Описание тега computer-forensics
Изучение цифровых носителей криминалистически обоснованным образом с целью выявления, сохранения, восстановления, анализа и представления фактов и мнений об информации.
0
ответов
Когда NTFS ReparsePoint не является ReparsePoint?
При тестировании программного обеспечения для резервного копирования и восстановления я столкнулся со следующим аномальным обстоятельством: после полной инвентаризации файлов и папок у меня появилось несколько файлов, которые утверждают, что Archive…
24 окт '16 в 21:41
1
ответ
Что не так с этим простым кодом Matlab?
У меня есть сегментированное изображение "а" подписи, сделанное цветной ручкой. Фон чисто белый. Мне нужно вычислить сумму компонентов rgb пикселей переднего плана и общее количество пикселей, которые составляют передний план. Вот мой код r=a(:,:,1)…
05 июн '14 в 13:47
0
ответов
Разработать плагин для волатильности, который в основном ищет дампы памяти, чтобы найти конкретный объект
Как я могу разработать плагин для волатильности, который в основном ищет дампы памяти, чтобы найти конкретный объект (структуру, запись) из struct, работающей на C++, используя формат vtype?
11 мар '17 в 20:02
0
ответов
Android судебно-медицинская экспертиза с LiME
Я пытаюсь собрать и использовать инструмент криминалистики LiME для Android. Следуя инструкциям на http://thelulzkittens.blogspot.com.br/2013/01/pulling-memory-off-android-device.html, я настроил среду, загрузил исходный код ядра и вытащил файл конф…
04 сен '17 в 06:59
2
ответа
Интерпретация временных меток IE9 ltime & htime localStorage
Вот пример XML-файла из файла IE9 localStorage: <root> <item name="1264474612:page_insights:latestversion" value="6" ltime="1024039440" htime="30244985" /> </root> Я пытаюсь понять, как интерпретировать такие записи, включая значен…
19 окт '12 в 19:54
3
ответа
Используйте DD для рекурсивной записи определенного файла
У меня есть жесткий диск, который я хочу перезаписать, но не с нулевыми байтами, а с сообщением. 48 69 64 64 65 6e 20 = "Скрытый" Вот моя команда до сих пор: echo "Hidden " > /myfile dd if=/myfile of=/dev/sdb bs=1M Примечание: я также попробовал …
21 дек '13 в 00:59
0
ответов
Зачем нам нужен userassist, если у нас уже есть предварительная выборка?
Я знаю назначение обеих функций, но я точно не знаю разницу между ними и каковы недостатки и преимущества обеих функций... Спасибо!
09 окт '18 в 16:25
2
ответа
Что должно быть включено в пакетный скрипт для приобретения IoC для ПК с Windows?
Я хочу охотиться за показателями компромисса (IoC) на потенциально зараженном ПК с Windows. Я пишу пакетный скрипт, который бы записывал информацию, необходимую для анализа. Включает следующие команды CMD: time /T date /T whoami systeminfo net user …
12 авг '15 в 09:31
2
ответа
Как Opera Turbo сжимает данные (кеш)?
У меня браузер Opera с включенным Opera Turbo. Это прокси, который сжимает HTML в меньший формат. У меня есть файл из кеша оперы, который был сжат турбо от 2000 кб до 500 кб. Как я могу распаковать этот файл в читаемую форму (исходный файл почти не …
31 июл '11 в 16:02
5
ответов
Можно ли использовать Regex через Hexadecimal, чтобы найти адреса электронной почты
Не уверен, что это вообще возможно, но я искал использование Regex, чтобы получить адрес электронной почты в шестнадцатеричном формате. По сути, это создание некоторых из моих автоматизированных инструментов судебной экспертизы, но у меня возникают …
02 ноя '12 в 22:37
1
ответ
Как я могу предотвратить восстановление удаленных файлов?
Если удаленные файлы, рассмотрите следующий код.Может, кто-нибудь может восстановить эти удаленные файлы?Если да, как я могу предотвратить эту операцию?Заранее спасибо! File file = new File(input.nextLine()); for (File f : file.listFiles()) { f.dele…
30 июл '18 в 08:21
0
ответов
Как узнать, какая версия Android выдает системный образ?
У меня есть все файлы и каталоги с мертвого устройства Android. У меня нет больше информации об устройстве, кроме того, что было на внутреннем диске во время его смерти. Какой файл будет указывать, на какой ОС работало ныне мертвое устройство в моме…
14 окт '15 в 18:01
1
ответ
Python 2.7 и PrettyTables
Я пытаюсь заставить PrettyTables работать со следующим скриптом. Я могу заставить его выглядеть почти правильно, но он продолжает разделять мои таблицы, поэтому он печатает 16 отдельных таблиц. Мне нужна вся информация в одной таблице, которую я мог…
17 июн '18 в 20:37
0
ответов
Поддержка руки для волатильности
У меня есть несколько дампов памяти ARM, которые мне нужно проанализировать, и я хотел использовать волатильность. После просмотра кода кажется, что ARM еще не поддерживается. В настоящее время я думаю о реализации поддержки волатильности ARM. https…
26 авг '18 в 17:14
1
ответ
Как прочитать строковое значение из файла базы данных ESE, используя API ESE CPP?
Я анализирую файл базы данных ESE, т.е. WebCacheV01.dat. Это файл, в котором IE 10 начал хранить всю историю просмотров и другую информацию. Я использую JET Blue CPP API для анализа этого файла. Я могу прочитать любое значение столбца типа integer и…
17 фев '15 в 09:19
0
ответов
Не удается извлечь файл контейнера TrueCrypt с помощью волатильности, но другие файлы извлекаются без проблем?
Итак, у меня есть файл внутри дампа памяти, используя volatility и truecryptsummary, я нашел имя файла.tc, и он также был в кэшированных файлах Windows внутри памяти (с помощью filescan я нашел его) теперь внутри этого контейнера.tc есть файл.txt пр…
19 дек '18 в 06:48
0
ответов
Есть ли какой-нибудь Android удаленный файл журнала?
Я должен сообщить обо всех удаленных файлах, включенных за определенный промежуток времени. Итак, мой вопрос: есть ли запись всех удаленных пользователем файлов? Я искал в Интернете, но без результатов.
28 ноя '18 в 13:50
0
ответов
Извлечение имен пользователей из зашифрованного образа диска FileVault 2
Я работаю над битстримом (dd) образы дисков с MacBook (Mac OS X 10.11.6), зашифрованные с помощью File Vault 2. У меня нет пароля, пароля или ключа восстановления для разблокировки диска, но я не заинтересован в разблокировке / расшифровке диска. Мн…
05 фев '19 в 13:55
0
ответов
WAL данные истории Firefox
Где Firefox хранит удаленные элементы? Итак, если Firefox открылся, WAL-файл был создан, и если Firefox закрыл, файл был удален, и где находится удаленный файл wal, так что я могу попытаться восстановить этот файл? Hope u understand :) С наилучшими …
13 фев '19 в 23:02
1
ответ
Rekall Foremic Framwork: Не удалось построить колесо для readline
Во время установки последней версии фреймворка Google Rekall Forensic на этапе установки "rekall-agent" говорится: "Не удалось создать колесо для readline" Я устанавливаю его на Kali Linux(2016-02). Версия Python по умолчанию - 2.7.12. на этапе уста…
23 ноя '17 в 08:13