GitHub关键字扫描开源工具推荐

严谨地说, Linux只是一个内核, GNU Linux才算完整的操作系统, 但在本文里还是用通俗的叫法, 把Ubuntu,Debian,RedHat,CentOS,ArchLinux等发行版都统称为Linux. 本文里所说的方法不仅对Linux的发行版适用, 部分方法对Mac OSX操[……]

[阅读全部]

2017年12月25日By lindi 技术分析 Linux取证Leave a Comment

快速自检电脑是否被黑客入侵过(Windows版)

有时候会感觉自己电脑行为有点奇怪, 比如总是打开莫名其妙的网站, 或者偶尔变卡(网络/CPU), 似乎自己”中毒”了, 但X60安全卫士或者X讯电脑管家扫描之后又说你电脑”非常安全”, 那么有可能你已经被黑客光顾过了. 这种时候也许要专业的取证人员出场, 但似乎又有点小提大作. 因此本文介绍[……]

[阅读全部]

2017年12月25日By lindi 技术分析计算机取证Leave a Comment

【OSG】苹果FSEvent深层文件系统调用记录方法论

Apple FSEvents Forensics

没有相关文档、未被探索、利用不足，这就是 FSEvents 目前的状况。Apple FSEvents 或者说文件系统对于每个苹果取证人员而言都是非常宝贵的证物，它记录着文件系统发生的变化。在这篇文章中，我将对存储在磁盘中的 FSEvents 日志做[……]

[阅读全部]

2017年12月21日By lindi 技术分析 FSEvent, 文件系统Leave a Comment

如何使用Netcat将Android文件系统镜像直接转移到本地系统

首先，你需要了解以下关于Netcat的一些事情…

无论是安全管理员还是恶意攻击者，他们都需要想办法利用类似TCP或UDP协议来读取或向一个网络连接中写入内容，虽然他们获取这些数据的目的可能会不一样。

而Netcat提供了一种非常高效的网络分析方法（从后端到服务器），并且能够使用刚[……]

[阅读全部]

2017年12月5日By lindi 实用工具, 技术分析 netcat, 安卓镜像Leave a Comment

如何使用Windows卷影拷贝服务恢复文件和文件夹

什么是卷影拷贝？

从Windows XP SP2和Windows Server 2003开始，微软就向Windows操作系统中引入了一项名叫卷影拷贝的服务（Volume Shadow Copy Service-VSS）。这种服务允许Windows系统以自动或手动的方式对文件或磁盘卷宗的当前状态[……]

[阅读全部]

2017年11月6日By lindi 技术分析卷影拷贝, 文件恢复Leave a Comment

如何使用树莓派自制网络监视器

本文所介绍的工具适合家庭环境下的“黑盒测试”，它可以帮助你记录网络中发生的所有事情。你可以用它来检测网络威胁，或将数据提供给相关专家来进行网络取证分析。

如果你需要的是企业环境下的解决方案，你可以参考Security Onion的【这篇文章】。

购物清单

1. 树莓派3[……]

[阅读全部]

2017年11月6日By lindi 实用工具, 技术分析网络取证, 网络镜像Leave a Comment

网络取证原理与实战

网络取证原理与实战

一、分析背景

网络取证技术通过技术手段，提取网络犯罪过程中在多个数据源遗留下来的日志等电子证据，形成证据链，根据证据链对网络犯罪行为进行调查、分析、识别，是解决网络安全问题的有效途径之一。目前，传统的计算机取证模型和方法比较成熟，而应用于大数据时代则需要OSSIM等集[……]

[阅读全部]

2017年11月6日By lindi 技术分析网络取证Leave a Comment