蘇小沐的电子数据取证博客

公众号回复关键词【电子取证标准】自动获取资源合集

简要记录下GHO系统镜像还原及系统仿真的过程---【蘇小沐】

听说你还分不清镜像的源盘哈希和镜像文件的哈希？镜像的两层防护，镜像的源盘哈希、镜像文件的哈希傻傻分不清---【蘇小沐】

本文通过对某虚假理财类案的调证服务器镜像进行仿真，初始网站还原失败，通过一步步的查找分析配置环境，最后成功重构PHP网站---【凌风、蘇小沐】

数据的价值远超案件，很多数据的价值没在当前的案件中发挥作用，并不代表着它就没有用。在 NTFS 文件系统中，可以通过隐写来将一些不为人知的、甚至是恶意的程序、代码隐藏在"NTFS 数据流（ADS）"等特殊文件中，一般的文件管理器和工具是无法发现和对其处理的，本文通过一些介绍，来初步认识下常用的Windows操作系统NTFS文件系统数据流\---【蘇小沐】

一路走来，磕磕碰碰，也遇到许多朋友，总之，感恩相遇，愿所有的后会有期，都是他日的别来无恙！书写片面，纯粹做个记录，有错漏之处欢迎指正---【蘇小沐】

公众号回复关键词【电子取证标准】自动获取资源合集---【蘇小沐】

系统仿真是个很神奇的东西，他能让你开心玩，也能让你崩溃。真的是没想到还有用的上FTK Imager3.1版本的一天，上一次使用应该还是2020年的时候，也是遇到一个奇葩的镜像死活起不来，这次没想到在ESXi又遇上，而且我一直引以为傲的Arsenal Image Mounte主力居然也不行。书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词【ESXi】自动获取资源合集。！！转载引用请注明出处，著作所有权归 [蘇小沐] 所有】记录开始编辑：2024年 05月 06日‍。

记系统镜像仿真常见错误集---【蘇小沐】

简单记录下WinHex哈希校验大小写值转换和新增加的一些功能、常用设置，WinHex时不时增加点小功能的，挺喜欢这种的，像挖宝藏一样，总会给你一些惊喜\---【蘇小沐】

本篇主要测试微信收藏图片的功能，发现许多有意思的地方，**微信收藏图片缓存的文件目前发现有三个地方，都是在Fav下，名称都一样，有直接原始图片，也有加密的形式……，而且微信收藏的图片另存的大小和缓存的大小一致，但却和收藏中转发出去的还不一样大，从收藏中转发的图片会被再次压缩**\---【蘇小沐】

最近在测试微信收发图片和收藏的功能，发现许多有意思的地方，**微信收藏图片缓存的文件目前发现有三个地方，都是在Fav下，名称都一样，有直接原始图片，也有加密的形式……，而且微信收藏的图片另存的大小和缓存的大小一致，但却和收藏中转发出去的还不一样大，从收藏中转发的图片会被再次压缩。**先简单做个笔记---【蘇小沐】

Mac 电脑会提供文件保险箱，这是一项内建加密功能，用于保护所有静态数据安全。文件保险箱使用AES-XTS数据加密算法保护内部和可移除储存设备上的完整宗卷。搭载 Apple 芯片的 Mac 上的文件保险箱会通过使用宗卷密钥的数据保护 C 类来实施。在搭载 Apple 芯片的 Mac 电脑和搭载 Apple T2 安全芯片的 Mac 电脑上，直接连接到安全隔区的加密内部储存设备会使用安全隔区的硬件安全性功能和 AES 引擎的功能。用户在 Mac 上启用文件保险箱后，启动过程中将需要其凭证【蘇小沐】

密码杂凑算法（Hash Algorithm）也称作“散列算法、哈希（Hash）算法”，在现在的密码行业标准中统称其为密码杂凑算法，简称“杂凑算法”或“杂凑函数”。因为音译及前期习惯，我们普遍遇到的都是MD5、SHA1、SHA2多，所以口语习惯叫"哈希算法"。实际还有很多算法，如国密SM3算法是国内自主研制的，所以在密码行业领域会更加倾向于叫"密码杂凑算法"。目前MD5、SHA1都已被破解，所以不建议再使用两种哈希算法来校验文件【蘇小沐】

哈希值（散列值）是针对电子数据内容来计算的，内容变则哈希变；但计算对象的文件名、文件时间等属性改变不会影响散列值！！！---【蘇小沐】

这款网络工具里面的链接我最后一次更新是在2022年10月，后面我将其它工具集合到一起后就没再更新，如遇到失效的链接请自行更换或自定义添加等。书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词【工具箱】自动获取资源合集。！！**转载引用请注明出处，著作所有权归 [蘇小沐] 所有】记录开始编辑：2020年 11月 02日最后编辑：2024年 03月 21日。

【视频图像取证篇】模糊图像增强技术之锐化类滤波场景应用小结【蘇小沐】

模糊图像增强技术之色彩空间HSI滤波器---【蘇小沐】

模糊图片复原车牌号常用的技术原理和实战应用。本文的模糊图像和真实案例无关，部分图像是个人日常生活中特意拍摄当作模糊图像研究素材的！---【蘇小沐】

Impress模糊图像增强技术之颜色滤波器场景实例教程---【蘇小沐】

通过渗透测试工具apk2url快速检索APK开发过程中没有删掉的URL地址，来发现一些搜索引擎、子域名查找不到的资源，从而进一步收集信息查找后台等。工具不是终点，而是起点，好的侦查案件思维、分析能力，分析方向都需要不断的积累进步！需要更专业的还是比较推荐取证厂商的产品，省时省力【蘇小沐】

使用untrunc视频修复软件可恢复部分损坏（截断）的mp4，m4v，移动，3GP视频。视频受损因素较多，仅对部分受损的视频可以恢复，建议多尝试一些参数设置，或者更换软件、手动编码修复等。【蘇小沐】

挖一挖微信图片，看它藏着个什么世界---【蘇小沐】

简单写下WinHex数据擦除功能---【蘇小沐】

Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核，一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能，我们在系统审计取证分析时，可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】

记录一下阿里云DNS服务器命名规则，IP解析会用得上---【蘇小沐】

WinFR界面版完全调用Windows文件恢复（Microsoft 命令行应用程序），可快速从Windows11/10中恢复已删除的文件---【蘇小沐】

以Ping命令为例，最近遇到ping命令无法使用的情况，很多情况都是操作系统"环境变量"被改变或没有正确配置导致\---【蘇小沐】

书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词自动获取资源合集，如链接失效请留言，便于及时更新。转载引用请注明出处，著作所有权归作者 [蘇小沐] 所有】记录开始编辑：2024年 01月 15日最后编辑：2024年 01月 15日。

【DFIR蘇小沐】回复对应资源的名字可自动获取。

逆向是一个漫长的过程，以上只简单的对当前主流脱壳方法进行了脱壳分析，在网络的发展中，各种高级加壳、花壳、混淆技术等越来越高级，进阶Apk脱壳技术通过dump内存中处于解密状态的dex，进行修复分析，普通的逆向将难以应对---【蘇小沐】

证伪存真，可以天马行空大胆推测，不放过任何的可疑点，但验证必须要依据事实证据，做到脚踏实地，还原事件真相。【蘇小沐】

汽车OBD（On-Board Diagnostic System，OBD）即"车载诊断系统"，用于监测和诊断车辆的状况。OBD系统的应用源于欧III排放标准。OBD是通过各种部件信息联接到"电控单元（ECU）"，当汽车与控制系统有关的系统或相关部件发生故障时，由ECU中存储的DTC(故障码)会记录故障信息和相关代码，并通过故障灯发出警告来告知驾驶员。传统的OBD装置监测多个系统和部件，包括发动机、催化转化器、颗粒捕集器、氧传感器、排放控制系统、燃油系统、GER等。

大多数为开源或免费的电子取证相关工具---【蘇小沐】

Windows高级启动禁用驱动程序签名---【蘇小沐】

华为设备在鸿蒙OS3系统之后，部分设备启用"允许USB调试"方式会有所变化，再次做个记录---【蘇小沐】

汽车取证鉴定可能涉及的测试/测量方法---【蘇小沐】

【CNAS篇】图像真实性鉴定-检验标准​ 图像真实性鉴定可能涉及的测试/测量方法—【suy】《声像资料鉴定通用规范》(SF/Z JD0300001-2010)《录像资料鉴定规范》(SF/Z JD0304001-2010)《图像真实性鉴定技术规范》(SF/Z JD0302001-2015)《图像资料处理技术规范》(SF/Z JD0302002-2015)其他技术规范、方法等总结​ 滴，做个记录！这是基础的，其它根据题目涉及的内容自行补充！名称时间

【录音取证篇】录音设备鉴定名词解释​ 录音设备鉴定相关名词解释—【suy】文章目录【录音取证篇】录音设备鉴定名词解释（一）录音设备-名词解释1、元数据（Metadata）2、声谱（Spectrogram）3、特征信号（Signature Signal）4、本底噪声（Background Noise of Devices）（二）录音设备-检验与分析1、文件属性及元数据分析2、特征信号分析3、本底噪声分析4、统计特征分析参考资料（一）录音设备-名词解释​ 录音设备鉴定（Forensic Identi

【图像取证篇】照相设备鉴定名词解释​ 照相设备鉴定相关名词解释—【suy】文章目录【图像取证篇】照相设备鉴定名词解释（一）照相设备-名词解释1、照相设备鉴定（forensic identification of camera devices）2、检材照片（questioned photographs）3、样本照片（known photographs）4、待检照相设备（camera devices for identification）5、元数据（metadata）6、本底噪声（background n