闲记Windows 取证艺术
是不是很好奇,别人能够在你电脑上查看你运行程序历史,文档使用痕迹,浏览器浏览历史种种历史痕迹,没错,通过简单的系统了解以及配合相对应的工具,这一切就是这么的简单,看起来很高大上的操作,其实是可以通过多次操作到心中有数,下面简单举几个列子,仅是一个学习的思路,认识上存在这么个东西,如果有了好奇心,那么可以通过各大网站论坛去扩展学习。
拓展——取证基本流程
【1】确定电脑罪犯【2】收集初步证据【3】获取扣押令【4】风险评估【5】在犯罪现场扣押证据,证据编号并安全锁定【6】将证据文件送往鉴定实验室【7】对证据文件建立两份电子副本,不能改变修改原始磁盘【8】生成镜像的(MD5)检验码【9】维护证据链【10】将原数据文件放在安全场所【11】检查证据文件镜像副本【12】标本鉴定报告【13】向客户提交报告【14】如有需要,作为鉴定证人出法庭作证
1、取证设备及软件
1.1Encase
1.2取证大师
1.3DC4501
1.4winhex
..............
2、操作系统痕迹提取分析
系统安装的时间
可以通过
2.1、cmd提示符输入:systeminfo查看
2.2、注册表提取键值分析 路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\installDate
提取到的十进制键值,转到时间转换网址:http://tool.chinaz.com/Tools/unixtime.aspx获得安装时间年月日时分秒
3、系统用户使用痕迹
3.1、最近访问记录 cmd提示符输入:recent
手动定位完整路径:C:\Users\AnSen\AppData\Roaming\Microsft\Windows\Recent (AnSen当前登录的用户名)
3.2、注册表分析:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDos
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Exce\File MRU
4、运行程序痕迹提取
4.1、为了提升系统性能,在计算机运行程序时把一些prefecth下的*.pf文件存到内存中:C:\Windows\prefetch
4.2、HKFY_SURRFNT_USER\Software\Microsoft\Windows\CUrrentVersion\Explorer\UserAssist
4.3、具备更快的检索功能——Prefetch工具
路径:C:\Windows\Prefetch
Prefetch工具获取Prefetch文件下的程序,直观看到使用过的程序
Prefetch工具下载:http://www.nirsoft.net/utils/win_prefetch_view.html
5、常见的Windows事件
事件保存的位置:C:\windows\system32\winevt\Logs
事件日志当中记录了
用户登录注销
远程访问审计
即插即用设备的使用
系统事件的修改记录
无线网络的接入
.........
用户登录事件
分析移动设备插入拔出
事件日志筛选20001,20003【可以百度了解日志ID号对应的发生事件】
日志分析工具LogParser
下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659
闲记Windows 取证艺术的更多相关文章
- windows取证
工具网站 : http://www.ntsecurity.nu/toolbox/ 命令行历史 :命令行模式 CMD 中使 doskey /history 命令可以显示前面输入的命令情况(例如使用 cl ...
- [记]Windows 系统下设置Nodejs NPM全局路径
Windows下的Nodejs npm路径是appdata,担心安装的node_modules越来越多,导致C盘满,所以参考别人的博文,将node_modules安装的默认目录修改一下. 参考Wind ...
- 记Windows下初次使用dev C++进行socket编程过程
记初次接触socket编程,在devC++使用Winsock进行socket编程的一个过程,通过在devC++创建2个项目分别是server.client程序项目,感受通过socket使client与 ...
- 记Windows的一个存在了十多年的bug
bug Windows有一个bug,持续了十多年,从Windows Visita开始(2007年),一直存在,直到Windows11(2021年)才修复(其实也不叫修复,后面我再具体说),而Windo ...
- 闲记 单元格与单元格之间的边 ///字体属性都是font开头,除了颜色属性 ///文本属性都是text开的,除了设置行高。
这两天一直在做网页没有什么太大的问题,期间也考了一场试,对答案的时候老师讲了一些小知识,因此来记录一下. 单元格与单元格之间的边距(cellspaling) list-type-image可以使用图像 ...
- 记-Windows环境下Prometheus+alertmanager+windows_exporter+mtail监控部署
1.概述 最近因项目需要统计服务的负载情况及机器的负载情况,但是项目里面却没有相关统计而服务所在的机器也没有相关的监控,因为工期原因就选择了相对轻量级的prometheus方案.其中windows_e ...
- 记Windows服务器Redis 6379被攻击 被设置主从模式同步项目数据
在工作中第一次经历被攻击,我是一个前端,同时复负责维护一个已上线的项目,在最近一段时间小程序与后台经常出现这个报错, 搜了下说我的从机是只读模式,不能写入,问了同事得知这个项目是单机模式,根本不存在从 ...
- 工控安全入门(六)——逆向角度看Vxworks
上一篇文章中我们对于固件进行了简单的分析,这一篇我们将会补充一些Vxworks的知识,同时继续升入研究固件内容. 由于涉及到操作系统的内容,建议大家在阅读本篇前有一定操作系统知识的基础,或者是阅读我的 ...
- 工控安全入门(五)—— plc逆向初探
之前我们学习了包括modbus.S7comm.DNP3等等工控领域的常用协议,从这篇开始,我们一步步开始,学习如何逆向真实的plc固件. 用到的固件为https://github.com/ameng9 ...
随机推荐
- 解决laydate动态设置初始值的问题
//初始化//注意:我这里是时间范围选择,所以定义了range属性.var timeScope = laydate.render({ elem: '#time_scope', range: '~', ...
- haproxy和keepalived的理解(转载)
关于此两者,随便google一下都会有大量的文章,因此这里也不用介绍如何来进行安装和配置了.主要从一个整体方案的角度来描述什么要这样做,以及这样做所解决的问题. 所有的系统,都是先经历一个单台机器搞所 ...
- [学习笔记] 平衡树——Treap
前置技能:平衡树前传:BST 终于学到我们喜闻乐见的平衡树啦! 所以我们这次讲的是平衡树中比较好写的\(Treap\). (以后会写splay的先埋个坑在这) 好了,进入正题. step 1 我们知道 ...
- IIS+上传4G文件
最近在学习百度的开源上传组件WebUploader,写了一些示例以记录.WebUploader的缺点是没有一个比较好的现成的界面,这个界面需要自己去实现.自由度高了一些. WebUploader是由B ...
- CTS添加新测试用例步骤
一.CTS添加新测试用例: 前言: google源代码中的cts测试用例集目录为:source_android4.2/cts/tests/tests/ (source_android4.2表示andr ...
- kmp算法原理与应用(简单易懂)
- 【集训队作业2018】小Z的礼物
小水题.题意就是不断随机放一个 \(1 \times 2\) 骨牌,然后取走里面的东西.求期望多少次取走所有的东西.然后有一维很小. 首先显然 minmax 容斥,将最后取走转化为钦定一些物品,求第一 ...
- web 新能优化
网上的东西太多了都是搜来的东西 留着自己看吧! 摘自 :http://www.cnblogs.com/50614090/archive/2011/08/19/2145620.html 打开网站慢现状分 ...
- ESPCMS的CSRF添加管理员账号
ESPCMS的CSRF添加管理员账号 前言 这里开始的思路是先注入进去 然后getshell 但是不关CSRF什么事 换思路 看了一下群消息 大哥发了一个视频 后台名称admin admin12 ...
- 06.旋转数组的最小数字 Java
题目描述 把一个数组最开始的若干个元素搬到数组的末尾,我们称之为数组的旋转. 输入一个非减排序的数组的一个旋转,输出旋转数组的最小元素. 例如数组{3,4,5,1,2}为{1,2,3,4,5}的一个旋 ...