Eternal 7年前 (2017-06-14) 23010浏览 4评论

计算机取证是与计算机和网络犯罪有关的，一门非常重要的计算机学科分支。在早前，计算机只用于生成数据，但现在已扩展到与数字数据相关的所有设备。计算机取证的目标是通过使用数字资料的证据来进行犯罪调查，以找出网络相关罪行的主要责任人。 为了更好的用于研究和调...

Eternal 8年前 (2016-11-16) 21107浏览 3评论

场景：将画图板进程 dump 下来的内存数据，以图片形式还原。 利用工具： procdump gimp 首先，我们使用画图打开一张图片，并使用 tasklist 查看进程情况： 接着我们使用 procdump 来 dump 下 mspaint.ex...

Eternal 8年前 (2016-11-15) 14677浏览 1评论

场景：将 dump 下来的 windows 进程内存中的数据内容，以明文形式还原。 利用工具： procdump? strings 首先我打开记事本，写入以下内容： 并使用 CMD tasklist 命令来查看进程情况。可以看到，notepad.ex...

Eternal 8年前 (2016-11-14) 22674浏览 3评论

volatility 框架是一款用于易失性内存取证的重量级框架。在该框架下我们可以完成许多取证的操作，获取我们想取得的信息。其支持的操作系统也非常广泛，同时支持 windows , linux, Mac OSX,甚至也支持 Android 手机使用A...

Eternal 8年前 (2016-11-13) 29977浏览 0评论

DumpIt 是一款绿色免安装的 windows 内存镜像取证工具。利用它我们可以轻松地将一个系统的完整内存镜像下来，并用于后续的调查取证工作。 直接双击运行 exe 文件，输入 y 并回车： 提取的内存镜像会被保存在当前目录下，保存格式为 raw...

Eternal 8年前 (2016-11-13) 29783浏览 0评论

WifiHistoryView 是一款轻巧的，适用于 Windows 10/8/7/Vista 系统的 wifi 历史连接记录查看工具。通过它，我们可以将之前在PC上连接及断开 wifi 的时间，SSID，计算机名称，进程ID等信息提取出来。 双击打...