蘇小沐的电子数据取证博客

数据的价值远超案件，很多数据的价值没在当前的案件中发挥作用，并不代表着它就没有用。在 NTFS 文件系统中，可以通过隐写来将一些不为人知的、甚至是恶意的程序、代码隐藏在"NTFS 数据流（ADS）"等特殊文件中，一般的文件管理器和工具是无法发现和对其处理的，本文通过一些介绍，来初步认识下常用的Windows操作系统NTFS文件系统数据流\---【蘇小沐】

最近在测试微信收发图片和收藏的功能，发现许多有意思的地方，**微信收藏图片缓存的文件目前发现有三个地方，都是在Fav下，名称都一样，有直接原始图片，也有加密的形式……，而且微信收藏的图片另存的大小和缓存的大小一致，但却和收藏中转发出去的还不一样大，从收藏中转发的图片会被再次压缩。**先简单做个笔记---【蘇小沐】

软只读还可以通过修改注册表、CMD命令修改成只读，FTK、WinHex这些也可以，请自行尝试。【蘇小沐】

公众号回复关键词【加解密】自动获取资源合集【蘇小沐】

Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核，一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能，我们在系统审计取证分析时，可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】

便笺数据取证分析，没有突破的时候，不妨换个方向换个角度去分析问题---【蘇小沐】

这个是很久以前的一个镜像实验，当时仿真可以看到Windows的启动界面，但却一直无法正常进入系统，不断的尝试修复，都是显示错误，最后把类型改为IDE后，成功仿真进入系统---【蘇小沐】

功能很多，还可以特定爬取网站的数据，如视频、图片等。书写片面，纯粹做个记录，有错漏之处欢迎指正。著作所有权归作者蘇小沐所有，转载请注明文章出处NDASH - 蘇小沐学习圈 (writebug.com)名称时间开始编辑日期2022 年 06 月 10 日最后编辑日期2023 年 04 月 23 日。

【加解密篇】Windows虚拟机全系列密码破解教程在电子取证中，遇到的是镜像格式，首先就需要镜像仿真进入系统，还经常会遇到系统有密码的情况，这一步很多人会选择同型号的系统镜像来替换，但是，系统镜像动辄4、5个GB大小，下载速度慢、修改步骤复杂，此篇介绍设置光驱启动的方法，加载PE镜像工具破解Windows系列密码 —【suy】文章目录【加解密篇】Windows虚拟机全系列密码破解教程一、DD镜像仿真1、实验数据2、镜像仿真教程：**[【电子取证：镜像仿真篇】DD、E01系统镜像动态仿真](https:/

Windows Server镜像仿真、vmdk镜像仿真​ 时间过得真快呀！–【suy999】文章目录Windows Server镜像仿真、vmdk镜像仿真一、qemu-img镜像转换工具（一）raw、qcow2等镜像装换为vmdk1、RAW镜像转换命令二、VMware新建虚拟机1、新建虚拟机2、固件类型->"BIOS"*"注意一"！！！3、处理器、内存及其它配置4、磁盘类型->“IDE”*"注意二"！！！5、选择磁盘*“注意三”！！！6、完成创建虚拟机*添加硬盘7、打开虚拟机选择需

【电子取证：FTK Imager 篇】DD、E01系统镜像动态仿真​ 星河滚烫，人生有理想！​ —【suy999】文章目录【电子取证：FTK Imager 篇】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真（一）使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)（二）FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"！！！（三）VMware新