windows取证
工具网站 : http://www.ntsecurity.nu/toolbox/
命令行历史 :命令行模式 CMD 中使 doskey /history 命令可以显示前面输入的命令情况(例如使用 cls 命令清屏之后可以用此察看之前的命令),但是如果是关闭 CMD 之后运行则无法查到关闭之前输入的命令。
共享 :在系统注册表的 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Shares
(针对 Windows XP 系统,高于此版本的可能有些变化)可以获取到系统的共享信息。
清除页面交换文件 : Windows 使用虚拟内存架构,一些进程使用的内存内容会被交换出去,位于交换文件中。系统关闭时,交换文件中的信息会在硬盘上保持不变,其中可能会有解密的密码,聊天会话信息和其他字符串信息。如果关机时清除了交换文件则这些潜在的信息就很难被提取出来。在注册表中的 ClearPageFileAtShutdown 键值可以起到这个作用。以下引用自 Microsoft 知识库( http://support.microsoft.com/kb/314834/en-us/ ):
- Start Registry Editor (Regedt32.exe).
- Change the data value of the ClearPageFileAtShutdown value in the following registry key to a value of 1 :
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Memory Management
If the value does not exist, add the following value:
Value Name: ClearPageFileAtShutdown
Value Type: REG_DWORD
Value: 1
This change does not take effect until you restart the computer.
禁用文件最后访问时间的修改 : Windows 可以禁用文件最后访问时间的修改,这对于那些使用频繁的文件服务器有提高系统性能的好处,但对于日常使用的电脑则作用不大。以下引用自 Microsoft 知识库( http://support.microsoft.com/default.aspx?scid=kb;en-us;555041 ):
Created HKLM/System/CurrentControlSet/Control/FileSystem/Disablelastaccess and set to 1 .
This will disable the last access information written to each file as it is accessed. The result is faster hard disk file read-access.
这只针对 Windows XP 和 Windows 2003 系统,而在 Windows Vista 系统中这个键值是默认激活的。
Windos XP 程序预读机制 :在 %WINDIR%/Prefetch 目录中有后缀为 .pf 的文件,其中存有程序的有关应用的信息。相同的程序名称会覆盖已有的 .pf 文件,这点可以通过文件属性中修改时间的变化看出来。
崩溃转储 :当计算机以外停止或者出现较为严重的错误, XP 时代最常见的就是蓝屏了( Blus Screen of Death ,简称 BSoD ),这时候系统就会自动冻结,并且进行崩溃转储。崩溃转储有三种类型: 小存储器转储 ,核心存储器转储,以及完全存储器转储。相关信息如下:
- Windows 2000 Professional :小存储器转储 (64 KB)
- Windows 2000 Server :完全存储器转储
- Windows 2000 Advanced Server :完全存储器转储
- Windows XP (Professional 和 Home Edition ):小存储器转储 (64 KB)
- Windows Server 2003 (所有版本):完全存储器转储
详细信息参见 http://support.microsoft.com/kb/254649
注意 : “ 完全存储器转储 ” 选项不适用于运行 32 位操作系统和具有 2 GB 或更多 RAM 的计算机。详情参见 http://support.microsoft.com/kb/274598
另在 http://support.microsoft.com/kb/307973提供了如何在 Windows 中配置系统和恢复选项。
但是当不管以哪种途径设置成完全存储器转储之后,一旦计算机崩溃,在转储文件中就可能会包含一些敏感信息,例如口令,账号等。
如果已经把系统设置成了完全存储器转储,可以通过一些设置就可以根据需要随时生成内存转储,详情参见 http://support.microsoft.com/kb/244139
休眠文件 :当一个 Windows 系统( Windows 2000 及后续版本)“休眠”的时候,系统的电源管理组件会将系统物理内存压缩后,存放到系统分区根目录下的 Hiberfil.sys 文件中。在系统的引导过程中,如果系统发现有效的 Hiberfil.sys 文件, NTLDR 会将该文件的内容加载到物理内存,并且将系统的控制权交给内核中处理休眠恢复的代码。这是否可以为病毒程序制作提供一些切入口呢?
内存镜像获取与分析 :通过一定的方式获取了内存镜像之后(无论从硬件方面获取或者是从软件方面获取,详细信息参见此书第 3 章 Windows 内存分析),接下来的工作就是如何分析之,并从中获取有用的消息了,一些专业的信息就不一一列举了,具体信息参见此书第 3 章 Windows 内存分析。从书中可以知道,通过内存分析至少可以获取到内存中的进程相关信息,包括进程 ID ( PID ),父进程 ID ( PPID ),进程创建时间,进程可执行文件的路径以及创建进程时的参数,操作系统类型,被内核模式 rootkit 隐藏的进程等。除此之外还有一定的可能性从内存镜像中找到一些类似口令,电子邮件地址, URL 记录,即时聊天记录等信息。而且如果微软可以合作的话一定可以获取更多有用的信息(毕竟最了解 Windows 的还是制作它的人),什么情况下微软会合作呢,由于这属于 Windows 系统的机密信息,也许得靠 FBI 之类的组织交涉才可以吧。
注册表 :注册表是一个中央分层的数据库,负责管理应用程序、硬件设备和用户的各种配置设定。(具体信息参见 http://support.microsoft.com/kb/256986)
每个配置单元的存储位置如下
---------------------------------------------------------------------------------------------------------------------------------
注册表路径 文件路径
---------------------------------------------------------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE/System %WINDIR%/system32/config/System
HKEY_LOCAL_MACHINE/SAM %WINDIR%/system32/config/SAM
HKEY_LOCAL_MACHINE/Security %WINDIR%/system32/config/Security
HKEY_LOCAL_MACHINE/Software %WINDIR%/system32/config/Software
HKEY_LOCAL_MACHINE/Hardware 可变配置单元
HKEY_LOCAL_MACHINE/System/Clone 可变配置单元
HKEY_USERS/User SID Documents and Settings/User/NTUSER.dat;
Vista 下目录变为“ User/user ”
HKEY_USERS/.Default %WINDIR%/system32/config/default
---------------------------------------------------------------------------------------------------------------------------------
可以看出有几个注册表路径在硬盘上并不存在相对应的文件,这些配置单元是在系统启动过程中创建的,系统关机后就不复存在。
注册表支持多种数据类型,用于相同目的注册表键可能有不同的数据类型,因此在对注册表进行查找时就可能遇到问题。例如一个程序把它最近访问的文件列表储存为 ASCII 字符串类型,而另一个程序就可能存储为 unicode 字符串类型,这就意味着如果搜索 ASCII 字符就会漏掉 unicode 字符。注册表编辑器的查找工具只能用于查找 ASCII 字符(详细信息参见 http://support.microsoft.com/default.aspx?scid=kb;en-us;161678)。
注册表键有几个和自身相关的特性,其中之一就是 LastWrite 时间,即键值的最后修改时间。这对于一些系统服务的判断非常有用。
审计策略 : Windows 的审计策略在注册表中也有相关设置,包括审计系统时间,审计登录事件,审计对象访问,审计特权使用,审计过程跟踪,审计策略更改,审计账户管理,审计目录服务访问,审计账户登录事件。具体信息参见原书 P97.
无线SSIDs :在活动系统上(绝大部分是笔记本), Windows XP 管理一个曾经接入过该系统的 SSIDs ( Service set identifiers )列表,此列表由下面的注册表键维护:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WZCSVC/Parameters/Interfaces/{GUID}
键中的 GUID 是无线网卡的 GUID 。在这个注册表键下有一个名为 ActiveSettings 的值,是二进制形式的,该数据包括任何曾经访问过的无线接入点 SSIDs 。从二进制数据偏移量为 0x10 位置开始的双字类型数据包含 SSIDs 的长度。 SSID 的名称紧接着这个双字。
对用户活动作出反应的注册表键值 : HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/open/command
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/batfile/shell/open/command
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/comfile/shell/open/command
此类注册表键和其他类型文件的注册表键控制该类文件( exe 文件, bat 文件, com 文件)打开时的动作。例如,在 Windows 资源管理器中,右击任何文件都会出现的快捷菜单中粗体显示的动作(一般为“打开”),表示双击文件执行的动作。双击此文件时, Windows 就会扫描注册表,查找此文件的设置并判断所采取的动作。
另一个位置位于: HKEY_CLASSES_ROOT/exefile/shell/open/command 下,还有就是打开 Word 文档时进行的动作, HKEY_CLASSES_ROOT/Word.Document.x/shell/open/command ( x 为 Word 软件的版本号)。
还有就是命令行处理器( cmd.exe )运行时所运行的软件会在 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Command Processor/AutoRun 下, HKEY_CURRENT_USER 下也有同样的值,且优先级高于 HKEY_LOCAL_MACHINE 下的项目。
在 GUI 程序启动时,下面的注册表键就可将 DLL 加载到内存:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/ CurrentVersion/Windows/AppInit_DLLs
Windows 系统对特定事件的发生提供了外部报警功能,如用户登录、退出、屏幕保护启动等。这些通知事件由下述注册表键管理:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
还有一种方法就是被滥用的映像劫持了( Image File Execution Options )。具体信息请参考原书 P104 。
U 盘中的自动播放功能 :除了常见的 autorun.inf 方式自动播放,还有一种就是通过软件在 U 盘起始部分建立一个标记为 CDFS ( CD 文件系统)的小分区,因此 Windows 把这个分区识别为 CD 而不是移动设备。这意味着虽然关闭了移动存储介质的自动播放功能,由于默认 CDFS 分区的自动播放功能是打开的,同样可以自动运行程序。
UserAssist 注册表键 :在注册表中有跟踪用户活动的键值:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/UserAssist/{GUID}/Count
上述键值中的 GUID 是全局唯一标识符,一般有两个 GUID 键: 5E6AB780-7743-11CF-A12B-00AA004AE837 和 75048700-EF1F-11D0-9888-006097DEACF9 。
5E6AB780-7743-11CF-A12B-00AA004AE837 指向 Internet 工具条, 75048700-EF1F-11D0-9888-006097DEACF9 指向活动桌面。并且这两个键下的注册表项名称进行了 Rot-13 加密(即凯撒置换),可以轻易解密出来。具体的信息包含有程序运行的次数,最后运行时间等。解密后的名称大部分以 UEME_ 开始,接着是 RUNPATH (文件系统的绝对路径), RUNPIDL (控制面板程序), RUNCPL ( IE 命名空间的一部分,通常是快捷方式或者 LNK 文件)等。
MRU 列表 :即最近访问文件列表。注册表中比较出名的便是 RecentDocs 键:
/Software/Microsoft/Windows/CurrentVersion/Explorer/RecentDocs
这个键下的所有注册表项都是二进制数据类型。以数字命名的注册表项包含访问的文件名( unicode 编码格式),以及 MRU 列表 Ex 命名的注册表项包含文件访问顺序(双字)。另一个常见的 MRU 列表位于 RunMRU 键下:
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/RunMRU
此键记录了在“运行”对话框中输入的命令列表。
以下键值记录了在 IE 地址栏中输入的 URL 列表:
HKCU/Software/Microsoft/Internet Explorer/TypedURLs
以下注册表键记录通过 Windows shell 打开和另存为文件的 MRU 列表:
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/OpenSaveMRU
当用户利用网络驱动器映射向导连接到远程系统时,亦生成了 MRU 列表:
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Map Network Drive MRU
且无论用户使用网络驱动器映射向导还是 net use 命令,用户增加到系统中的卷都会出现在线面的键值下:
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2
Word 文档 : Word 文档中包含了很多用户不可见的附加信息,例如保存过去的修订,最后 10 个修改文件的作者信息。 Microsoft 提供了下面的知识库文档:
223 790:WD97 :怎样最小化 Microsoft Word 文档中的元数据
223 396:OFF :怎样最小化 Microsoft Office 文档中的元数据
223 789:XL :怎样最小化 Microsoft Excel 工作簿中的元数据
223 793:PPT97 :怎样最小化 Microsoft PowerPoint 演示文档中的元数据
290 945 :怎样最小化 Word 2002 中的元数据
825 576 :怎样最小化 Word 2003 中的元数据
图像文件 : JPEG 图像中的元数据信息依赖于创建或修改图像文件的应用。例如,数码相机拍摄的照片嵌入了图像文件交换格式( EXIF )信息,其中包括相机的厂商和型号、缩略图和音频信息。 EXifer , IrfanView 等工具可以查看,修改嵌入的元数据信息。
NTFS 分支数据流 :分支数据流( Alternate Data Stream )是 NTFS 文件系统的一个特性,即可以在 Windows 系统中创建一个合法文件,该文件不仅包含数据,还包括脚本和可执行代码,这些文件可以被创建和执行,但操作系统并没提供工具检测可执行二进制代码的存在,这一特性便可以被用来隐藏工具,并且反病毒软件默认情况下不扫描 ADS 。此外, Windows SP2 , IE 和 Outlook 会为下载的文件和附件添加一个分支数据流,在下次用户执行或者打开文件时,系统会弹出一个警告框提示文件不安全。 Lads.exe 是可以显示 ADS 信息的工具之一, ADSSpy 可以用来删除选中的 ADS。
<!-- /* Font Definitions */ @font-face {font-family:宋体; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:SimSun; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 680460288 22 0 262145 0;} @font-face {font-family:"Cambria Math"; panose-1:0 0 0 0 0 0 0 0 0 0; mso-font-charset:1; mso-generic-font-family:roman; mso-font-format:other; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:Calibri; panose-1:2 15 5 2 2 2 4 3 2 4; mso-font-charset:0; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:-520092929 1073786111 9 0 415 0;} @font-face {font-family:"/@宋体"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 680460288 22 0 262145 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:宋体; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-font-kerning:1.0pt;} a:link, span.MsoHyperlink {mso-style-priority:99; color:blue; mso-themecolor:hyperlink; text-decoration:underline; text-underline:single;} a:visited, span.MsoHyperlinkFollowed {mso-style-noshow:yes; mso-style-priority:99; color:purple; mso-themecolor:followedhyperlink; text-decoration:underline; text-underline:single;} p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph {mso-style-priority:34; mso-style-unhide:no; mso-style-qformat:yes; margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; text-indent:21.0pt; mso-char-indent-count:2.0; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:宋体; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-font-kerning:1.0pt;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi;} /* Page Definitions */ @page {mso-page-border-surround-header:no; mso-page-border-surround-footer:no;} @page Section1 {size:595.3pt 841.9pt; margin:72.0pt 90.0pt 72.0pt 90.0pt; mso-header-margin:42.55pt; mso-footer-margin:49.6pt; mso-paper-source:0; layout-grid:15.6pt;} div.Section1 {page:Section1;} /* List Definitions */ @list l0 {mso-list-id:1850563938; mso-list-type:hybrid; mso-list-template-ids:1030157100 966169946 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;} @list l0:level1 {mso-level-text:"/(%1/)"; mso-level-tab-stop:none; mso-level-number-position:left; margin-left:18.0pt; text-indent:-18.0pt;} ol {margin-bottom:0cm;} ul {margin-bottom:0cm;} -->
补充:
《 Windows 取证 ---- 企业计算机调查指南》部分摘录
Windows 2000/XP/2003 中的一些特殊目录
%SYSTEMROOT%/Downloaded Installtions :
容纳 Microsoft 安装程序( MSI )。一些程序的安装文件甚至在删除后仍然存在此处的子目录中。
%SYSTEMROOT%/Downloaded Program Files :
容纳 IE 的插件程序。如果一个特定的网站需要下载,这是一个检查是否访问了这个特定网站的潜在位置。
%SYSTEMROOT%/Driver Cache :
容纳先前 Windows 所用的特定驱动文件。这个文件的特别价值在于表明有个特定的驱动器连结果计算机。
%SYSTEMROOT%/Offline Web Pages :
显示一些被存储下来供 IE 离线浏览的 Web 页面。
SET :在 CMD 中输入 set ,则出现相关环境变量,其中 PATHEXT 是 Windows 视为可执行文件得文件扩展名清单。不寻常的扩展名可能意味着系统中有带这些扩展名的隐藏文件。
注册表的最近使用项目键 :
HKCU/Software/Microsoft/Windows/CurrentVersion/Applets/Wordpad/Recent File List :
显示最近在写字板程序中打开的文件。
HKCU/Software/Microsoft/Windows/CurrentVersion/Applets/Paint/Recent File List :
显示最近在画图程序中打开的文件。
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/RecentDocs :
在子键下按照特定扩展名列出最近资源管理器打开的文档。它和开始菜单的最近使用文档是分离的,在这里搜索给定文件或有特定扩展名的文件,可以找到最近用户打开的文件。
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/LastVisitedMRU :
显示一个特定可执行文件最近打开的文件夹(用普通对话框打开)。
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/OpenSaveMRU :
列出最近从一个普通对话框打开的文件,按扩展名分组。
HKCU/Software/Microsoft/MediaPlayer/Player/RecentFileList :
显示最近被 Media Player 打开的文件。
HKCU/Software/Microsoft/MSPaper/Recent File List :
列出最近用 Windows 图片和传真查看器打开的扩展名为 .tif 的传真或图像。
HKCU/Software/Microsoft/Office/<Version Number>/Common/OpenFind/ :
在每个微软 Office 应用程序下都将列出最近打开和保存的文件。
无线监控 : Sniffer 软件和 AirMagnet 产品都提供了这个功能,为此它们使用了定位天线和信号强度读取。只要瞄准定位天线、观察信号强度,就可以确定设备的相对位置和距离。访问 www.turnpoint.net/wireless/cantennahowto.html 可以阅读如何建立家用定位天线的指导。
打印队列文件 :在 Windows 2000/XP/2003 中,通常有两类打印文件,一类是有关打印任务信息的 SHD 文件,另一类是包括实际打印任务本身及其相关头信息的 SPL 文件(还有一种是 PRN 文件,包括原始的打印机指令,用于明确打印输出到文件的时候。直接键入“ copy filename .prn LPT1 ”命令就能打印文档类型的文件,其中 filename 是 PRN 文件的名称, LPT1 是连接打印机的端口号)。
SHD 和 SPL 文件可以从提供证据证明打印了什么、谁打印的、什么时候打印的、打印了多少份,甚至打印任务的内容。打印队列文件位于 %SYSTEMROOT%/System32/Spool/Printers 目录中,或者在打印服务器上指定的打印队列目录。
寻找打印任务信息的第一个地方就是 SHD 文件(按顺序命名,并与同样命名的 SPL 文件成对出现)。打印任务以 Unicode 格式存储。 SPL 文件格式取决于数据类型是 RAW 或者是 EMF 。 RAW 文件可以使用适当的浏览器(例如 IrFanView )直接浏览。 EMF 格式的 SPL 文件包含了一个首先要进行解析的头。该文件头包含文档名和文档大小。方法如下:
(1) 在 WinHex 中打开文件并寻找 EMF 这个字。
(2) 往回选择 41 个字节,寻找首个有效的 EMF 文件字节(通常是 01H ),并记下其位置。
(3) 选择 Edit->Define Block ,并选定上面记下的开始位置和文件结束的终止位置。
(4) 选择 Edit->Copy Block ,并选择 Into New File 。用 .emf 作为扩展名命名该文件。
(5) 用 IrFanView 中即可打开浏览。
寻找压缩文件 :因为加密文件和压缩文件都包含少量的重复信息,或者不包含。这些文件可以通过压缩或再次压缩来识别。最简单即用 WinZip 压缩,然后观察压缩率,压缩或加密文件的压缩比应小于 5% 。某些文件格式使用缺省压缩。多数常见图像格式,像 JPG 和 PNG ,已经被压缩过了,多数电影和音乐文件也是如此。同样 PDF 文件,一些可执行文件以及 DLL 文件都是已经压缩过的。
windows取证的更多相关文章
- 闲记Windows 取证艺术
是不是很好奇,别人能够在你电脑上查看你运行程序历史,文档使用痕迹,浏览器浏览历史种种历史痕迹,没错,通过简单的系统了解以及配合相对应的工具,这一切就是这么的简单,看起来很高大上的操作,其实是 ...
- ApacheCN Python 译文集 20211108 更新
Think Python 中文第二版 第一章 编程之路 第二章 变量,表达式,语句 第三章 函数 第四章 案例学习:交互设计 第五章 条件循环 第六章 有返回值的函数 第七章 迭代 第八章 字符串 第 ...
- 【干货】从windows注册表读取重要信息-----这种技能非常重要,占电子取证的70%
也就是说,当我拿着U盘启动盘,从你电脑里面拷贝了注册表的几个文件,大部分数据就已经到我手中了.一起来感受一下吧. 来源:Unit 6: Windows File Systems and Registr ...
- 详解Windows注册表分析取证
大多数都知道windows系统中有个叫注册表的东西,但却很少有人会去深入的了解它的作用以及如何对它进行操作.然而对于计算机取证人员来说注册表无疑是块巨大的宝藏.通过注册表取证人员能分析出系统发生了什么 ...
- windows下的volatility取证分析与讲解
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundat ...
- Windows 计算机取证
windows安全账号管理(SAM) Unveilling The Password Encryption Process Under Windows –a Practical Attack 上述这篇 ...
- 【电子取证:镜像仿真篇】Windows Server镜像仿真、vmdk镜像仿真
Windows Server镜像仿真.vmdk镜像仿真 时间过得真快呀!--[suy999] Windows Server镜像仿真.vmdk镜像仿真 一.qemu-img镜像转换工具 (一)raw.q ...
- windows系统安全日志取证工具
0x01 关于日志 Windows安全事件日志中详细记录了是谁在什么时候通过什么手段登录到系统或者注销了登录,通过分析该日志可以详细了解服务器的安全情况以及必要时的取证工作. 0x02 查看日志 传统 ...
- 收集入侵Windows系统的证据
随着网络的不断扩大,网络安全更加会成为人们的一个焦点,同时也成为是否能进一步投入到更深更广领域的一个基石.当然网络的安全也是一个动态的概念,世界上没有绝对安全的网络,只有相对安全的网络.相对安全环境的 ...
随机推荐
- 基于CommonsCollections4的Gadget分析
基于CommonsCollections4的Gadget分析 Author:Welkin 0x1 背景及概要 随着Java应用的推广和普及,Java安全问题越来越被人们重视,纵观近些年来的Java安全 ...
- hdu 3853 概率dp
题意:在一个R*C的迷宫里,一个人在最左上角,出口在右下角,在每个格子上,该人有几率向下,向右或者不动,求到出口的期望 现在对概率dp有了更清楚的认识了 设dp[i][j]表示(i,j)到(R,C)需 ...
- Xtreme8.0 - Play with GCD dp
Play with GCD 题目连接: https://www.hackerrank.com/contests/ieeextreme-challenges/challenges/play-with-g ...
- 2010-2011 ACM-ICPC, NEERC, Moscow Subregional Contest Problem F. Finance 模拟题
Problem F. Finance 题目连接: http://codeforces.com/gym/100714 Description The Big Boss Company (BBC) pri ...
- OpenVPN使用easy-rsa3吊销证书
cd /etc/easy-rsa ./easyrsa revoke targetkey(证书名) ./easyrsa gen-crl 其中gen-crl会生成一份吊销证书的名单,放在pki/crl.p ...
- NXP LPC18xx LPC43xx OTP ID Boot
static LPC_DEVICE_TYPE LPCtypes[] = { { , , , , , , , , , CHIP_VARIANT_NONE }, /* unknown */ // id, ...
- E3-1260L (8M Cache, 2.40 GHz) E3-1265L v2 (8M Cache, 2.50 GHz)
http://ark.intel.com/compare/52275,65728 Product Name Intel® Xeon® Processor E3-1260L (8M Ca ...
- ACE_Message_Queue和spawn实现(生产者/消费者)(V2.00)
參考这里用到了线程管理.參考:http://blog.csdn.net/calmreason/article/details/36399697 以下的两个线程共享一个消息队列,一个用来放整数到队列,一 ...
- swift笔记(二) —— 运算符
基本运算符 Swift支持大部分的标准C语言的操作符,而且做了一些改进,以帮助开发人员少犯低级错误,比方: 本该使用==的时候,少写了个=, if x == y {-} 写成了 if x = y {- ...
- C#编程(三十二)----------数组基础
数组 如果需要使用同一类型的多个对象,就可以使用数组.数组是一种数据结构,他可以包含同一类型的多个元素. 数组的声明 在声明数组时,应先定义数组中元素的类型,其后是一对方括号核一遍变量名.例如:生命一 ...