息。

(5)资源访问:事件日志服务可以记录细致的事件信息。

常见取证和分析方法

(1)事件日志文件内容查看方法。

通常采用商业化计算机取证软件直接分析事件日志文件,如EnCase、FTK、X-Ways Forensics、Safe Analyzer、取证大师、取证神探等,操作简便快捷。

通过在 Windows 操作系统中运行 eventvwr.exe,即可调用系统自带的事件日志查看器。其具体操作方式如下:在命令行中输入 eventvwr.exe, 也可以同时按 Win+R 组合键,然后在运行输入框中输入 eventvwr.exe 或eventvwr (扩展名可省略),即可运行系统事件日志查看器。将待分析的 .evtx 日志文件通过取证软件导出或用其他方式复制到取证分析机中,即可使用取证分析机系统自带的事件日志查看器来查看与分析内容。取证分析机的操作系统建议使用最新的 Windows 10,以便能最佳兼容 .evtx 文件格式。

Event Log Explorer 的亮点在于它支持 .evt 及 .evtx 两种格式,提供了丰富的过滤条件,此外可正确解析出日志中的计算机名、系统账户或用户的 SID(Security Identifiers,安全标识符)等信息。

(2)常见的Windows事件日志的分析方法。

Windows事件日志中记录的信息中,关键要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件ID与操作系统版本有关,同类事件在不同操作系统中的事件ID不完全相同,最大的差异主要体现在第一版和第二版的事件日志中。(Windows事件日志第一版,即Windows Vista之前的版本含Windows NT 3. 1至Windows XP或Windows 2003之间的各个版本默认的事件日志存储位置为%System Root%\System32\Config。Windows事件日志第二版,即Vista及以 上版本含Vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2008/2012/2016等采用了新的文件格式,文件扩展名为.evtx。)因此,在取证过程中需特别注意,当使用事件ID进行过滤搜索时,需要考虑操作系统版本的差异。

(3)事件日志文件结构。

事件日志文件是一-种二进制格式的文件,文件头部签名为十六进制30 00 00 00 4C 664C 65。在默认情况下,全新的事件日志文件的事件日志记录均按顺序进行存储,每条记录均有自己的记录结构特征。然而当日志文件超出最大大小限制时,系统将会删除较早的日志记录,因此日志记录也将出现不连续存储,同一个记录分散在不同的扇区位置的情况。

Windows事件日志取证分析注意要点

Windows操作系统默认没有提供删除特定日志记录的功能,仅提供了删除所有日志的操作功能。在电子数据取证过程中仍存在有人有意伪造事件日志记录的可能性。如遇到此类情况,建议对日志文件中的日志记录ID(Event Record ID)进行完整性检查,如检查记录ID的连续性。通过事件日志记录ID的连续性可以发现操作系统记录的日志的先后顺序。

Windows事件日志记录列表视图在用户没有对任何列进行排序操作前,默认是按其事件日志记录编号进行排序的。默认情况下,事件日志记录编号自动连续增加,不会出现个别记录编号缺失情况。值得注意的是,当Windows操作系统用户对操作系统进行大版本升级时,操作系统可能会重新初始化事件日志记录编号。通过对Windows事件日志的取证分析,取证人员可以对操作系统、应用程序、服务、设备等操作行为记录及时间进行回溯,重现使用者在整个系统使用过程中的行为,对虚拟的电子数据现场进行重构,了解和掌握涉案的关键信息。

Windows注册表取证

要对Windows操作系统的注册表文件进行分析,最简单的查看工具就是Windows自带的注册表编辑器。要对涉案的计算机磁盘或镜像文件进行注册表分析,首先将要分析的注册表文件复制到指定目录,然后通过注册表编辑器进行加载,然后查看注册表文件的内容。该方式无法提取和分析已删除的注册表信息。

Registry Explorer分析注册表

Registry Explorer v0.9.0.0是一个十分优秀的注册表分析工具,它与大多数商业取证软件一样,支持恢复已删除的注册表信息。其搜索能力甚至超越了大多数取证分析软件,内置了取证常用的书签功能,选择要查看的注册表信息即可直接跳转到具体位置。Registry Explorer支持批量添加多个注册表配置单元文件。在电子数据取证过程中使用该分析工具非常方便,特别是不清楚键值存在于哪个注册表文件时,取证人员可以直接加载所有系统注册表文件及多个用户的注册表文件(NTUSER.dat),然后对所有注册表文件进行全部搜索。

X-Ways Forensics分析注册表文件

利用X-Ways Forensics取证软件分析注册表文件,可以通过过滤器找到注册表文件,直接双击注册表文件,X-Ways Forensics将自动打开一个独立的注册表查看窗口。

取证神探分析注册表文件

取证神探分析软件内置注册表分析功能,除了可以自动提取系统注册表、用户注册表中的操作系统信息、设备信息、软件安装信息、USB设备使用痕迹等外,还可以对注册表文件进行高级手工分析,甚至是数据解码。

取证神探引入了取证结果溯源功能,将自动取证后的结果的数据来源清晰地告诉取证人员,取证人员可以看到取证

结果是从哪个文件读取并解析数据的。

取证神探还可以对注册表文件进行手工查看与分析、数据搜索及数据解码。可通过关键词对注册表文件中的内容进行搜索,可设定搜索类型(如键、值或数据)、搜索范围(当前选中的键或整个注册表),此外还可以使用通配符进行快速搜索。

在Windows注册表中,不少数据经过了编码或加密。取证神探内置的注册表分析工具提供了查看注册表原始数据及高级手工解码的能力。有经验的取证人员可以对注册表值的数据(如十六进制、ROT-13编码)进行数据解码,取证工具内置了数值型、时间类型等数据常用的解码方法。

内存取证

Windows 内存取证方法和分析技术

内存取证通常是指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据的过程。内存是操作系统及各种软件交换数据的区域,内存中的数据易丢失(Volatile),即通常在关机后数据很快就会消失。

常见的物理内存获取方法有冷启动攻击(Cool Boot Attack)、基于火线1394或雷电ThunderBolt接口的直接内存访问(Direct Memory Access,DMA)获取及内存获取软件工具。

不同的操作系统需要用到不同的物理内存获取工具。

Windows操作系统平台支持内存获取的常见工具有DumpIt(早期版本名为Winn32dd)、Belkasoft RAM Capturer、Magnet RAM Capture、WinEn、Winpnen、 EnCase Imager、FTK Imager、取证大师、取证神探。

Linux操作系统支持内存获取的常见工具有dd (适合Linux早期版本)、LiME、linpmem、 Draugr、 Volatilitux、Memfetch、Memdump。Mac OSX操作系统支持内存获取的常见工具有Mac Memory Reader、OSXPmem、Recon for Mac OSX、Blackbag Mac Quisition。

Windows操作系统平台下的DumpIt是一个简单易用的计算机内存镜像获取工具。通常直接将该工具存放在大容量移动硬盘或U盘中,可在正在运行的Windows操作系统上直接运行,根据提示操作即可。在获取物理内存数据时还需尽量减少对原有内存数据的覆盖,最大限度地提取内存数据。

从Windows操作系统获取的物理内存镜像需要使用专门的内存分析工具对其进行分析。常见的内存分析工具有Volatility、Rekall、 Forensic Toolkit(FTK)、取证大师及取证神探等,利用这些工具可以解析出常见的基本信息,包括进程信息、网络连接、加载的DLL文件及注册表加载信息等。

E

N

D

黑客/网络安全学习路线

对于从来没有接触过黑客/网络安全的同学,目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。

大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的话,希望粉丝朋友帮忙点个**「分享」「收藏」「在看」「赞」**

网络安全/渗透测试法律法规必知必会****

今天大白就帮想学黑客/网络安全技术的朋友们入门必须先了解法律法律。

【网络安全零基础入门必知必会】网络安全行业分析报告(01)

【网络安全零基础入门必知必会】什么是黑客、白客、红客、极客、脚本小子?(02)

【网络安全零基础入门必知必会】网络安全市场分类(03)

【网络安全零基础入门必知必会】常见的网站攻击方式(04)

【网络安全零基础入门必知必会】网络安全专业术语全面解析(05)

【网络安全入门必知必会】《中华人民共和国网络安全法》(06)

【网络安全零基础入门必知必会】《计算机信息系统安全保护条例》(07)

【网络安全零基础入门必知必会】《中国计算机信息网络国际联网管理暂行规定》(08)

【网络安全零基础入门必知必会】《计算机信息网络国际互联网安全保护管理办法》(09)

【网络安全零基础入门必知必会】《互联网信息服务管理办法》(10)

【网络安全零基础入门必知必会】《计算机信息系统安全专用产品检测和销售许可证管理办法》(11)

【网络安全零基础入门必知必会】《通信网络安全防护管理办法》(12)

【网络安全零基础入门必知必会】《中华人民共和国国家安全法》(13)

【网络安全零基础入门必知必会】《中华人民共和国数据安全法》(14)

【网络安全零基础入门必知必会】《中华人民共和国个人信息保护法》(15)

【网络安全零基础入门必知必会】《网络产品安全漏洞管理规定》(16)

网络安全/渗透测试linux入门必知必会

【网络安全零基础入门必知必会】什么是Linux?Linux系统的组成与版本?什么是命令(01)

【网络安全零基础入门必知必会】VMware下载安装,使用VMware新建虚拟机,远程管理工具(02)

【网络安全零基础入门必知必会】VMware常用操作指南(非常详细)零基础入门到精通,收藏这一篇就够了(03)

【网络安全零基础入门必知必会】CentOS7安装流程步骤教程(非常详细)零基入门到精通,收藏这一篇就够了(04)

【网络安全零基础入门必知必会】Linux系统目录结构详细介绍(05)

【网络安全零基础入门必知必会】Linux 命令大全(非常详细)零基础入门到精通,收藏这一篇就够了(06)

【网络安全零基础入门必知必会】linux安全加固(非常详细)零基础入门到精通,收藏这一篇就够了(07)

网络安全/渗透测试****计算机网络入门必知必会****

【网络安全零基础入门必知必会】TCP/IP协议深入解析(非常详细)零基础入门到精通,收藏这一篇就够了(01)

【网络安全零基础入门必知必会】什么是HTTP数据包&Http数据包分析(非常详细)零基础入门到精通,收藏这一篇就够了(02)

【网络安全零基础入门必知必会】计算机网络—子网划分、子网掩码和网关(非常详细)零基础入门到精通,收藏这一篇就够了(03)

网络安全/渗透测试入门之HTML入门必知必会

【网络安全零基础入门必知必会】什么是HTML&HTML基本结构&HTML基本使用(非常详细)零基础入门到精通,收藏这一篇就够了1

【网络安全零基础入门必知必会】VScode、PhpStorm的安装使用、Php的环境配置,零基础入门到精通,收藏这一篇就够了2

【网络安全零基础入门必知必会】HTML之编写登录和文件上传(非常详细)零基础入门到精通,收藏这一篇就够了3

网络安全/渗透测试入门之Javascript入门必知必会

【网络安全零基础入门必知必会】Javascript语法基础(非常详细)零基础入门到精通,收藏这一篇就够了(01)

【网络安全零基础入门必知必会】Javascript实现Post请求、Ajax请求、输出数据到页面、实现前进后退、文件上传(02)

网络安全/渗透测试入门之Shell入门必知必会

【网络安全零基础入门必知必会】Shell编程基础入门(非常详细)零基础入门到精通,收藏这一篇就够了(第七章)

网络安全/渗透测试入门之PHP入门必知必会

【网络安全零基础入门】PHP环境搭建、安装Apache、安装与配置MySQL(非常详细)零基础入门到精通,收藏这一篇就够(01)

【网络安全零基础入门】PHP基础语法(非常详细)零基础入门到精通,收藏这一篇就够了(02)

【网络安全零基础入门必知必会】PHP+Bootstrap实现表单校验功能、PHP+MYSQL实现简单的用户注册登录功能(03)

网络安全/渗透测试入门之MySQL入门必知必会

【网络安全零基础入门必知必会】MySQL数据库基础知识/安装(非常详细)零基础入门到精通,收藏这一篇就够了(01)

【网络安全零基础入门必知必会】SQL语言入门(非常详细)零基础入门到精通,收藏这一篇就够了(02)

【网络安全零基础入门必知必会】MySQL函数使用大全(非常详细)零基础入门到精通,收藏这一篇就够了(03)

【网络安全零基础入门必知必会】MySQL多表查询语法(非常详细)零基础入门到精通,收藏这一篇就够了(04)

****网络安全/渗透测试入门之Python入门必知必会

【网络安全零基础入门必知必会】之Python+Pycharm安装保姆级教程,Python环境配置使用指南,收藏这一篇就够了【1】

【网络安全零基础入门必知必会】之Python编程入门教程(非常详细)零基础入门到精通,收藏这一篇就够了(2)

python开发之手写第一个python程序

python开发笔记之变量

python基础语法特征

python开发数据类型

python开发笔记之程序交互

python入门教程之python开发学习笔记基本数据类型

python入门教程之python开发笔记之格式化输出

python入门教程之python开发笔记基本运算符

python入门教程python开发基本流程控制if … else

python入门教程之python开发笔记流程控制之循环

python入门之Pycharm开发工具的使用

python入门教程之python字符编码转换

python入门之python开发字符编码

python入门之python开发基本数据类型数字

python入门python开发基本数据类型字符串

python入门python开发基本数据类型列表

python入门python开发基本数据类型

python入门教程之python开发可变和不可变数据类型和hash

python入门教程python开发字典数据类型

python入门之python开发笔记基本数据类型集合

python开发之collections模块

python开发笔记之三元运算

【网络安全零基础入门必知必会】之10个python爬虫入门实例(非常详细)零基础入门到精通,收藏这一篇就够了(3)

****网络安全/渗透测试入门之SQL注入入门必知必会

【网络安全渗透测试零基础入门必知必会】之初识SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了(1)

【网络安全渗透测试零基础入门必知必会】之SQL手工注入基础语法&工具介绍(2)

【网络安全渗透测试零基础入门必知必会】之SQL注入实战(非常详细)零基础入门到精通,收藏这一篇就够了(3)

【网络安全渗透测试零基础入门必知必会】之SQLmap安装&实战(非常详细)零基础入门到精通,收藏这一篇就够了(4)

【网络安全渗透测试零基础入门必知必会】之SQL防御(非常详细)零基础入门到精通,收藏这一篇就够了(4)

****网络安全/渗透测试入门之XSS攻击入门必知必会

【网络安全渗透测试零基础入门必知必会】之XSS攻击基本概念和原理介绍(非常详细)零基础入门到精通,收藏这一篇就够了(1)

网络安全渗透测试零基础入门必知必会】之XSS攻击获取用户cookie和用户密码(实战演示)零基础入门到精通收藏这一篇就够了(2)

【网络安全渗透测试零基础入门必知必会】之XSS攻击获取键盘记录(实战演示)零基础入门到精通收藏这一篇就够了(3)

【网络安全渗透测试零基础入门必知必会】之xss-platform平台的入门搭建(非常详细)零基础入门到精通,收藏这一篇就够了4

【网络安全渗透测试入门】之XSS漏洞检测、利用和防御机制XSS游戏(非常详细)零基础入门到精通,收藏这一篇就够了5

****网络安全/渗透测试入门文件上传攻击与防御入门必知必会

【网络安全渗透测试零基础入门必知必会】之什么是文件包含漏洞&分类(非常详细)零基础入门到精通,收藏这一篇就够了1

【网络安全渗透测试零基础入门必知必会】之cve实际漏洞案例解析(非常详细)零基础入门到精通, 收藏这一篇就够了2

【网络安全渗透测试零基础入门必知必会】之PHP伪协议精讲(文件包含漏洞)零基础入门到精通,收藏这一篇就够了3

【网络安全渗透测试零基础入门必知必会】之如何搭建 DVWA 靶场保姆级教程(非常详细)零基础入门到精通,收藏这一篇就够了4

【网络安全渗透测试零基础入门必知必会】之Web漏洞-文件包含漏洞超详细全解(附实例)5

【网络安全渗透测试零基础入门必知必会】之文件上传漏洞修复方案6

****网络安全/渗透测试入门CSRF渗透与防御必知必会

【网络安全渗透测试零基础入门必知必会】之CSRF漏洞概述和原理(非常详细)零基础入门到精通, 收藏这一篇就够了1

【网络安全渗透测试零基础入门必知必会】之CSRF攻击的危害&分类(非常详细)零基础入门到精通, 收藏这一篇就够了2

【网络安全渗透测试零基础入门必知必会】之XSS与CSRF的区别(非常详细)零基础入门到精通, 收藏这一篇就够了3

【网络安全渗透测试零基础入门必知必会】之CSRF漏洞挖掘与自动化工具(非常详细)零基础入门到精通,收藏这一篇就够了4

【网络安全渗透测试零基础入门必知必会】之CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除5

****网络安全/渗透测试入门SSRF渗透与防御必知必会

【网络安全渗透测试零基础入门必知必会】之SSRF漏洞概述及原理(非常详细)零基础入门到精通,收藏这一篇就够了 1

【网络安全渗透测试零基础入门必知必会】之SSRF相关函数和协议(非常详细)零基础入门到精通,收藏这一篇就够了2

【网络安全渗透测试零基础入门必知必会】之SSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了3**
**

****网络安全/渗透测试入门XXE渗透与防御必知必会

【网络安全渗透测试零基础入门必知必会】之XML外部实体注入(非常详细)零基础入门到精通,收藏这一篇就够了1

网络安全渗透测试零基础入门必知必会】之XXE的攻击与危害(非常详细)零基础入门到精通,收藏这一篇就够了2

【网络安全渗透测试零基础入门必知必会】之XXE漏洞漏洞及利用方法解析(非常详细)零基础入门到精通,收藏这一篇就够了3

【网络安全渗透测试零基础入门必知必会】之微信XXE安全漏洞处理(非常详细)零基础入门到精通,收藏这一篇就够了4

****网络安全/渗透测试入门远程代码执行渗透与防御必知必会

【网络安全渗透测试零基础入门必知必会】之远程代码执行原理介绍(非常详细)零基础入门到精通,收藏这一篇就够了1

【网络安全零基础入门必知必会】之CVE-2021-4034漏洞原理解析(非常详细)零基础入门到精通,收藏这一篇就够了2

【网络安全零基础入门必知必会】之PHP远程命令执行与代码执行原理利用与常见绕过总结3

【网络安全零基础入门必知必会】之WEB安全渗透测试-pikachu&DVWA靶场搭建教程,零基础入门到精通,收藏这一篇就够了4

****网络安全/渗透测试入门反序列化渗透与防御必知必会

【网络安全零基础入门必知必会】之什么是PHP对象反序列化操作(非常详细)零基础入门到精通,收藏这一篇就够了1

【网络安全零基础渗透测试入门必知必会】之php反序列化漏洞原理解析、如何防御此漏洞?如何利用此漏洞?2

【网络安全渗透测试零基础入门必知必会】之Java 反序列化漏洞(非常详细)零基础入门到精通,收藏这一篇就够了3

【网络安全渗透测试零基础入门必知必会】之Java反序列化漏洞及实例解析(非常详细)零基础入门到精通,收藏这一篇就够了4

【网络安全渗透测试零基础入门必知必会】之CTF题目解析Java代码审计中的反序列化漏洞,以及其他漏洞的组合利用5

网络安全/渗透测试**入门逻辑漏洞必知必会**

【网络安全渗透测试零基础入门必知必会】之一文带你0基础挖到逻辑漏洞(非常详细)零基础入门到精通,收藏这一篇就够了

网络安全/渗透测试入门暴力猜解与防御必知必会

【网络安全渗透测试零基础入门必知必会】之密码安全概述(非常详细)零基础入门到精通,收藏这一篇就够了1

【网络安全渗透测试零基础入门必知必会】之什么样的密码是不安全的?(非常详细)零基础入门到精通,收藏这一篇就够了2

【网络安全渗透测试零基础入门必知必会】之密码猜解思路(非常详细)零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之利用Python暴力破解邻居家WiFi密码、压缩包密码,收藏这一篇就够了4

【网络安全渗透测试零基础入门必知必会】之BurpSuite密码爆破实例演示,零基础入门到精通,收藏这一篇就够了5

【网络安全渗透测试零基础入门必知必会】之Hydra密码爆破工具使用教程图文教程,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之暴力破解medusa,零基础入门到精通,收藏这一篇就够了7

【网络安全渗透测试零基础入门必知必会】之Metasploit抓取密码,零基础入门到精通,收藏这一篇就够了8

Wfuzz:功能强大的web漏洞挖掘工具

****网络安全/渗透测试入门掌握Redis未授权访问漏洞必知必会

【网络安全渗透测试零基础入门必知必会】之Redis未授权访问漏洞,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之Redis服务器被攻击后该如何安全加固,零基础入门到精通,收藏这一篇就够了**
**

网络安全/渗透测试入门掌握**ARP渗透与防御关必知必会**

【网络安全渗透测试零基础入门必知必会】之ARP攻击原理解析,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之ARP流量分析,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之ARP防御策略与实践指南,零基础入门到精通,收藏这一篇就够了

网络安全/渗透测试入门掌握系统权限提升渗透与防御关****必知必会

【网络安全渗透测试零基础入门必知必会】之Windows提权常用命令,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之Windows权限提升实战,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之linux 提权(非常详细)零基础入门到精通,收藏这一篇就够了

网络安全/渗透测试入门掌握Dos与DDos渗透与防御相关****必知必会

【网络安全渗透测试零基础入门必知必会】之DoS与DDoS攻击原理(非常详细)零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之Syn-Flood攻击原理解析(非常详细)零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之IP源地址欺骗与dos攻击,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之SNMP放大攻击原理及实战演示,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之NTP放大攻击原理,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之什么是CC攻击?CC攻击怎么防御?,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之如何防御DDOS的攻击?零基础入门到精通,收藏这一篇就够了

网络安全/渗透测试入门掌握无线网络安全渗透与防御相****必知必会

【网络安全渗透测试零基础入门必知必会】之Aircrack-ng详细使用安装教程,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之aircrack-ng破解wifi密码(非常详细)零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之WEB渗透近源攻击,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之无线渗透|Wi-Fi渗透思路,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之渗透WEP新思路Hirte原理解析,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之WPS的漏洞原理解析,零基础入门到精通,收藏这一篇就够了

网络安全/渗透测试入门掌握木马免杀问题与防御********必知必会

【网络安全渗透测试零基础入门必知必会】之Metasploit – 木马生成原理和方法,零基础入门到精通,收藏这篇就够了

【网络安全渗透测试零基础入门必知必会】之MSF使用教程永恒之蓝漏洞扫描与利用,收藏这一篇就够了

网络安全/渗透测试入门掌握Vulnhub靶场实战********必知必会

【网络安全渗透测试零基础入门必知必会】之Vulnhub靶机Prime使用指南,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之Vulnhub靶场Breach1.0解析,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之vulnhub靶场之DC-9,零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之Vulnhub靶机Kioptrix level-4 多种姿势渗透详解,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之Vulnhub靶场PWNOS: 2.0 多种渗透方法,收藏这一篇就够了

网络安全/渗透测试入门掌握社会工程学必知必会

【网络安全渗透测试零基础入门必知必会】之什么是社会工程学?定义、类型、攻击技术,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之社会工程学之香农-韦弗模式,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之社工学smcr通信模型,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之社会工程学之社工步骤整理(附相应工具下载)收藏这一篇就够了

网络安全/渗透测试入门掌握********渗透测试工具使用******必知必会**

2024版最新Kali Linux操作系统安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了

【网络安全渗透测试零基础入门必知必会】之渗透测试工具大全之Nmap安装使用命令指南,零基础入门到精通,收藏这一篇就够了

2024版最新AWVS安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了

2024版最新burpsuite安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了

2024版最新owasp_zap安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了

2024版最新Sqlmap安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了

2024版最新Metasploit安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了

2024版最新Nessus下载安装激活使用教程(非常详细)零基础入门到精通,收藏这一篇就够了

2024版最新Wireshark安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了

觉得有用的话,希望粉丝朋友帮大白点个**「分享」「收藏」「在看」「赞」**

黑客/网络安全学习包

资料目录

  1. 成长路线图&学习规划

  2. 配套视频教程

  3. SRC&黑客文籍

  4. 护网行动资料

  5. 黑客必读书单

  6. 面试题合集

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.成长路线图&学习规划

要学习一门新的技术,作为新手一定要先学习成长路线图方向不对,努力白费

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

2.视频教程

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

黑客资料由于是敏感资源,这里不能直接展示哦!

4.护网行动资料

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。

更多内容为防止和谐,可以扫描获取~

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

### 计算机网络数字取证的过程 #### 定义与目标 计算机网络数字取证是指通过科学的方法和技术手段收集、保存、分析和展示来自计算设备及其通信网络中的电子数据,这些数据可以作为法律诉讼或其他正式程序中的有效证据[^1]。 #### 数据采集阶段 在网络环境中实施数字取证的第一步是全面而谨慎的数据采集。这不仅涉及物理介质上的文件复制,还包括捕获实时传输的信息流以及存储于服务器日志内的记录。为了确保所获得资料的真实性和完整性,在此过程中需遵循严格的规程来防止任何可能改变原始状态的操作发生,并且要采用哈希算法验证副本的一致性。 #### 保护现场与链路安全 当面对复杂的网络环境时,除了本地主机外还需要考虑远程系统的状况。因此,在开始具体操作之前应该迅速采取措施隔离受感染或怀疑有问题的目标机器,切断其与其他节点之间的连接以防破坏进一步扩散;同时建立加密通道用于后续交互通讯以保障整个调查流程的安全可靠。 #### 分析准备活动 完成初步材料搜集之后便进入实验室内部环节——即对已掌握的各种形式载体(硬盘镜像、内存转储等)开展深入解析前必要的准备工作。此时会利用专门工具创建工作副本以便反复测试而不影响源件质量,另外还要规划好临时数据库结构用来高效管理即将产生的大量中间成果物。 #### 技术审查与模式识别 借助自动化软件辅助人工排查可疑迹象成为现代司法鉴定不可或缺的一部分。通过对流量包内含协议栈解码还原应用层语义内容,配合正则表达式匹配特定字符串特征定位恶意代码片段位置所在之处;或是依据时间戳序列重建事件发展脉络图谱帮助理解攻击者行动轨迹走向何方。 #### 结果呈现方式 最终形成的报告文档应当清晰明了地阐述发现的事实情况并附带充分理由支持结论成立。图表可视化技术能直观反映复杂关系网状结构便于法官陪审团成员快速把握核心要点;而对于专业技术术语部分,则应附加通俗易懂解释说明让非专业人士也能有所领会。 ```python import hashlib def hash_file(filename): """Compute SHA-256 hash of the given file.""" sha256_hash = hashlib.sha256() with open(filename,"rb") as f: # Read and update hash string value in blocks of 4K for byte_block in iter(lambda: f.read(4096),b""): sha256_hash.update(byte_block) return sha256_hash.hexdigest() print(hash_file('example.txt')) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值