工具网站 : http://www.ntsecurity.nu/toolbox/ 命令行历史 :命令行模式 CMD 中使 doskey /history 命令可以显示前面输入的命令情况(例如使用 cls 命令清屏之后可以用此察看之前的命令),但是如果是关闭 CMD 之后运行则无法查到关闭之前输入的命令. 共享 :在系统注册表的 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Shares (针对 Windows…

     是不是很好奇,别人能够在你电脑上查看你运行程序历史,文档使用痕迹,浏览器浏览历史种种历史痕迹,没错,通过简单的系统了解以及配合相对应的工具,这一切就是这么的简单,看起来很高大上的操作,其实是可以通过多次操作到心中有数,下面简单举几个列子,仅是一个学习的思路,认识上存在这么个东西,如果有了好奇心,那么可以通过各大网站论坛去扩展学习. 拓展——取证基本流程  [1]确定电脑罪犯[2]收集初步证据[3]获取扣押令[4]风险评估[5]在犯罪现场扣押证据,证据编号并安全锁定[6]将证据文件送往鉴…

Think Python 中文第二版 第一章 编程之路 第二章 变量,表达式,语句 第三章 函数 第四章 案例学习:交互设计 第五章 条件循环 第六章 有返回值的函数 第七章 迭代 第八章 字符串 第九章 案例学习:单词游戏 第十章 列表 第十一章 字典 第十二章 元组 第十三章 案例学习:数据结构的选择 第十四章 文件 第十五章 类和对象 第十六章 类和函数 第十七章 类和方法 第十八章 继承 第十九章 更多功能 笨办法学 Python · 续 中文版 引言 第一部分:预备知识 练习 0:起步…

也就是说,当我拿着U盘启动盘,从你电脑里面拷贝了注册表的几个文件,大部分数据就已经到我手中了.一起来感受一下吧. 来源:Unit 6: Windows File Systems and Registry 6.1 Windows File Systems and Registry Windows Registry 使用工具:Access Data Registry Viewer的演示版(demo version) 查看注册表hives, SAM, System, 和ntuser.net文件 注册表…

大多数都知道windows系统中有个叫注册表的东西,但却很少有人会去深入的了解它的作用以及如何对它进行操作.然而对于计算机取证人员来说注册表无疑是块巨大的宝藏.通过注册表取证人员能分析出系统发生了什么,发生的时间以及如何发生的等.在本文中我将为大家详细介绍Windows注册表的工作原理,以及如何对收集用户留下的各类指纹信息. 什么是注册表? 注册表是用于存储Windows系统用户,硬件和软件的存储配置信息的数据库.虽然注册表是为了配置系统而设计的,但它可以跟踪用户的活动,连接到系统的设备,什么时…

volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volati…

windows安全账号管理(SAM) Unveilling The Password Encryption Process Under Windows –a Practical Attack 上述这篇论文提到了注册表: HKEY_LOCAL_MACHINE\SAM\SAM\Domains的两个子键: 1. Account subkey: Administrator andGuest ;2. BuiltIn subkey: operating system users defined by def…

Windows Server镜像仿真.vmdk镜像仿真 时间过得真快呀!--[suy999] Windows Server镜像仿真.vmdk镜像仿真 一.qemu-img镜像转换工具 (一)raw.qcow2等镜像装换为vmdk 1.RAW镜像转换命令 二.VMware新建虚拟机 1.新建虚拟机 2.固件类型->"BIOS"*"注意一"!!! 3.处理器.内存及其它配置 4.磁盘类型->"IDE"*"注意二"!!!…

0x01 关于日志 Windows安全事件日志中详细记录了是谁在什么时候通过什么手段登录到系统或者注销了登录,通过分析该日志可以详细了解服务器的安全情况以及必要时的取证工作. 0x02 查看日志 传统的查看Windows安全日志方法是通过系统自带的“事件查看器” 操作方法如下: 1.右键“我的电脑”,选择管理,打开“事件查看器”: 或者按下Windows键+R的组合键,在运行窗口中输入“eventvwr.msc”直接打开“事件查看器”. 使用该工具可以看到系统日志被分为了两大类:Windows日…

随着网络的不断扩大,网络安全更加会成为人们的一个焦点,同时也成为是否能进一步投入到更深更广领域的一个基石.当然网络的安全也是一个动态的概念,世界上没有绝对安全的网络,只有相对安全的网络.相对安全环境的取得可以通过不断地完善系统程序(及时给系统漏洞打上不同的补丁和给系统升级).装上防火墙,同时对那些胆敢在网络上破坏秩序做出不义行为的人给予恰如其分的处理.这必然要牵涉到证据的收集,本文正是对这一方面的内容针对Windows系统进行研究. 一.Windows系统特性 Windows操作系统维护三个相互…