闲记Windows 取证艺术】的更多相关文章

     是不是很好奇,别人能够在你电脑上查看你运行程序历史,文档使用痕迹,浏览器浏览历史种种历史痕迹,没错,通过简单的系统了解以及配合相对应的工具,这一切就是这么的简单,看起来很高大上的操作,其实是可以通过多次操作到心中有数,下面简单举几个列子,仅是一个学习的思路,认识上存在这么个东西,如果有了好奇心,那么可以通过各大网站论坛去扩展学习. 拓展——取证基本流程  [1]确定电脑罪犯[2]收集初步证据[3]获取扣押令[4]风险评估[5]在犯罪现场扣押证据,证据编号并安全锁定[6]将证据文件送往鉴…
工具网站 : http://www.ntsecurity.nu/toolbox/ 命令行历史 :命令行模式 CMD 中使 doskey /history 命令可以显示前面输入的命令情况(例如使用 cls 命令清屏之后可以用此察看之前的命令),但是如果是关闭 CMD 之后运行则无法查到关闭之前输入的命令. 共享 :在系统注册表的 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Shares (针对 Windows…
Windows下的Nodejs npm路径是appdata,担心安装的node_modules越来越多,导致C盘满,所以参考别人的博文,将node_modules安装的默认目录修改一下. 参考Windows 系统下设置Nodejs NPM全局路径的介绍. 修改nodejs的安装目录中找到node_modules\npm.npmrc文件,修改为: #prefix=${APPDATA}\npm prefix=D:\tools\node_global cache=D:\tools\node_globa…
记初次接触socket编程,在devC++使用Winsock进行socket编程的一个过程,通过在devC++创建2个项目分别是server.client程序项目,感受通过socket使client与server的一次通讯. 1.新建项目与往常不同,不单单是需要创建一个C文件,更是要在连接库中添加 libws2_32 在项目管理中的属性配置连接库,然后在项目中新建server.c 面向连接的C/S程序工作流程(TCP) 使用WSAStartup()函数检查系统协议栈安装情况 使用socket()…
bug Windows有一个bug,持续了十多年,从Windows Visita开始(2007年),一直存在,直到Windows11(2021年)才修复(其实也不叫修复,后面我再具体说),而Windows10还能重现这个bug,即便把系统更新到最新(2022年10月5日). 这个bug用语言来描述就是:使用Windows Explorer(资源管理器)的树形结构初次展开目录时,滚动条会发生不正确的滚动,使得展开的节点贴近了窗口底部的位置,而不是处于我们期待的顶部位置. 有些难懂?我录了一个视频来…
这两天一直在做网页没有什么太大的问题,期间也考了一场试,对答案的时候老师讲了一些小知识,因此来记录一下. 单元格与单元格之间的边距(cellspaling) list-type-image可以使用图像代替列表项标记. font-size: 字体属性都是font开头,除了颜色属性. text-align: 文本属性都是text开的,除了设置行高.…
1.概述 最近因项目需要统计服务的负载情况及机器的负载情况,但是项目里面却没有相关统计而服务所在的机器也没有相关的监控,因为工期原因就选择了相对轻量级的prometheus方案.其中windows_exporter用来采集机器的负载情况,如CPU.内存.磁盘io.网络等基础信息,使用mtail来采集应用日志统计服务情况(需要业务系统有基础的日志,如请求发起,是否正常结束等,或者通过nginx等中间件的日志来统计也行),如QPS.TPS.请求数.成功率.异常率等,使用prometheus来统计分析…
在工作中第一次经历被攻击,我是一个前端,同时复负责维护一个已上线的项目,在最近一段时间小程序与后台经常出现这个报错, 搜了下说我的从机是只读模式,不能写入,问了同事得知这个项目是单机模式,根本不存在从机.前几次没管他,重启redis就好了,后面越来越频繁.然后去查看了Redis日志,发现经常莫名其妙的连接一些没见过的ip, 一查发现这些ip都是国外的,意识到是不是被攻击了,恰好我没有设置主从集群,所以报错了. 尝试解决: 然后我看了下redis没有密码,尝试给它加上密码,过了几个小时,又报错,失…
上一篇文章中我们对于固件进行了简单的分析,这一篇我们将会补充一些Vxworks的知识,同时继续升入研究固件内容. 由于涉及到操作系统的内容,建议大家在阅读本篇前有一定操作系统知识的基础,或者是阅读我的<Windows调试艺术>的文章简单了解诸如线程.中断.驱动等的知识. 本篇为工控安全入门(五)—— plc逆向初探的延伸. 什么是 Vxworks Vxworks操作系统是由美国Wind River System 公司开发的一套实时操作系统,Vxworks比起linux,有更好的实时性和可裁切性…
之前我们学习了包括modbus.S7comm.DNP3等等工控领域的常用协议,从这篇开始,我们一步步开始,学习如何逆向真实的plc固件. 用到的固件为https://github.com/ameng929/NOE77101_Firmware 目前网上几篇对于该固件的分析都是以2018工控安全题目解题为主,并没有相应的知识和说明,这次我们不会做题目方面的说明,而是重点关注如何从零开始逆向固件. 本系列涉及到vxworks操作系统.PowerPC CPU架构的汇编语言.Ghrida的反编译问题,网上…