Описание тега forensics
1
ответ
Найти строковый пакет в расшифрованных данных с помощью wireshark/tshark
Я анализирую захват зашифрованного трафика с Wireshark. Я расшифровал трафик с помощью правильной парольной фразы в Wireshark, и я могу видеть расшифрованные данные каждого кадра. Дело в том, что если я ищу пакет с определенной строкой, я не могу ег…
03 окт '18 в 11:42
1
ответ
Ext4 судебно-медицинский анализ
Я делаю тезис о криминалистическом анализе и хотел бы отформатировать диск с файловой системой ext4, не обнуляя его, чтобы проанализировать возможность восстановления удаленных файлов. Это проблема, потому что mkfs.ext4 не имеет параметра, чтобы изб…
18 апр '12 в 08:06
1
ответ
Восстановление изображений с отформатированного жесткого диска HFS+
Можно ли восстановить изображения JPEG с помощью сканирования низкого уровня жесткого диска? Жесткий диск, который мы изначально отформатировали в HFS+, и с тех пор был переформатирован. OS X также была переустановлена.
21 май '12 в 21:08
0
ответов
Почему журналы UAC не сохраняются в Event Viewer?
В средстве просмотра событий в разделе "Журналы приложений и служб" журналы UAC не сохраняются. Как мне их включить? Может ли групповая политика домена / подразделения отключить их? Если да, то где я могу увидеть, что это отключено групповой политик…
24 апр '15 в 18:13
1
ответ
Дата создания метки даты в папке C:\Windows\ старше, чем "первоначальная дата установки" ОС Windows 7, почему?
Дата создания моей папки C:\Windows\ на компьютере с Windows 7 - "14 июля 2009 г., 08:07:05", однако "дата первоначальной установки" получена из команды "systeminfo" в cmd "27-6-2013, 11.33.15". В чем может быть причина? Кроме того, многие системные…
01 апр '19 в 18:42
1
ответ
Является ли SSD безопаснее жесткого диска с точки зрения данных, которые не были украдены?
С жесткими дисками, даже после того, как вы удалили его содержимое навсегда (а не просто переместили его в мусорную корзину), существует особый магнитный метод, который можно использовать для восстановления данных. С точки зрения кражи данных после …
22 апр '14 в 10:58
0
ответов
Как я могу узнать, какие блоки / секторы были записаны в последний раз на томе NTFS?
Есть ли инструмент, который позволил бы мне определить, какие блоки данных были в последний раз (последние) записаны в том NTFS? Возможно, файл $ Journal тома NTFS может содержать информацию, которую можно извлечь или проанализировать / интерпретиро…
10 мар '12 в 14:14
1
ответ
Как я могу сказать, что мой ноутбук был испорчен?
У меня просто есть ноутбук с местным обслуживающим персоналом, но дело в том, что я живу в плохом районе. Я взял резервную копию, прежде чем дать его. Но как я смогу сказать, если они поменяли какие-то детали на другие, более дешевые, и тому подобно…
21 июн '16 в 15:24
0
ответов
Ошибка дампа памяти в Ubuntu 18.04 на слишком большом /proc/kcore/
Есть две замечательные статьи о том, как собрать память в Linux с помощью linpmem: SANS holdmybeersecurity Пытаясь использовать подход holdmybeersecurity, я столкнулся со следующей проблемой, которая представляется более общей: wget https://github.c…
12 дек '18 в 11:57
1
ответ
Удаляются ли ключи Bitlocker из физической памяти после выключения?
Утверждается, что Passware Kit Forensic может восстанавливать пароли или ключи дисков, зашифрованные Bitlocker. Для этого требуется образ зашифрованного диска плюс так называемый образ физической памяти целевого компьютера. Я потерял пароль моего ди…
27 мар '14 в 23:10
0
ответов
Fdisk не распознает файловую систему Macbook
Мне нужно отразить MacBook, который функционировал должным образом. Но когда я запустил fdisk -l, я получил это: Disk /dev/sda: 113 GiB, 121332826112 bytes, 236978176 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 …
01 мар '19 в 17:39
2
ответа
Существует ли утилита Windows для удаления содержимого оперативной памяти, оставленной приложением?
В идеале, эта утилита должна знать, где находится физическая память RAM, и полностью очищать ее содержимое, когда оно закрыто. Кто-нибудь знает о такой утилите?
09 мар '13 в 23:56
1
ответ
Расположение журналов событий в Windows
Я обнаружил, что Windows регистрирует каждое событие, такое как вход / выход из системы, история USB-подключения и т. Д. Все это можно просмотреть в средстве просмотра событий. Но мой вопрос: где в файловой системе находятся файлы журнала событий, р…
02 дек '14 в 07:19
2
ответа
Восстановление файлов без подписи (магические числа)
Можно ли восстановить файл из образа диска (образ dd), если верхний / нижний колонтитул файла, подпись были изменены / изменены или удалены? Я имею в виду, например, была ли удалена или изменена подпись растрового изображения (0x42 0x4d) или даже пе…
18 апр '15 в 22:25
1
ответ
Сырье для чтения USB-накопитель или SCSI
На жестком диске USB жены есть небольшая проблема, когда папка отказывается открываться (файловая система NTFS). Я смог создать образ диска с Linux, но для одного сектора (сектора 4096 байт). Чтение этого сектора не удается: sudo dd if = /dev/sdb of…
12 май '15 в 21:16
0
ответов
Есть ли в Windows 7 ключ реестра для подсчета количества выключений?
Работая над заданием в колледже, вы должны посмотреть, сколько раз машина выключалась. Хотя я знаю, что это можно извлечь из журнала событий, назначение полностью основано на анализе реестра / судебной экспертизе. Кто-нибудь может посоветовать, есть…
09 мар '19 в 15:08
0
ответов
Анализ файла подкачки
У меня есть следующая проблема: у меня есть .memdump.swp~ файл. Я попытался восстановить файл.memdump с помощью vim -r .memdump а также пытался использовать vim -r .memdump.swp, Оба не принесли успеха. Есть ли способ, которым я могу проанализировать…
28 мар '19 в 15:01
1
ответ
Вытирая жесткий диск, оставляя сообщение позади
Я хотел знать, есть ли способ стереть жесткий диск, чтобы, если кто-то попытался восстановить данные, его приветствовало сообщение, которое выбирает очиститель. Например, в этом видео стеклоочиститель протер диск таким образом, что криминалисты выде…
14 фев '16 в 14:41
0
ответов
Редактирование оперативной памяти в реальном времени
Можно ли редактировать оперативную память в реальном времени с помощью hexdump или любой другой программы? Как? Я прочитал здесь http://linuxpoison.blogspot.pt/2011/04/how-to-read-content-from-ram-random.html что я могу видеть содержимое оперативной…
14 фев '16 в 15:26
3
ответа
Linux сервер просто как RAMdisk
Я хочу установить анти-криминалистический сервер Linux для защиты моих пользователей. Моя цель - сделать так, чтобы дистрибутив Linux и все внутри него работали из оперативной памяти, и никогда не хранили что-либо постоянно. Вполне возможно, что в к…
19 май '16 в 13:05