墨者学院 - 远程电子数据取证-服务器分析

最新推荐文章于 2022-06-06 10:46:14 发布
原创 最新推荐文章于 2022-06-06 10:46:14 发布 · 1.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这篇博客介绍了远程电子数据取证的过程,涉及多个步骤,包括通过mstsc访问、在C盘查找隐藏文件、利用事件查看器获取管理员事件、在不同路径下搜索关键文件如key_1.txt和key_xxx.txt等,最终在C盘根目录找到目标文件key_2017.txt。文章以轻松的口吻描述了这一系列操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

(第1题)

mstsc

C盘-搜索recycler

(第2题)

开始-->管理工具-->事件查看器-->系统-->选择administrator用户操作的事件(ID:1074)-->可以看到开机关机和注释

注释中拿到key

 

(第3题)

C:WINDOW\Stemp

 

(第4题)

C:\txtkey_1.txt...这四颗星,,怕不是个勺子。。。

 

(第5题)

直接搜key。。。

(第6题)

C:\Documents and Settings\Administrator\UserData\DZAGF6NH\key_xxx.txt

 

(第7题)

搜索-->key,发现一个key_2017.txt的快捷方式,其属性连接到C盘根目录

工具--查看--(取消勾选)隐藏受保护的操作系统文件

C:\--拿到key

 

 

简直滑水。。。。。。

最低0.47元/天 解锁文章

200万优质内容无限畅学
linux 内存取证_【技术分享】电子数据证据远程勘验取证流程分享
weixin_39577908的博客
11-28 3688
电子数据证据远程勘验在日常的取证工作中必不可少,但由于存在信息安全差、数据可能被篡改的问取证过程中,有明确的取证要求来确保取证过程的规范显得至关重要,今天我们就一起来回顾下遇到远程勘验的取证场景,正确的取证流程是什么呢?01准备工具工具准备作为取证前期准备的重要部分之一,不可马虎。主要包含以下几点:外置录像设备;不小于目标容量的存证盘(存储内存镜像、磁盘镜像);建议准备软件:屏幕录...
墨者学院-远程电子数据取证-木马分析(第1)
qq_37850901的博客
09-26 585
墨者学院-远程电子数据取证-木马分析(第1) 根据给的账号密码登入系统 通过搜索引擎中的链接,发现上传的目录为“WEB站点根目录/seo/ 所以我们搜索seo,看看有什么发现只能找到快捷方式,猜测隐藏了 C:Inetpubwwwroot下没有seo这个文件夹,显示所有文件,发现还是没有,百度搜了下,说是驱动级文件隐藏,特征为系统目录下存在如下文件: C:WINDOWSxlkfs.dat C:WI...
远程电子数据取证-服务器分析(第4)
asd158923328的博客
08-20 979
靶场地址: https://www.mozhe.cn/bug/detail/aW83b012TW1ySWxKY1Qyc1BOTmxvdz09bW96aGUmozhe 根据远程桌面连接,登录,发现key
远程电子数据取证-服务器分析(第7)
asd158923328的博客
08-20 292
靶场地址: https://www.mozhe.cn/bug/detail/dW9mRDNDSXBTQkZYSjRXVENSTXp6UT09bW96aGUmozhe 根据远程桌面连接,登录,工具–查看–(取消勾选)隐藏受保护的操作系统文件 C:–拿到key ...
远程电子数据取证-服务器分析(第3)
asd158923328的博客
08-20 393
靶场地址: https://www.mozhe.cn/bug/detail/QmMwQlY5L1hva3N5UmZHUmQrdUh1QT09bW96aGUmozhe 根据远程桌面连接,登录,找到temp文件夹发现key
远程电子数据取证-服务器分析(第2)
asd158923328的博客
08-20 581
靶场地址: https://www.mozhe.cn/bug/detail/V3lpVHBBK3l6cHdIOWVhSllWQ1MrZz09bW96aGUmozhe 根据意 在本机选择远程桌面连接 输入地址:端口 输入账号密码 开始–>管理工具–>事件查看器–>系统–>选择administrator用户操作的事件(ID:1074)–>可以看到开机关机和注释 ...
墨者学院 - 远程电子数据取证-木马分析
多崎巡礼的博客
08-28 2206
第一 驱动级文件隐藏 此驱动级隐藏文件会在服务项增加一个xlkfs的服务 驱动文件路径为:c:\WINDOWS\system32\drivers\xlkfs.sys 配置文件路径为:c:\WINDOWS\xlkfs.ini 转自:http://www.91ri.org/15356.html 独自等待   解思路: 连接上服务器,先搜索SEO找到seo文件夹路径,在C:\Inet...
在线靶场-墨者-电子数据取证1星-远程电子数据取证-服务器分析(第5)
weixin_42079912的博客
08-09 295
打开靶场环境,使用远程桌面连接。 方法一:进入主机后开始找寻key,最终发现key文本文件在C:WINDOWS路径下。 方法二:进入主机后,点击我的电脑>搜索>输入key进行搜索>搜索出来一个key文本文档,点开就是本的key。 ...
在线靶场-墨者-电子数据取证1星-远程电子数据取证-服务器分析(第1)
weixin_42079912的博客
08-09 293
开启靶场环境发现只给了地址端口和用户名密码 : 于是我们打开远程桌面连接,连接进去。 根据解方向,显示隐藏文件。找到所在分区的Recycler文件夹。 使用搜索功能,搜索Recycler文件夹。搜索出来后,点进去看到key文本文件,打开即可获得key。 ...
远程电子数据取证-服务器分析(第1)
asd158923328的博客
08-20 1020
靶场地址: https://www.mozhe.cn/bug/detail/U1prK3FzNjAydzF1bUpxKzVrUWsvQT09bW96aGUmozhe 根据远程桌面连接,登录,显示系统隐藏文件,找到所在分区的Recycler文件夹 ...
墨者学院--服务器返回数据查看
weixin_44382289的博客
09-23 247
是要我们了解以及查看response headers的信息,所以我们可以直接浏览器查看,按f12, 在respose Header里发现flag
墨者学院-远程电子数据取证-服务器分析(第3)
臭nana的博客
12-18 535
先显示隐藏文件夹,就在工具那一块 找到Windows操作系统的临时目录位置(百度) 不过这个目是在c:\windows\temp下 最快的方式是在C盘下直接搜索key
墨者学院-电子数据取证-日志分析(第1)
臭nana的博客
12-20 1131
用记事本(建议使用notepad++)POST /uploads 拿到ip验证拿到key ​
[墨者学院] 远程电子数据取证-服务器分析(第1)
0of_blog
06-06 427
服务器被攻击者远程登录,系统管理员说攻击者删除了部分文件,安全工程师"墨者"对服务器电子数据进行远程取证分析。有句话叫"智者千虑,必有一失",攻击者删除的文件会在哪里呢?1、掌握系统隐藏文件的显示方法; 2、了解Windows的NTFS分区文件系统Recycler的作用;显示系统隐藏文件,找到所在分区的Recycler文件夹。给出远程RDP服务的ip和端口,用自带远程桌面工具连接工具>文件夹选项,启用如下设置。再打开文件夹查看RECYCLER目录 点开,看到key......
墨者 - 服务器返回数据查看
吃肉唐僧的博客
07-05 444
打开页面 选择‘错误’,然后f12看网络中的响应报头
[墨者学院] 远程电子数据取证-服务器分析(第5)
0of_blog
06-06 456
获取服务器上的key1、使用远程连接工具; 2、了解windows服务器远程连接给出一个远程RDP协议的ip和端口,用Windows自带的远程桌面工具连接上去打开资源管理器,直接搜索KEY,就能看到所有含key的结果了。然后打开第一个,这就是我们要找的flag...
墨者学院——远程电子数据取证-服务器分析(第1)
weixin_30664615的博客
09-11 227
地址:https://www.mozhe.cn/bug/detail/U1prK3FzNjAydzF1bUpxKzVrUWsvQT09bW96aGUmozhe 启动靶场登录远程后显示隐藏文件,直接得key 转载于:https://www.cnblogs.com/ives/p/9629528.html...
墨者学院-远程电子数据取证-服务器分析(第1)
qq_37850901的博客
09-26 295
墨者学院-远程电子数据取证-服务器分析(第1) 根据目意思,先上网查找了recycler相关知识 然后链接远程,搜索c盘recycler文件夹 打开文件夹,看到key ...
墨者学院思路之电子数据取证-流量分析(第1)+wireshak导出图片、视频等文件
伪娘+
04-04 1659
墨者学院思路之电子数据取证-流量分析(第1) +wireshak导出图片、视频等文件 背景介绍 某web安全工程师在网络中捕获到一段可疑流量,发现有人将机密数据隐藏在图片中传输了出去,你能分析出其中的奥秘吗? 实训目标 1、掌握“wireshark”的基本使用方法; 2、了解数据在网络中传输的过程和协议; 解方向 使用“wireshark”过滤语句过滤流量。 思路:wireshark是分析...
墨者学院 windows硬盘文件分析取证(新建的用户名) 犯罪嫌疑人在使用过电脑之后并
最新发布
12-15
墨者学院的Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机进行分析取证时,我们首先需要新建一个用户名。新建用户名的目的是为了保护我们操作的隐私和安全,以免意外地影响现有的用户设置或对系统产生不可逆的影响。这个新建的用户名仅用于分析取证过程。 一旦新建了用户名,我们可以开始进行分析取证工作。首先,我们会使用专业的取证软件对硬盘进行扫描,以找到潜在的关键文件和目录。通过恢复已删除的文件和检测隐藏的文件,我们可以获取更全面的信息。 接着,我们会对文件进行深入的分析。通过文件的创建时间、修改时间、访问记录等元数据信息,我们可以了解文件的活动轨迹。此外,我们还会查找关键词、犯罪工具、恶意软件等可能存在的证据。 在整个过程中,需要确保对取证工作的记录和操作都能被完整地保存下来,以确保后续的法律程序和证据呈现的可靠性。 综上所述,墨者学院的Windows硬盘文件分析取证可以帮助调查人员揭示犯罪嫌疑人的行为痕迹和相关证据,而新建的用户名则是为了保护我们操作的隐私和安全。通过有效的电脑取证工作,我们能够为正义的伸张提供有力的证据支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值