- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
这样一来,我们就可以将注意力放到最重要的部分,即我们实际想要看到的内容,以及如何通过内存取证分析达到我们的最终目标。 windows.pstree插件是使用最频繁的,它支持以树状形式查看进程信息,并查看到进程之间的父子关系: 接下来继续我们的分析,我们的目标设备中存在一个恶意活动,我们需要对其进行安全调查,看看我们能够从目标设备的内存中获取到哪些信息 接下来,我们看看如何使用MemProcFS来提升我们内存取证分析的效率。 MemProcFS可以允许我们在文件系统视图中一次性查看多个Volatility插件的输出结果。 需要注意的是,内存映像加载完成后,取证分析操作可能需要等待一段时间才能执行完毕。 总结 每一种安全分析和调查都有其独特的的目标,而深入分析取证文件所采用的方法也因实际情况而定。
60410编辑于 2024-06-11 - 来自专栏DeveWork
如何找出被黑客攻击后篡改的WordPress 文件?
本文为你介绍了一些快速查找被黑客攻击后篡改的WordPress 文件的工具。 确定被攻击了,快速诊断工具? 如果您怀疑您的网站已经被入侵,也有一些免费的工具,将执行一个粗略的诊断给你。
3.1K80发布于 2018-01-19 - 来自专栏FreeBuf
如何从Windows注册表中提取证书
Windows 注册表中包含有二进制块(Blob),有些二进制块用于存储证书,如下所示: 以下的注册表位置都存储证书: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates 属性标识符的可能值可以在 Windows 开发中心和 wincrypt.h 头文件中找到。 如下所示,证书本身位于记录 11 内(类型为 0x20): 要提取证书请使用 -d执行二进制 dump 并写入本地文件: 结论 二进制数据块中经常出现 TLV 记录,如果想要识别二进制块中的数据, 参考来源: https://blog.nviso.eu/2019/08/28/extracting-certificates-from-the-windows-registry/
2.2K20发布于 2021-10-11 - 来自专栏AI SPPECH
090_数字取证高级技术:Windows注册表取证与用户行为分析实战指南——从键值提取到时间线构建的深度调查方法
前言 Windows注册表作为操作系统的核心组件,存储了大量系统配置、应用程序设置和用户行为记录,是数字取证中不可或缺的关键数据源。注册表取证已成为调查用户活动、恶意软件感染和系统入侵的重要手段。 专家验证:由具有资质的专家进行分析和验证 7.2 隐私保护 在注册表取证中保护合法用户隐私: 最小化原则:仅收集与调查相关的数据 数据脱敏:对敏感个人信息进行脱敏处理 访问控制:严格控制证据的访问权限 在实际工作中,取证人员应结合多种工具和方法,建立标准化的分析流程,确保证据的完整性和可靠性。同时,也应关注法律合规性和隐私保护,在调查过程中遵循相关法规和伦理规范。 未来,人工智能、量子计算等新技术的应用将进一步推动注册表取证技术的发展,为数字安全和司法调查提供更强大的支持。 附录:注册表取证工具速查表 工具名称 主要功能 使用场景 优势 RegRipper 插件化注册表分析 快速提取关键信息 开源、灵活、丰富的插件 Registry Explorer 交互式注册表分析 深度调查
50610编辑于 2025-11-16 - 来自专栏FreeBuf
记一次Windows日志分析:LogParse
下面就给大家分享一下我关于一款功能非常强大的 LogParse 的理解以及如果被黑客入侵如何进行调查取证。 一、调查取证面临的问题 Windows 下每个工作站、Domain Controller 等都有 安全、应用程序和系统日志。 最重要的是它们包含了所有有价值的安全信息和系统信息,并且会产生 IIS 日志、Exchange Server(电邮服务组件)、MSSQL Server Log 等,由于这些日志的格式和结构的参差不齐,那如何对它们进行高效的调查取证分析呢 结合分组、提取语句就可以统计出源 IP,时间,用户名;只需要取出关键列进行判断或者比对,就可以从庞大的 windows 安全日志中提取出安全事件发生后想要关联的信息。 ? Output: ? 整合分析系统日志,将整个行为关联起来,进行精确取证 ?
1.9K20发布于 2019-05-21 - 来自专栏Windows运维
Windows 更新后系统变得卡顿,如何恢复?
清理更新缓存Windows更新可能会留下大量临时文件,这些文件可能导致系统卡顿。 停止Windows更新服务net stop wuauservnet stop bitswuauserv 是Windows更新服务,bits 是后台智能传输服务。 检查并更新驱动程序更新后的系统可能会导致某些硬件驱动程序不兼容。使用设备管理器更新驱动程序devmgmt.msc 打开设备管理器,检查是否有黄色感叹号标记的设备。右键点击设备,选择“更新驱动程序”。 优化系统性能更新后可能需要对系统进行一些优化操作。清理磁盘垃圾文件cleanmgr在弹出的窗口中选择C盘,勾选“临时文件”、“回收站”等选项。 使用DISM修复系统映像DISM /Online /Cleanup-Image /RestoreHealth该命令会修复Windows系统映像。7.
3.2K10编辑于 2025-02-22 服务器被黑后如何快速溯源?30分钟应急响应全流程
说实话,没有任何IT人员愿意面对服务器被黑的情况,但是这种情况可能会在你意想不到的时候发生。当发现服务器异常时后30分钟内的应急处理很关键。 深入取证阶段(10-15分钟) 历史命令分析 cat /root/.bash_history |more # 查看历史命令 tail -n 10 /var/log/secure # 认证日志 cat / 最后想说的话 这套流程我自己前前后后折腾了很多年,平时看着可能没那么“惊艳”,可真到了出问题的时候,往往就是它最顶用。
8610编辑于 2026-04-10- 来自专栏Windows技术交流
Windows就地升级系统后如何恢复网络和远程
就地升级(维护)系统,版本要对,同版本的才支持,不同版本的不行,比如得是pc对pc、server对server、en对en、cn对cn、桌面版对桌面版、core纯命令行版对core纯命令行版,交叉的不行 Windows 就地升级系统后,没网、远程不了,咋办? 左下角开始图标右击→ 打开设备管理器device manager→ 找到黄色感叹号的网卡(另一个黄色感叹号的PCI Device不用管,不影响使用) → 右键更新驱动→ 从本地原系统(windows.old 找到了 如果没有windows.old\windows\system32\driverstore目录,那就从控制台进入救援模式, 在救援模式下下载virtio_64_1.0.9.exe放到系统盘根目录 ,然后退出救援模式, 然后从vnc登录系统后,在系统盘根目录找到virtio_64_1.0.9.exe双击安装, 安装时如果弹窗让信任签名,信任即可, 这样就有网卡驱动了。
51710编辑于 2025-08-13 - 来自专栏FreeBuf
走进计算机取证分析的神秘世界
你的任务是给IT团队提供建议如何查找和净化受恶意软件感染的计算机并确保在其处所或在网络上没有其他机器已经被感染。 由于存在不稳定的数据,一台计算机取证调查必须知道获取数据的最佳方式。证据可以在本地或远程进行收集。 8.1 易失性数据: 下图显示了如何捕获易失性数据。 8.2 非易失性数据 获取易失性数据后,我们开始捕获非易失性数据。第一步需要复制整个操作系统,这一步也叫做取证镜像。镜像可以保存没有任何修改和变更的原始的数据作为证据在法庭上提交。 磁盘镜像完后,需要使用哈希值保证获取的数据是真实的、完整的。数据的完整性在整个调查过程中都需要注意,证据文件的哈希值需要保存在多个地方。 Windows的注册表是调查取证的重要信息来源,如果调查员知道在哪里会获得有用数据,可以分析那些页面存在重定向、跟踪用户活动和网络配置等相关的信息。
2.2K100发布于 2018-02-02 - 来自专栏安恒信息
网络莫名异常?都是“肉机”惹的祸
当前的信息安全建设方案中,安全防护都是针对外部的,而对于内部的威胁却少有关注,尤其是内部主机可能存在通过其他途径被黑的情况,一旦被黑客控制成为“肉机”,可能会感染内部更多主机,对内部主机和网络资源造成影响 该事件引起技术人员的重视,立即安排人员现场进行调查、取证和分析。 尝试新的思路取证分析 但该事件依然偶尔出现,极大影响了该高校的正常网络使用和服务器工作,最后通过尝试部署APT深度威胁分析设备尝试对流量进行分析,看看是否可以从中抓到一些异常行为。 使用ida打开恶意的json.dll看见大量恶意的指令,可以控制被黑“肉机”发起DDoS攻击,包含应用层和网络层各种DDoS攻击指令。 ? 对各种针对性的攻击进行监控,同时在网络出现异常后可以快速对之前的攻击数据进行分析,追踪定位攻击的来源和类型,以便进行及时处理; 重视对“内网”的监控。
1.2K70发布于 2018-04-10 - 来自专栏绿盟科技研究通讯
RSAC议题解读|真实云安全事件复盘与思考
作为一家初创公司,Mitiga提供名为IR2(Incident Readiness & Response,事件就绪与响应)的事件响应解决方案,通过收集、分析云上取证数据,将主要取证流程自动化,为专业响应团队提供工具以便快速展开事件调查 事件一 GitHub市场应用的SaaS服务被黑 2020年6月23日到7月1日间,数字银行应用Dave.com约750万用户数据被黑客窃取并在地下黑客论坛公布[3](见图1)。 在本文开头对Mitiga公司的介绍中,我们注意到他们的主推方案的亮点就是“将主要取证流程自动化,为专业响应团队提供工具以便快速展开事件调查,减少数据收集时间”。 由于该MongoDB的日志配置不当,能够用来调查的信息十分有限。好消息是,客户对数据库做了全量备份,而且调查发现并没有实际的数据泄露发生,因此客户没有支付勒索赎金,整个事件并未造成严重后果。 这既会导致潜在损失规模扩大,又会导致事后取证、判定影响范围的难度提高。因此,虽然Ofer Maor指出了“了解、准备和响应”三步走的策略,但是如何走好这三步仍然是一个不容易回答的问题。
93120编辑于 2022-11-14 - 来自专栏FreeBuf
新发现的零点击iPhone漏洞被NSO间谍软件利用
经过调查后,Citizen Lab表示没有在这些受害的加泰罗尼亚人里看到任何针对运行高于13.1.3的iOS版本的设备的HOMAGE漏洞实例,所以该漏洞极有可能已在iOS 13.2中修复。 随后学术研究实验室向苹果报告并提供了调查该漏洞所需的取证工具,并表示没有证据表明使用最新版本iOS的苹果客户会受到HOMAGE攻击。 芬兰外交部在1月份表示,当美国国务院雇员发现他们的iPhone被黑客入侵并安装相同的间谍软件后,芬兰外交官的设备也已感染NSO的Pegasus间谍软件。 欧洲议会正在成立一个调查委员会(将于4 月19 日举行第一次会议),以调查因使用NSO Pegasus间谍软件和同类型间谍软件等而违反欧盟法律的行为。 该技术甚至可以在感染结束后保持对受害者云帐户的访问。”
79010编辑于 2022-06-08 服务器被入侵怎么办?快速隔离七步法,腾讯云主机安全助您化险为夷
本文将为您梳理一套行之有效的快速隔离方法,并介绍腾讯云主机安全(Cloud Workload Protection, CWP)如何帮助您构建主动防御体系,防患于未然。 系统取证与快照:在隔离网络后,应尽快对系统当前状态进行“拍照”留存。这包括收集正在运行的进程列表、网络连接状态、系统日志、用户账户信息等。 评估与恢复计划:根据取证结果,评估数据泄露风险与业务影响。制定详细的系统恢复与加固方案,在确认彻底清除威胁后,方可逐步恢复网络和服务。 完成以上应急步骤后,更重要的是思考如何构建长效的主动防护机制,避免事件重演。 二、腾讯云主机安全:您的云端安全守护专家 亡羊补牢,不如未雨绸缪。 密码破解 检测 检测+防御 检测+防御+部分事件自动调查 恶意请求 × 检测 检测+防御+部分事件自动调查 本地提权 × 检测+进程树 检测+进程树+防御+部分事件自动调查 漏洞管理 Linux
25610编辑于 2026-03-11- 来自专栏AI SPPECH
084_数字取证进阶:内存转储与实时分析技术实战指南——从内存获取到恶意代码检测的全面解析
引言 在传统的数字取证调查中,取证人员主要关注存储在硬盘等持久化介质上的数据。然而,随着攻击技术的不断演进,攻击者越来越多地利用内存操作进行恶意活动,这些活动在系统重启后往往不会留下痕迹。 识别隐藏进程和后门:发现通过rootkit等技术隐藏的恶意进程 获取网络连接信息:识别活跃的网络连接和通信 内存取证的挑战: 易失性:内存数据在系统关机或重启后立即丢失 动态变化:内存内容不断变化,取证需要快速进行 Memoryze/Redline:FireEye 出品的内存取证与主机调查工具,适合企业调查。 Bulk Extractor:批量从镜像中提取可解析对象(URL、邮箱、信用卡号等)。 第七部分:最佳实践清单 现场准备:写保护介质、校验工具、时间同步、取证脚本预置。 操作要点:先记录系统状态后获取;尽量使用便携工具;避免网络下载与更新。 Response Windows 内存与注册表取证实践资源合集 FireEye/Mandiant 主机与内存调查实践手册 结论 内存取证通过捕获易失性数据补足传统磁盘取证的不足。
41010编辑于 2025-11-16 - 来自专栏AI SPPECH
088_数字取证进阶技术:时间线分析与事件重建实战指南——从日志收集到法庭证据的系统化调查方法
第一部分:时间线分析基础 1.1 时间线分析概述 时间线分析是数字取证调查中的核心技术,通过收集、整理和分析各种数字设备上的时间戳信息,构建出事件发生的完整时间序列,从而揭示攻击者的活动轨迹、用户行为模式以及系统状态变化 在现代网络犯罪日益复杂的背景下,时间线分析已成为取证调查人员不可或缺的关键工具。 商业 综合取证工具包,时间线分析集成 法律合规调查 Timeline Explorer 开源 轻量级时间线查看器 快速分析小型数据集 log2timeline.py 脚本 命令行时间戳提取工具 自动化分析流程 不同的调查场景需要关注不同的数据源: Windows系统数据源: Windows事件日志(.evtx文件) 预取文件(Prefetch) 跳转列表(Jump Lists) 主文件表(MFT) 注册表项( 案例背景: 某企业员工收到一封伪装成发票的钓鱼邮件,点击附件后系统被感染,随后出现数据外泄迹象。调查人员需要分析完整的攻击时间线,确定入侵路径和受影响范围。
44010编辑于 2025-11-16 - 来自专栏深度学习与python
中国互联网公司员工平均年龄不超过35岁;美团被罚 34 亿并限期三年整改;谷歌正式发布 Android 12 | Q资讯
整理 | Tina 中国互联网公司员工平均年龄数据:都不超过 35 岁;乔布斯去世十周年,库克:他教会了我们所有人如何飞翔;DeepMind 首次实现盈利,收入来源成谜;微软正式发布 Windows 国外招聘网站 Indeed 也曾对 1011 名美国科技工作者开展调查。调查显示,29% 的受访者表示,其公司雇员的平均年龄介于 31 岁至 35 岁。 史蒂夫是一个非凡的人物,但他教会了我们所有人如何飞翔。我想念他,我会永远珍惜他。” 市场监管总局成立专案组,依法扎实高效推进案件查办,广泛开展调查取证,获取大量证据材料并全面深入分析,查明案件事实;组织专家反复深入开展研究论证;多次听取美团陈述意见,保障其合法权利;确保本案事实清楚、证据确凿 Windows 11 包括一个新的用户界面,一个重新设计的开始菜单,大修后的微软商店,小工具功能,微软 Teams 应用整合等。
1K40发布于 2021-10-13 Windows取证实战指南
其应用范围广泛,从在法律程序(民事或刑事)中支持或反驳某种假设,到在企业内部协助调查和安全事件响应。数字取证在刑事侦破中的一个经典案例是BTK连环杀手案。 微软Windows是目前市场份额最高(约80%)的桌面操作系统,被个人和企业广泛使用。因此,对于任何数字取证从业者而言,精通Windows系统的取证分析至关重要。 在计算机取证中,证据是用户活动在系统中留下的微小痕迹。Windows系统会为特定活动创建并记录大量证据,使得调查人员能够通过取证技术相当精确地追溯个人行为。这些证据通常存储在普通用户不易接触的位置。 ,但对于取证调查员而言,这些偏好本身就是识别系统活动的关键证据。 因此,系统记录用户信息并非为了明确的“监视”,而是为了个性化服务,但同样的信息却能被调查员用于专业的取证分析。
31220编辑于 2025-12-15- 来自专栏FreeBuf
安全应急响应工具年末大放送
磁盘镜像创建工具 GetData Forensic Imager:GetData Forensic Imager是一款基于Windows的程序,能对常见的取证文件格式进行捕获,转换或验证取证镜像。 The Sleuth Kit & Autopsy:The Sleuth Kit是一款基于Unix和Windows的工具对计算机进行取证分析。 DFF接口引导用户通过一个主要的数字调查步骤,让用户选择专业模式或者非专业模式来快速进行数字调查以及执行事件响应。 Osquery:osquery是一个SQL驱动操作系统检测和分析工具。 Redline:通过内存或文件分析为用户提供主机调查功能发现恶意软件的迹象,以及威胁评估的概要文件。 AChoir:Achoir是一个用来简化Windows实时取证工具流程的框架/脚本工具。
5.7K60发布于 2018-02-07 - 来自专栏全栈程序员必看
什么是EDR!
注:攻击指示器,IOC是一种入侵后可以取证的指标,以xml文档类型描述捕获多种威胁的事件响应信息,包括病毒文件的属性,注册表改变的特征,虚拟内存等。 (4)响应取证:针对全网的安全威胁进行可视化展示,能够针对安全威胁自动化地进行隔离、修复和补救,自动完成安全威胁的调查、分析和取证工作,降低事件响应和取证分析的技术门槛,不需要依赖于外部专家即可完成快速响应和取证分析 (4)响应:remediate(补救);design policy change(设计规则变更);investigate incidents(调查事件)。 3、EDR 是如何工作的? 它不仅可以了解攻击者如何侵入你的网络,还可以检测他们的活动路径: 他们如何了解你的网络,如何转移到其他机器上,并试图在攻击中实现他们的目标。 在EDR中,数字取证要克服云计算环境取证、智能终端取证、大数据取证等关键技术,自动定位和采集端点人侵电子证据,降低取证分析的技术门槛,提高取证效率及其分析结果的准确性,为端点安全事件调查、打击网络犯罪提供技术支持
12.6K21编辑于 2022-09-05 - 来自专栏网络安全技术点滴分享
2025年第50周数字取证与事件响应周报
取证分析Akash Patel:内存取证与EDR对比Forensafe:Android应用程序角色Fortinet:在Windows中发现隐藏的取证证据:AutoLogger-Diagtrack-Listener.etl :在网络流量中狩猎Mythic框架Dakota Cary:恶意学徒 | 两名黑客如何从思科学院走向思科CVEMike Watson:如何使用运行时行为分析检测多阶段攻击System Weakness:CyberDefenders 12个数字痕迹演讲/播客Behind the Binary by Google Cloud Security:EP20 Windows底层揭秘:内核设计、EDR以及向VBS的转变BSides Cape 自动化、优先级排序和更快发现证据数字取证摘要,2025年12月10日从提取到分析:MSAB 2025年Q4创新,实现更快更智能的调查爱达荷州谋杀案:从行为线索到AI在数字取证中的角色Cellebrite 完成对Corellium的收购,推出业界最先进的AI驱动数字调查产品组合Oxygen Remote Explorer v.2.0.1 现已发布!
21210编辑于 2026-02-23
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号