Questions tagged «forensics»

2
dd conv = sync,noerror会做什么?
那么在将conv=sync,noerror整个硬盘备份到映像文件上时添加添加会产生什么影响呢?是conv=sync,noerror做司法鉴定的东西时,一个要求吗?如果是这样,为什么参考linux fedora会出现这种情况? 编辑: 好的,所以如果我不使用dd conv=sync,noerror,并且dd在读取块(让我们的大小为100M)时遇到读取错误,dd会跳过100M块并在不写入内容的情况下读取下一个块吗(dd conv=sync,noerror将零写入100M的输出-那么这种情况呢? ?)? 如果不做的话,原始硬盘的哈希和输出文件是否不同conv=sync,noerror?还是仅当发生读取错误时?
39 linux  backup  dd  forensics 
17
如何从发生故障的HDD物理销毁数据?
我有一个损坏的硬盘,其中包含敏感数据。由于没有软件可以访问该磁盘,因此我无法使用通常建议的任何工具擦除它。 将磁盘物理上分成非常小的块可能就足够了,但这需要一些好的工具来完成。只是在磁盘上挥舞着磁铁,仍然可能使数据恢复专家可以恢复数据,还是我错了? 清除敏感数据的有效方法是什么?
1
CD上存储的DVD / CD刻录机的序列号在哪里?
我正在阅读Wikileaks常见问题解答(在此处存档),其中说: 许多CD和DVD刻录机会将DVD或CD刻录机的序列号包含在他们刻录的CD / DVD上。如果邮件被拦截,则从理论上讲,该信息可用于跟踪制造商及其合作伙伴,分销商,销售代理商等。请考虑是否有财务记录将您与CD / DVD刻录机销售联系起来,如果您的对手能够拦截您给我们的信,并且愿意进行此类昂贵的调查。如果可以的话,请为CD / DVD刻录机支付现金。 该号码存储在哪里?刻录CD的设备可以通过软件访问它吗?
2
在Windows中查找服务创建日期?
如果在受感染的系统上,您尝试分析新安装的服务或安装了服务,那么您如何做到这一点。在哪里可以找到Windows注册表中某个服务的创建日期?
11 forensics 
3
警察找到并归还了我被小偷格式化的失窃笔记本电脑。安装日志可以帮助找到小偷吗?
三周前,我的笔记本电脑从校园里被盗了。我立即将其报告给警察和制造商的网站。几天前,一个叫制造商的人说,他在网上购买了一台二手笔记本电脑,想通过序列号检查保修。制造商看到它被偷了,警察联系了那个可怜的买家,从他那里拿走了笔记本电脑,还给了我。 警察告诉我,他们将尝试根据买方的描述找到小偷;但是,他们只是把笔记本电脑还给我而没有看过! 我打开了电源,看到小偷在出售前重新安装了Windows(Windows 7 Professional)。 我很肯定系统中应该有谁重新安装的线索,例如安装的IP地址等,或者重新安装的软件许可证可能会给我有关小偷身份的线索。 问题: 安装后,我在日志中的哪里可以找到有关计算机首次连接到Web的位置的详细信息? 在哪里可以找到有关已安装的Windows和Office的产品密钥\许可证的信息? 关于如何跟踪SOB的其他想法(谁也可能在一周前偷走了另一台计算机)?
0
hdparm:--dco-restore真的有用吗?
我按照以下说明操作: Harddrive - 在恶意软件感染后也消灭HPA和DCO等“隐藏区域” 在过去的几天里,我一直在研究HDD的隐藏区域,并且已经在Linux中进行了实验。引起我兴趣的两个主题是 主机保护区 和 设备配置覆盖 。我设法扫描我的硬盘驱动器以找到HPA并发现HPA是 残 ,意思是它没有。 至于 DCO 我执行了: sudo hdparm --dco-identify / dev / sdb 得到以下输出: 的/ dev / sdb的: DCO校验和已经过验证。 DCO版本:0x0002 可以通过DCO选择性地禁用以下功能: 转移模式: mdma0 mdma1 mdma2 udma0 udma1 udma2 udma3 udma4 udma5 实际最大行业:1465149168 ATA命令/功能集: SMART self_test error_log安全性HPA 48_bit selective_test WRITE_UNC_EXT SATA命令/功能集: NCQ interface_power_management …
0
Ubuntu 18.04上的内存转储失败太大/ proc / kcore /
关于如何使用linpmem在Linux上获取内存有两篇很棒的文章: SANS holdmybeersecurity 尝试从的方法 holdmybeersecurity 我遇到了以下问题,这似乎是一个更普遍的问题: wget https://github.com/google/rekall/releases/download/v1.5.1/linpmem-2.1.post4 chmod +x linpmem-2.1.post4 ./linpmem-2.1.post4 -o mem.aff4r 正在直接运行并创建一个大文件(停止它> 160GB)。检查 linpmem 更多的关闭它依赖于Linux内存映射 /proc/kcore 获取数据。 sudo ls -lh /proc/kcore -r-------- 1 root root 128T Dec 12 11:32 /proc/kcore 这太棒了!就像声明的那样 这里 ... ... /proc/kcore 是内核的RAM的虚拟分配。在64位系统上,大小可以是128T的绝对限制,因为这是系统可以分配的最多。 这是一种反对 man proc: /proc/kcore This file represents the physical memory of …
0
修改文件夹的次数
如何进行修改时间的继承和传播?为了更好地提出我的问题,我将列出三个例子: 一个文件夹有三个文件。一个文件被修改(由任何用户或服务或应用程序)。这也会更改文件夹的修改时间。 (常见情况) 一个文件夹有三个文件,其中一个文件被修改(同样可以是服务,应用程序或用户)。但这并没有改变父文件夹的修改时间。 文件夹没有文件(空)。但是,假设服务ABC运行时,它会更改其修改时间。 所以我的问题是,控制所有这些是什么?是什么决定这些修改时间将如何更新? 搜索之后,我发现Registry中有一个值 NtfsDisableLastAccessUpdate 但我认为这不适用于单个文件/文件夹。请指教。
1 time  forensics 
3
应用Zero-Fill软件后,您可以重复使用SSD吗?
我将我的笔记本电脑退回给零售商,但我已经有1个月了,在这段时间里我存储了一些机密信息,因此我计划用http://cmrr.ucsd.edu/people填充我的SSD。/Hughes/secure-erase.html或https://www.piriform.com/defraggler 完成零填充后,我能够轻松地将Windows 8.1安装回来吗?简单来说,我指的是一种常规方法,可能涉及一些格式化/分区。 我必须能够安装Windows 8.1,因为零售商会检查它是否有效。 我并不担心零填充可以减少SSD读/写周期,因为笔记本电脑在其他方面都有问题。 除安全擦除问答页面状态外 Q: What is the difference between secure erase and enhanced secure erase? A: Secure erase overwrites all user data areas with binary zeroes. Enhanced secure erase writes predetermined data patterns (set by the manufacturer) to all user data areas, including sectors that are …
1
法医DVD-R数据
从法医角度讲,是否可以读取元数据,用户配置文件,计算机或刻录DVD-R上的信息?我需要发现更多有关谁非法制作电影拷贝的信息……这是在Mac或PC上做得更好吗,还是我需要特殊的软件?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.