电子数据取证
关注
分享
扫一扫
文章平均质量分 88
小谢取证
这个作者很懒,什么都没留下…
展开
-
X-ways一把梭2024年美亚杯U盘取证(MFT详解-附工具检材链接)
常见的是标准属性(0x10)、文件名属性(0x30)、数据流属性(0x80)和位图属性(0xB0)等,一个文件记录至少包含0x10和0x30属性。上图中,“3”代表簇流起始簇号的0x02AD0B的3个字节,“2”代表的簇流长度的簇流长度的0x0388的2个字节。4.承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少?6.承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少?原创 2024-12-30 23:11:44 · 1167 阅读 · 1 评论 -
历年美亚杯RAID重组解析汇总(附检材-软件)
从历年的美亚杯来看,涉及到RAID重组出现的年份:2017年团体赛(Eric的Linux系统),2018年团体赛(RongkeDatabase 荣科数码数据库服务器),2019年团体赛(Hacker_raid),2020(Cole的NAS镜像,只有一个镜像文件 未组RAID 可以直接仿真)和2021均未涉及,2022团体赛(流媒体服务器),2023团体赛(潘志辉的NAS组了RAID)。RAID重组主要是对镜像的处理与仿真,如果仿真不起来的情况下,可以直接读取文件直接看,因为本身Linux系统就是文件。原创 2024-11-07 18:31:05 · 1148 阅读 · 0 评论 -
一文教你学会解析内存镜像(历年美亚杯内存镜像检材汇总-附相关命令软件检材下载链接)
(1分) A. 31.12.82.1 B. 40.10.261.1 C. 218.112.79.1 D. 218.112.172.8 E. 未连接/未连接到任何外部IP.(1分) A. mmlang.dll B. Normal.dll C. sensapi.dll D. Secu.dll E. WINNS.dll.显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出。(1分) A. E:/ B. F:/ C. G:/ D. Z:/ E. 未连接/未连接到任何外部IP.原创 2024-11-05 20:55:22 · 1116 阅读 · 2 评论 -
第八届美亚杯团队赛--王景浩苹果计算机镜像取证(巧用X-Ways解题)
第八届美亚杯团队赛--王景浩苹果计算机镜像取证(巧用X-Ways解题)涉及苹果计算机解析与日志取证原创 2024-09-04 20:23:58 · 1858 阅读 · 0 评论 -
灵魂四问:什么是CDN?怎么判断CDN?如何溯源CDN加速后的真实IP?如何验证?
本文中,从“什么是CDN。如何判断CDN。怎么溯源CDN加速后的真实IP以及如何验证是否是真实IP。”这四个问题进行阐述。原创 2024-08-03 17:18:36 · 1624 阅读 · 1 评论 -
服务器网站重构基础知识
本文将从网站取证基础概念、网站日志获取、网站数据库获取。这三部分知识点进行讲解。原创 2024-08-01 17:07:29 · 1551 阅读 · 1 评论 -
2022年美亚杯资格赛林俊熙服务器题解
2022年美亚杯资格赛林俊熙服务器题解原创 2024-07-31 15:09:54 · 964 阅读 · 0 评论 -
实战案例分析:远程桌面密码获取(附内网各个密码获取方式)
这期我们就来说说在不制作镜像的情况下,如何直接获取windiws系统下的连接过且保存的远程桌面密码,以及各类内网密码获取方式。原创 2024-07-31 09:49:01 · 5976 阅读 · 4 评论