1 |
|
数据取证
内存取证
1 |
|
1 |
|
KeePass密码数据库管理
1 |
|
从sam/security/system文件提取密码
使用reg命令将sam、system和security文件导出
1 |
|
1 |
|
- mimikatz:以管理员身份运行
1 |
|
Firefox密码取证
根据C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\xx.default-release
目录下的key4.db
和
logins.json
文件,利用firepwd。
1 |
|
磁盘取证
FTK-Imager,加载磁盘文件vmdk、e01,File->Image Mounting
BitLocker/TrueCrypt加密磁盘
Elcomsoft Forensic Disk Decryptor,Extract keys从内存中导出key文件,再Decrypt or mount disk->Image file of disk。
Windows删除文件恢复
Winhex恢复
Tools->Open Disk
右键$MFT->Open,ctrl+F查找文件名(编码选Unicode)
c0941800 46 49 4C 45 30 00 03 00 09 0C 27 BA 0D 00 00 00
c0941810 10 00 00 00 38 00 01 <-偏移0x16,01表示正常文件,00表示文件已删除
...
c0941940 80 00 00 00 48 00 00 00 <-80数据属性标识
c0941950 01 <-偏移0x8,01表示后面保存真实数据存储位置,00表示直接保存真实数据
...
c0941970 00 0A 00 00 00 00 00 00 <-偏移0x30文件大小,0xA00
c0941980 31 01 A9 A2 46 00 00 00 <-偏移0x40,值31,低位1表示后面1位是簇数(01),高位3,表示后面3位是簇号开始位置0x46A2A9
ctrl+G,cluster=4629161(0x46A2A9的十进制),转到目标位置,右键选择Beginning of block;alt+G,New position填A00(文件大小),relative to选current position,转到目标位置,右键选择End of block
右键->Edit->Copy Block->Into New File,导出到文件
经测试,被删除文件的文件记录会很快被别的新建文件覆盖。如果在MFT中无法找到文件记录,需要通过文件内容中的特征字段直接查找。
手机备份文件恢复
Huawei备份文件解密
将备份文件夹下所有文件还原出来,再解密。(sample:内存分析-longjiancup-2021)
1 |
|
邮件文件恢复
pst文件恢复
SysTools Outlook PST Viewer(sample:丢失的邮件,gdqwb-2021),打开文件时勾选:Advance scan选项。
RAID重组
Rstudio重组
Drive->Open Image(选定所有镜像文件)->Create Virtual RAID->Create Virtual Block RAID,出现多个顺序时,依次试验,找一个大于4条带大小的文件打开,能打开就说明重组成功。右键Virtual RAID 1,选择创建镜像。