- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
数字取证技术 | Windows内存信息提取
0×00概述 后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析 0×04获取历史CMD命令 在windows XP下, 一般cmd.exe的历史记录存在于csrss.exe进程内。 而windows 7上,则存在于Conhost.exe进程内。
3.1K60发布于 2018-02-23 - 来自专栏FreeBuf
针对Windows的事件应急响应数字取证工具
目前,该工具仅支持Windows平台。 重构了输出目录的结构; 3、移除了TZworks工具; 4、增加了新的命令行参数; 内存采集: 1、默认采集内存数据; 2、内存数据采集时需提供参数; 3、获取内存之前进行可用空间检查; 4、更新采集流程以避免Windows 崩溃; 新工具: 1、Windowsupdate.log文件 2、Windows Defender扫描日志 3、PowerShell命令行历史记录 4、HOST文件 5、Netstat输出(含相关网络连接的 PID) 6、记录所有目标主机中已登录用户的信息(Triage_info.txt) 7、新增Windows Event日志事件条目 DFIRtriage搜索工具: 1、可针对DFIRtriage输出数据和日志文件进行关键词搜索
1.7K20发布于 2019-12-03 - 来自专栏全栈工程师修炼之路
Windows日志取证
常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows系统关闭时间( ,因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则,因为它无法解析规则 4954 Windows防火墙组策略设置已更改。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows 5152 Windows筛选平台阻止了数据包 5153 限制性更强的Windows筛选平台筛选器阻止了数据包 5154 Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155 Windows Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows
5.2K40发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Windows日志取证
常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows系统关闭时间( ,因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则,因为它无法解析规则 4954 Windows防火墙组策略设置已更改。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows 5152 Windows筛选平台阻止了数据包 5153 限制性更强的Windows筛选平台筛选器阻止了数据包 5154 Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155 Windows Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows
4.3K11编辑于 2022-09-28 Windows取证实战指南
概述(Overview)计算机取证是网络安全领域的核心分支,专注于收集和分析计算机活动证据。作为广义数字取证的一部分,它涵盖了对各类数字设备(包括计算机)中数据的恢复、检查与分析。 数字取证在刑事侦破中的一个经典案例是BTK连环杀手案。该案件曾沉寂十余年,直到凶手开始向警方和媒体发送信件进行挑衅。当他寄送一张软盘到当地新闻机构后,案件迎来重大突破。 微软Windows是目前市场份额最高(约80%)的桌面操作系统,被个人和企业广泛使用。因此,对于任何数字取证从业者而言,精通Windows系统的取证分析至关重要。 Windows取证基础(WindowsForensicsFundamentals)#####1.取证证据(ForensicArtifacts)在取证分析中,“证据”(Artifacts)是指能够证明人类活动的 #####2.Windows注册表与取证(WindowsRegistryandForensics)Windows注册表是一个包含系统配置数据的核心数据库集合。
25320编辑于 2025-12-15Volatility 内存数字取证方法
计算机数字取证分为内存取证和磁盘取证,活取证与死取证,不管是那种取证方式,都应尽量避免破环犯罪现场,例如通过内存转储工具对内存进行快照,通过磁盘克隆工具对磁盘进行克隆,方便后期的分析工作,这里将研究内存的取证技术中的活取证 0x11000 0xffff C:\WINDOWS\system32\Secur32.dll 0x71a10000 C:\WINDOWS\System32\wshtcpip.dll 0x765e0000 0x93000 0x6 C:\WINDOWS 0xe144e758 0x08037758 \Device\HarddiskVolume1\WINDOWS\system32\config\SECURITY 0xe144f758 0x08038758 \Device\HarddiskVolume1\WINDOWS\system32\config\SAM 0xe1036b60 0x02b09b60 \Device\HarddiskVolume1\WINDOWS
2.1K20编辑于 2022-12-28- 来自专栏FreeBuf
浅谈电子数字取证技术
0x00 前言 近几年来,电子数字取证技术在网络攻击窃密、反欺诈调查、内部审计、失泄密痕迹发现、恶意网站查处等案件中发挥着举足轻重的作用。 随着计算机犯罪及网络失泄密案件的频繁发生,电子数字证据作为一种新的证据形式势必越来越多的出现在司法活动中。 传统的电子数字取证最简单的解释是检查电子设备和计算机中存储的数据及其环境来确定发生了什么(Joakim Kavrestad,瑞典舍伍德大学)。 国内现状 1、计算机取证与司法鉴定方面研究和实践刚起步 2、工具多是利用国外常用取证工具 3、缺乏对取证和鉴定流程的深入研究 4、证据收集、文档化和保存不完善 5、数字证据分析和解释不足 6、缺少取证和司法鉴定工具的评价标准 0x04 取证流程 不同国家 1、《电子证据取证最佳实践指南》(英国) 证据是从任何类型的电子数字存储中收集到的数据 收集 -> 分析 -> 报告 2、美国司法部(DOJ) 证据是硬盘驱动器或手机或其他数字信息载体
3K20发布于 2019-09-05 Python 进行数字取证调查
cmd,输入如下命令来列出每个网络显示出profile Guid对网络的描述、网络名和网关的MAC地址 reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged" /s 使用WinReg读取Windows注册表中的内容 连上注册表,使用OpenKey()函数打开相关的键 :17] return addr # 打印网络相关信息 def printNets(): net = "/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows [0:17] return addr # 打印网络相关信息 def printNets(username, password): net = "SOFTWARE\Microsoft\Windows 以管理员权限运行cmd并输入命令: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
1K20编辑于 2022-12-28数字取证与分析-----logs.pcapng
数据分析-logs 1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户目录扫描的第9个文件,并将该文件名作为
21010编辑于 2025-10-23数据分析数字取证A.pcapng
数据分析数字取证 任务环境说明: 渗透机场景:windows 7 渗透机用户名:administrator,密码:123456 通过分析数据包A.pcapng,找到黑客连接一句话木马的密码,将该密码作为
16910编辑于 2025-10-23- 来自专栏FreeBuf
Collect-MemoryDump:一款针对Windows的数字取证与事件应急响应工具
关于Collect-MemoryDump Collect-MemoryDump是一款针对Windows的数字取证与事件应急响应工具,该工具能够自动创建Windows内存快照以供广大研究人员或应急响应安全人员进行后续的分析和处理 项目提供的Collect-MemoryDump.ps1是一个PowerShell脚本文件,该脚本主要功能就是从一个活动的Windows操作系统中收集内存快照。 \Collect-MemoryDump.ps1 -WinPMEM --Pagefile 工具使用演示 查看帮助信息 检查可用空间 自动创建Windows内存快照 w/ Dumplt 自动创建Windows内存快照 w/ Magnet RAM Capture 自动创建Windows内存快照 w/ WinPMEM 自动创建Windows内存快照 w/ Belkasoft Live RAM Capturer 自动创建Windows内存快照 w/ DumpIt (Microsoft Crash Dump) 自动创建Windows内存快照 w/ WinPMEM
1.4K20编辑于 2023-03-29 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
介绍 内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如: 1、建立的网络链接; 2、仅在内存中的恶意软件; 3、加密密钥; 4、用户凭证。 \vol.py -f D:\MemoryDump.mem windows.info 上图中显示的内容可以告诉我们目标系统的Windows版本和执行内存数据捕捉时的系统时间。 第一个插件就是windows.pslist插件,该插件可以枚举出所有正在运行的进程,如下图所示: windows.psscan插件与windows.pslist插件类似,但它能够获取已终止进程的信息,同时它也使用了不同的方法来收集正在运行进程的信息 本文介绍的工具和方法是内存取证活动中常用的,几乎每一项取证活动都会涉及到这些方法步骤,例如寻找可疑的父子进程关系、网络连接、命令执行和异常等等。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
57510编辑于 2024-06-11 - 来自专栏FreeBuf
Windows系统安全事件日志取证工具:LogonTracer
LogonTracer这款工具是基于Python编写的,并使用Neo4j作为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登录日志的可视化工具。 它会将登录相关事件中的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来,使得在日志取证时直观清晰。 7、再次访问LogonTracer界面 http://[本地IP地址]:8080 点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击
3.8K20发布于 2019-12-04 - 来自专栏AI SPPECH
090_数字取证高级技术:Windows注册表取证与用户行为分析实战指南——从键值提取到时间线构建的深度调查方法
前言 Windows注册表作为操作系统的核心组件,存储了大量系统配置、应用程序设置和用户行为记录,是数字取证中不可或缺的关键数据源。注册表取证已成为调查用户活动、恶意软件感染和系统入侵的重要手段。 跨平台整合:Windows与其他操作系统注册表数据的整合分析 高级反取证:攻击者使用更复杂的注册表隐藏技术 8.3 工具发展趋势 注册表取证工具的发展趋势: 自动化程度提高:更多的自动化分析和报告生成 可视化增强:更直观的可视化分析界面 集成化平台:与其他取证工具的无缝集成 云原生工具:专为云环境设计的取证工具 结论 Windows注册表作为系统核心组件,在数字取证中具有不可替代的价值。 未来,人工智能、量子计算等新技术的应用将进一步推动注册表取证技术的发展,为数字安全和司法调查提供更强大的支持。 ,2025年版 数字取证中的注册表分析技术,计算机安全学报 高级持续性威胁中的注册表取证研究 注册表时间戳分析方法与工具,IEEE安全与隐私会议论文集 数字取证最佳实践标准,国际数字取证协会
45210编辑于 2025-11-16 - 来自专栏AI SPPECH
AI助力CTF取证:数字痕迹的智能追踪与分析
它要求选手能够从复杂的数字环境中提取、分析和解释各种数字痕迹,包括文件碎片、日志记录、内存映像、网络流量等。 目录 CTF取证分析的挑战与AI的机遇 AI辅助取证分析的核心技术 从磁盘到内存:全方位数字痕迹分析 DEFCON CTF 2024:AI破解取证挑战的经典案例 代码演示:基于深度学习的自动化内存取证分析系统 AI与CTF取证分析的未来展望 一、CTF取证分析的挑战与AI的机遇 1.1 传统取证分析的痛点 CTF中的取证分析挑战,通常涉及多种数据源和分析方法,每个环节都面临着巨大的技术挑战: 数据量大且复杂 二、AI辅助取证分析的核心技术 2.1 特征提取与模式识别 要让AI理解取证数据,首先需要解决的问题是如何将各种类型的取证数据转换为AI模型可以处理的表示形式。 三、从磁盘到内存:全方位数字痕迹分析 3.1 磁盘取证分析策略 磁盘是最常见的取证数据源之一,AI在磁盘取证分析中的应用包括: 文件系统分析:识别文件系统类型,恢复删除的文件和目录结构。
42510编辑于 2025-11-12 - 来自专栏FreeBuf
如何从Windows注册表中提取证书
Windows 注册表中包含有二进制块(Blob),有些二进制块用于存储证书,如下所示: 以下的注册表位置都存储证书: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates 属性标识符的可能值可以在 Windows 开发中心和 wincrypt.h 头文件中找到。 如下所示,证书本身位于记录 11 内(类型为 0x20): 要提取证书请使用 -d执行二进制 dump 并写入本地文件: 结论 二进制数据块中经常出现 TLV 记录,如果想要识别二进制块中的数据, 参考来源: https://blog.nviso.eu/2019/08/28/extracting-certificates-from-the-windows-registry/
2.2K20发布于 2021-10-11 - 来自专栏FreeBuf
Sherloq:一款开源的数字图片取证工具
工具介绍 数字图像取证分析是应用图像科学领域里的一种专业知识,这项技术可以在法律事务中解释图像的内容或图像本身所代表的含义。 数字图像取证分析与执法应用的主要分支学科包括:摄影测量学、图像比较、内容分析和图像认证等等。 Sherloq是一个关于实现数字图像取证的完整集成环境的个人研究项目,它并不是由一个自动化工具来判断和决定一个图像是否是伪造的(因为这种工具可能永远都不会存在),而是作为一个辅助工具并使用各种算法来发现目标图像中潜在的不一致 Sherloq工具旨在成为一个强大稳定且可扩展的框架,可以给广大取证分析人员提供帮助。 引用比较:同步的双视图,用于比较引用和证据图像(*) JPEG格式 质量估计:提取量化表并估计上次保存的JPEG质量(*) 压缩重影:使用误差残差检测不同级别的多个压缩(**) 双重压缩:利用第一位数字统计信息发现潜在的双重压缩
2.3K20发布于 2020-05-14 - 来自专栏AI SPPECH
095_数字取证高级技术:区块链取证与加密货币追踪实战指南——从交易分析到智能合约漏洞的全面取证方法
引言 随着区块链技术的迅速发展和加密货币的广泛应用,区块链取证已成为数字取证领域的一个重要分支。 实际上,区块链的透明性和不可篡改性为数字取证提供了独特的优势和挑战。 2025年,全球加密货币市场规模已超过5万亿美元,区块链技术应用已扩展到金融、供应链、医疗、选举等多个领域。 文化与法律差异尊重 国际合作伦理标准 技术发展不平衡应对 结论 区块链取证作为数字取证的新兴分支,在应对加密货币相关犯罪和安全事件中发挥着越来越重要的作用。 区块链取证不仅是一门技术,更是一门艺术,需要结合技术专长、分析思维和法律知识,才能在复杂多变的数字世界中发挥最大效用。 通过持续学习和实践,取证专业人员可以不断提升自己的能力,为打击网络犯罪、维护数字安全做出更大贡献。
52410编辑于 2025-11-16 - 来自专栏HACK学习
干货 | Windows取证分析基础知识大全,赶快收藏!
想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。 本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源 01 windows 时间规则 ? 1 上次登录 • C:\windows\system32\config\SAM • SAM\Domains\Account\Users 2 上次密码修改 • C:\windows\system32 \Microsoft\Windows\Shell\BagMRU 访问桌面: • NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU • NTUSER.DAT
5.5K50发布于 2020-03-27 - 来自专栏网络安全技术点滴分享
数字取证实战:利用PhotoRec与Scalpel恢复被删除文件
Blue Team Labs Online (BTLO):年度最佳员工挑战通过从DD镜像恢复被删除文件并对数据进行数字取证来开展工作。
23610编辑于 2025-09-12
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号