【数据库取证】快速从服务器镜像文件中获取后台隐藏数据

最新推荐文章于 2025-03-24 21:04:57 发布
最新推荐文章于 2025-03-24 21:04:57 发布
阅读量633 收藏 4
点赞数 4
文章标签: oracle 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/longxintec/article/details/143786448
版权

文章关键词:电子数据取证、数据库取证、电子物证、云取证、手机取证、计算机取证、服务器取证

  小编最近做了很多鉴定案件和参加相关电子数据取证比武赛,经常涉及到服务器数据库分析。现在分享一下技术方案,供各位在工作中和取证赛事中取得好成绩。

取证工具:

  LX-A601数据库取证恢复系统

  LX-A303免拆机取证工具

 

取证思路

一般App的数据都是部署在服务器上面,数据库通常使用的类型为“mysql”。

(1)首先使用LX-A303免拆机取证工具对涉案电脑做完整镜像

(2)使用LX-A601数据库取证恢复系统对镜像文件进行后台数据。

(3)现需要对该镜像内数据进行分析,得出人员注册数量,以及app内获取的账号进行研判分析,从中看能否获取其它类似的行为。

 

取证步骤

加载镜像文件

 加载需要分析的镜像,本案例中加载服务器镜像,通过LX-A601数据库提取恢复系统中镜像模式进行扫描;

 筛选数据库类型

扫描结束以后以数据库类型为“mysql”进行筛选,排除系统默认的数据库,勾选过后点击“开始解析”,等待数据库解析完成;

查询受害人信息

数据库解析完成后,对数据库内表进行查看,直观看到 该表下记录的是注册人员信息,注册数量为58;

查询涉金额

使用查询功能输入“微信”进行查询,并对查询结果进行分析,得知app内统计的微信号数量为305;

导出分析结果

对两次的查询分析后的结果,进行勾选导出即可。

 

LX-A601数据库取证恢复系统

(1)LX-A601 数据库取证恢复系统是一款针对数据库快速固定、还原重建、数据恢复以及数据分析的数据库取证专业工具。

(2)支持MySQL、SQL Server、Oracle、Access、Sybase、FoxBase、MariaDB、PostgreSQL、SQLite、Dameng、InterBase、Redis File、MongoDB File、CSV(标准格式)、SQL文件等数十种数据库的多个版本提取解析;支持阿里云数据库PolarDB MySQL版云备份SQL/CSV文件解析;支持国产达梦数据库解析。

(3)有效解决在网络赌博、网络传销、网络诈骗等案件中数据库提取分析难的问题。

龙信软件提供对镜像文件的直接分析能力,我们诚挚邀请您进行试用体验,并将全力支持您在比赛中的各项需求。

来源:大耳朵图图

本期编辑:龙小信

审核:Celeste

龙信科技
关注
mysql数据库取证_1earn/取证.md at master · doanhnhq-uit/1earn · GitHub
weixin_28785509的博客
02-28 432
取证免责声明本人撰写的手册,仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.大纲操作系统取证Androidwin工具windows 日志DNS动作记录key蓝牙工具无线工具Linux文件-软件取证exif工具ExifTool - 用于读取,写入和编辑各种文件中的 exif 信息的工具浏览器取证工具obsidianforensics/hindsight ...
【电子数据取证】了解数据库
longxintec的博客
07-19 1139
在用图片搜索图片,或者语音搜索语音的时候,在数据库中存储和对比的并不是图片和语音片段,而是通过DL等算法提取出来的“特征”值,一般是256/512个float数组,可以用数学中的向量来表示。(b)高扩展性和可用性。在基于web的结构中,数据库是最难以横向拓展的,当一个应用系统的用户量和访问量与日俱增的时候,数据库没有办法像web Server那样简单的通过添加更多的硬件和服务节点来拓展性能和负载能力。数据的独立性包括数据库数据库的逻辑结构和应用程序相互独立,也包括数据物理结构的变化不影响数据的逻辑结构。
数据库取证工具SQLiteSpy
01-19
电子取证中对于数据库取证的一款好用工具
数据库取证分析
最新发布
qq_27302885的博客
03-24 301
数据库取证分析
数据库取证——MySQL基础知识
记录并分享学习安全的知识点..
01-10 1332
数据库取证——MySQL基础知识
电子数据取证
weixin_51682441的博客
05-17 8386
电子数据取证 一、 取证工具: 火眼证据分析、火眼仿真、取证大师 二、基础知识 Linux取证 目录说明 /bin 用所有用户使用的基本命令,cd、ls等保存在该目录下 /boot 系统引导核心和配置文件等 /etc 系统和应用程序的配置文件,例如:/etc/passwd 保存的是用户信息 /dev 包含所有的系统设备文件 /home 普通用户的个人文件,每个用户有一个目录,用户在自己的目录里具有完整的权限 /lib 存放系统最基本的共享链接和内核模块
数据库取证篇】阿里云RDS MySQL数据库在线取证教程
蘇小沐的电子数据取证博客
05-25 1877
数据库取证篇】阿里云RDS MySQL数据库在线取证教程 在线取证或备份数据—【suy】 文章目录【数据库取证篇】阿里云RDS MySQL数据库在线取证教程1、实验环境一、RDS登录方式(一)云数据库RDS三种登录方法1、登录路径:产品与服务->云数据RDS版->RDS管理控制->实例列表2、实例列表登录数据库3、基本信息登录数据库(二)RDS数据管理1、RDS数据库登录界面(三)登录实例面板1、未登录实例2、已登陆实例二、导出数据库数据(一)数据库导出1、数据库查询2、选中需要的表(二
2024“龙信杯“电子数据取证竞赛-服务器取证题目Writeup
longxintec的博客
11-22 1194
提示:该服务器做了登录密码校验配置,如果没有拿到服务器的密码而直接仿真服务器,输入密码进入系统后,服务器会将部分数据给自动删除前提:无因为我们仿真进入服务器会自动删除文件,所以我们需要先静态分析检材,查找删除脚本在登录执行文件夹中可以找到 check-system.sh 脚本查看脚本内的内容,发现里面会通过Linux系统的密码文件(/etc/shadow),与 /etc/.cadpc 文件内容进行比对,如果密码不一致,将会删除文件,清除history等操作根据上面的脚本查找存放密码的文件路径。
223TJ智网杯电子数据取证挑战:详析服务器镜像关键信息
1. **检材1.E01的SHA256哈希值计算**:文件的完整性验证很重要,已知该镜像文件的SHA256哈希值为`ac4e19b7b5bb3a65c36064f30b092d2f59e6ca920fbca060cb648f33a9d1947b`。这是通过`certutil-hashfile`工具计算得出的...
积分赛二期——服务器取证,网站重构
iwlmo的博客
08-11 1439
从联系人里可以转到这个数据库,在数据库中user表中可以看到好友个数。在wp_userinfo中最后一个能看到wy778899。加密逻辑是密码+utime+admin_salt。在wp_userinfo中看到有一个刀客资源网。在跳板机中能够看到两个ssh都是通过公钥链接。然后通过数据库更换admin密码,如题10。A、话术人员 B、技术人员C、财务人员。在跳板机中能够看到有微盾解密专家。在计划任务里能够看到zip密码。在与小开的聊天记录里能够找到。能够看到计划任务为每周一。在数据库配置里能够找到。
2024 年全国网络安全行业职业技能大赛-电子数据取证分析师-决赛WP_2024网络安全行业赛取证
2401_84240129的博客
05-01 1014
数据库取证工具里面可以恢复删除掉的数据带红叉的就说删除过的,game库下面announcement_detail表里面update_time字段使用sql语句时间戳最大为1513243355转换时间为2017-12-14 17:22:35。
数据库修复取证大师Sql Extractor[预览版] V10.96.rar
12-08
软件特色:针对勒索病毒加密的SQL 数据库有特殊的修复算法,可匹配用友,金蝶数据库结构关系. 支持7.0、SQL2000、SQL2005、SQL2008、 SQL2008R2 、SQL2012、 SQL2014、 SQL2016; •SQL数据库修复软件操作简便; •可以修复数据库置疑状态; •可以修复数据库无法附加或附加报错; •可以修复数据表查询错误; •可以修复MDF文件损坏; •可以修复数据库备份文件损坏; •可以修复数据库被恢复后还是坏的; •可以修复一致性错误; •可以修复错误823; •可以修复输入数据有误; •可以修复运算溢出; •可以修复SQL数据库某些应用程序出错; •可以修复并行事务发生死锁; •支持数据库删除数据的恢复; •支持从日志LDF文件恢复删除的记录; 软件特色:针对勒索病毒加密的SQL 数据库有特殊的修复算法,可匹配用友,金蝶数据库结构关系. 支持7.0、SQL2000、SQL2005、SQL2008、 SQL2008R2 、SQL2012、 SQL2014、 SQL2016; •SQL数据库修复软件操作简便; •可以修复数据库置疑状态; •可以修复数据库无法附加或附加报错; •可以修复数据表查询错误; •可以修复MDF文件损坏; •可以修复数据库备份文件损坏; •可以修复数据库被恢复后还是坏的; •可以修复一致性错误; •可以修复错误823; •可以修复输入数据有误; •可以修复运算溢出; •可以修复SQL数据库某些应用程序出错; •可以修复并行事务发生死锁; •支持数据库删除数据的恢复; •支持从日志LDF文件恢复删除的记录;
223TJ智网杯电子数据取证比武团体赛60页WP,不能再详细了
03-04
计算检材一(检材1.E01)镜像文件的SHA256哈希值 - **答案**: ac4e19b7b5bb3a65c36064f30b092d2f59e6ca920fbca060cb648f33a9d1947b - **解析**: 使用`certutil -hashfile`命令来计算文件的SHA256哈希值。在提供的...
MSSQL数据库取证分析
weixin_51339377的博客
07-08 1168
核心内容: MSSQL数据库的备份类型:SQL Server的数据库固定一、拷贝MSSQL数据库文件固定 脱机仅仅是断开数据库的连接,如果数据库在使用的时候脱机,耗时可能比较久 分离只是从清单中移除,并不会删除数据库文件停止服务的两种方法:另一种数据库备份固定的方法: 第三种固定MSSQL数据库的方法是生成脚本固定 sql文件生成进行固定数据库相应生成的sql文件如何还原和打开呢? 第四种方式 两个数据库在网络互通的情况下 通过导出数据完成数据库迁移 需要两台主机的数据库服务可以相互连通 之后
数据库恢复取证产品免费试用全面开启!
效率源科技的博客
04-01 364
DBF6100数据库取证系统三大功能模块(均无需快速搭建数据库环境即可操作) 文件模式:针对数据库文件进行扫描,无需搭建数据库环境,无需了解数据库登录密码,可自动识别并匹配数据库类型 雕复模式:对磁盘等存储设备及镜像进行扫描,适用于文件系统损坏、数据库文件被删除、无法找到数据库位置等情况; 专家模式:针对指定数据进行提取,需配置指定数据的特殊标记,并按此特殊标记进行扫描。此模式需要较高...
西数DES数据库取证分析大师系统
西数科技-专注于数据恢复与司法鉴定
07-12 1277
西数DES数据库取证分析大师系统 软件界面 功能介绍: 支持勒索病毒加密的oracle数据库 可从数据文件 DBF,dmp文件恢复表数据,存储过程,触发器等所有数据.。 (1)系统崩溃只剩下数据文件的情况下的恢复,无system01.dbf 也可以提取其他表空间数据支持从磁盘恢复丢失的归档日志 . (2) undo system 表空间损坏数据恢复.各种ORA错误 如ORA600等顽固性错误。无法open 无法mount等 无法EXP等情况。 (3) 非归档或者归档模式下误...
数据库安全专家指出数据库取证仍然落后
weixin_33847182的博客
09-04 205
本文讲的是数据库安全专家指出数据库取证仍然落后,在日前美国拉斯维加斯举行的2011黑帽大会上,数据库安全专家David Litchfield表示,即使是在这个海量数据库泄漏和数据库攻击的时代,数据库取证仍然处于明显落后的状况。Litchfield因数据库安全漏洞检测方面的工作而闻名,他在黑帽大会上展示了一套新的Oracle数据库取证工具测试版,现在正在向...
电子数据取证-流程与技术
忘忧的博客
09-03 8128
电子数据取证
【电子数据取证】应用程序提取及固定
longxintec的博客
08-23 1132
应用程序不仅存储了用户的个人信息、通信记录、交易数据等敏感信息,还可能记录着用户的行为习惯、偏好乃至犯罪活动的蛛丝马迹,因此,提取并固定应用程序中的数据已成为一项重要任务。应用程序数据固定的方法涉及将应用程序运行时产生的关键数据以不可篡改的方式保存下来,确保数据的完整性和真实性。这通常包括直接复制应用程序的数据库文件、使用专门的取证工具对应用程序的存储区域进行镜像复制,或在应用程序运行时通过内存抓取技术捕获实时数据,并将这些数据存储在安全、可靠且未经修改的介质上,以供后续的法律或技术分析使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值