Новые вопросы с тегом «forensics»

Вход: RAW / DD Изображение жесткого диска. fdisk -lпоказывает разделы sudo fdisk -l image.dd Disk image.dd: 15 GiB, 16106127360 bytes, 31457280 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Diskl...

Я анализирую захват зашифрованного трафика с Wireshark. Я расшифровал трафик с помощью правильной ключевой фразы в Wireshark, и я могу видеть расшифрованные данные каждого кадра. Дело в том, что если я ищу пакет с определенной строкой, я не могу его найти. Хотя у меня есть уверенность, что строка ра...

У меня есть внешний жесткий диск Intenso® USB емкостью 1 ТБ, который перестал работать после небольшой аварии на корпусе. Когда я подключаю его к любому компьютеру, загорается индикатор, и он издает шум (вы чувствуете, что диск работает), но объем больше не определяется. В GNU / Linux dmesgотображае...

У меня установлена ​​виртуальная машина Windows с использованием qemu. Я хочу знать, как я могу вывести всю оперативную память гостевой системы из хост-системы, как bin2dmp в Windows. Я читал здесь, что это возможно, но не могу узнать, как это сделать. Так что любая помощь с этим будет оценена.

Я смотрю на выгруженные файлы компьютера с Windows XP. У меня нет доступа к реестру, просто все файлы с самого компьютера. Я хочу выяснить, в какую дату была установлена ​​операционная система, но большинство онлайн-ответов говорят, что нужно либо заглянуть в Реестр, либо использовать systeminfoкома...

В инструментах восстановления данных, таких как IsBuster, есть список удаленных файлов в файловых системах FAT, который отображается мгновенно без необходимости сканирования, даже более старые имена файлов / каталогов после переименования и полные имена файлов без ? Ilename (отсутствует первая буква...

Мне интересно, можно ли определить, когда HDD форматируется? Он был создан с помощью GParted из live linux. Ранее Windows была установлена, а файловая система была NTFS. Спасибо

У меня возникла ситуация, когда очень чувствительный фрагмент данных был скопирован и вставлен с одной веб-страницы на другую. Несколько других вещей были затем скопированы / вставлены, а затем компьютер остался без дела. Мне нужно вытащить информацию, которая была скопирована и вставлена, но Window...

У меня есть компьютер, на котором окна решили не работать сегодня (все, кто читает это, перестают давать деньги Microsoft). На нем был диск с файлами C: и windows ( /dev/sdb). И у него был E: диск ( /dev/sda, /dev/sdc), который был Windows-программным рейдом 1 с файлами, которые мне тоже нужно получ...

Я провожу судебное расследование на образе жесткого диска системы Windows 7. До сих пор я прошел реестр Windows и нашел эти ключи: F:\[root]\Windows\System32\config\SOFTWARE: Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall (Contains some of the installed programs but nothing about installati...

У меня есть большой файл объемом 92,5 ГБ без расширения файла внутри C://раздела под названием «Свободное пространство» и еще один родной по 260 КБ. Интересно, смогу ли я определить это расширение файла или, возможно, его источник - старая резервная копия. Есть ли способ идентифицировать содержимое...

В криминалистике я узнал, что вы можете развернуть агент на удаленном компьютере и получить от него точную копию удаленного жесткого диска, включая нераспределенное пространство и раздел подкачки, даже когда он используется. Эта копия отправляется агентом на ваш компьютер через Интернет, а затем вы...

У меня есть hex dumpкак 1f8b 0800 3416 1259 0003 edcf 310e c230 0c85 61cf 9c22 1708 b2d3 909e a7a2 5d90 1028 7581 e353 d401 2660 a910 d2ff 2d6f f01b 9ec7 615f 07df facd 6535 3a2b 253f d2da 9dbe e622 9958 639a b3a5 3615 51b3 648d 045d 6fd2 d334 7a57 4390 fed2 bfed 7dba ffa9 c3fc 7ff4 53bc 76f5 18a7 7...

Я нашел ответ для журналов менеджера пакетов Debian, который может показать вам, когда и в каком порядке пакеты были установлены или обновлены из Bash. Есть ли какой-нибудь эквивалент в Windows 10, такой как использование журналов событий, чтобы узнать, какие программы были установлены и когда?

Я прошу несколько советов о возможности восстановления предыдущих данных после нескольких установок форматов и ОС, потому что были некоторые важные данные, которые мне нужно было сохранить, но перед форматированием я их забыл. Давайте прямо скажем, и я опишу мою текущую ситуацию. Около месяца назад...

Я следую инструкциям по адресу: Harddrive - уничтожить «скрытые области», такие как HPA и DCO, также после заражения вредоносным ПО Последние несколько дней я исследовал скрытые области жесткого диска и экспериментировал с ними в Linux. Меня заинтересовали две темы: « Защищенная область хоста» и «...

У меня просто есть ноутбук для местных служащих, но дело в том, что я живу в плохом районе. Я сделал резервную копию, прежде чем дать его. Но как я смогу сказать, если они поменяли какие-то детали на другие, более дешевые, и тому подобное? Мой ноутбук работает под управлением Ubuntu 16.04 и Windows...

Я хочу настроить анти-криминалистический сервер Linux для защиты моих пользователей. Моя цель - сделать так, чтобы дистрибутив Linux и все внутри него работали из оперативной памяти, и никогда не хранили ничего постоянно. Вполне возможно, что в конечном итоге мне потребуется сохранить выбранные объе...

Недавно я имел дело с некоторыми компьютерами, зараженными вымогателями, с зашифрованными пользовательскими файлами. Моя работа заключалась в том, чтобы либо расшифровать эти файлы (если это возможно), либо восстановить как можно больше используемых файлов. Это включало также удаление файлов из обра...

Я пытаюсь работать со сторонней поддержкой над финансовой программой Mercury. Программа сообщает, что она успешно распечатала отчет через «планировщик», но никогда ничего не печатает физически. Это работало около года назад, но не с тех пор. Он обращается к принтеру в запутанном виде, что даже персо...

Я юрист, проходящий курсы по цифровой криминалистике, а также совершенно новый для Ubuntu (и Linux в целом). Я установил SIFT Workstation v3 на мою установку Ubuntu 14.04, используя bash: wget --quiet -O - https://raw.github.com/sans-dfir/sift-bootstrap/master /bootstrap.sh | sudo bash -s - -i -s -...

Для создания образа диска Encase (E01) жесткого диска емкостью 4 ТБ я использую инструмент судебной визуализации диска. 3.19TB места фактически используется на этом диске. Размер результирующего образа диска составляет 2,82 ТБ. Параметры сжатия не использовались, так почему образ диска меньше исполь...

Можно ли редактировать оперативную память в реальном времени с помощью hexdump или любой другой программы? Как? Я прочитал здесь http://linuxpoison.blogspot.pt/2011/04/how-to-read-content-from-ram-random.html, что я могу видеть содержимое оперативной памяти, но не объясняет, как редактировать их или...

Я хотел знать, есть ли способ стереть жесткий диск, чтобы, если кто-то попытался восстановить данные, его приветствовало сообщение, которое выберет очиститель. Например, в этом видео стеклоочиститель протер диск таким образом, что криминалисты выделили оскорбительную фразу. Кроме того, из того, что...

Возможно ли получить информацию, такую ​​как идентификатор процесса, тип процесса, физический и виртуальный адрес, из дампа памяти в Windows 10?

Я учусь использовать Tshark. Я пытаюсь получить список всех разговоров между двумя IP-адресами, используя Tshark. Два IP-адреса: 192.168.1.158 | 64.12.24.50 В Wireshark я могу видеть связь между IP В командной строке я ввожу следующую команду: tshark -r mypcap.pcap -T fields -e ip.src == 192.168.1...

Редактировать: удалено, потому что я ошибся, указав исходную ситуацию / сценарий. Даты «жесткого диска» не изменились ... Я ошибочно смотрел на дочерний «том» «Псевдоним», который всегда меняется при каждой загрузке. Извини !

Я новичок в терминале Linux OS (например, Kali Linux). Посоветуйте пожалуйста что 1) во встроенных программах (например, Syslog ...), 2) Команды в Терминале (например, ls, ps, md5sum, ...) можно использовать для проверки изменений в Live OS (начиная с загрузки с диска)? IE проверяет целостность. Я...

На жестком диске USB жены есть небольшая проблема, когда папка отказывается открываться (файловая система NTFS). Я смог создать образ диска с Linux, но для одного сектора (сектора 4096 байт). Чтение этого сектора не удается: sudo dd if = / dev / sdb of = пропуск блока = 21647245 bs = 4096 count = 1...

Я делаю судебный анализ машины Windows, которая имеет несколько локальных учетных записей, но имеет контроллер домена или активную учетную запись каталога. Я могу анализировать файлы пользователя, потому что файлы хранятся локально, но мне обычно нравится монтировать образ dd как виртуальную машину,...