本文旨在分享部分取证工具，仅供安全学习，禁止非法利用。 1、ChromeForensics 谷歌浏览器及其他变种浏览器的一个自动取证分析工具。 2、android-forensics 开源的安卓取证App和框架，它可以对安卓设备的 通话记录、联系电话、彩信、MMSParts、以及短信进行提取。 3、Timesketch Timesketch是一款实验性的依据时间轴进行协同取证分析的POC开源工具 ,使用sketchs你和你的同伴可以很容易的组织时间轴并同时进行分析。 4、USBTracker USBTrac[...…

0×00 题目下载 链接:https://pan.baidu.com/s/1hskpW48 密码: ph2d 0×01 题目说明 描述：一天下午小白出去吃饭，临走之前还不忘锁了电脑，这时同寝室的小黑想搞点事情，懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑，于是便悄悄在电脑上动起手脚了，便在桌面上写着什么，想给小白一个惊喜，同时还传送着小白的机密文件，正巧这时小白刚好回来，两人都吓了一跳，小黑也不管自己在电脑上留下的操作急忙离开电脑，故作淡定的说：“我就是随便看看”。 1.小黑写的啥，据说是flag？ …

计算机取证在案件调查中的地位不言而喻，可以帮助调查人员捕获案件进程中的诸多细节。而商业软件在计算机取证中的作用也不容忽视，让我们来看一些具体的分析和案例。 员工离职时，公司领导为了防止员工带走客户资源、商业数据，通常会邀请计算机取证专家检查员工的网上活动情况，看看是否存在“可疑点”。 Alfred Demirjian是计算机取证公司TechFusion的主席兼CEO，他表示，员工通过攻击前东家电子邮箱账户搞破坏之类的事情屡见不鲜。而商业软件可以帮助公司深入挖掘员工在社交网站发布的信息和聊天记录，如果员工有公司的智能…

通过本地IP库查询，全程不联网 支持用户手动更新数据库（使用纯真IP库：http://www.cz88.net/） 使用简单： 1、选择“要检索的IP文件”的路径，这个文件的格式是每行1个IP 2、选择“检索后输出文件”的路径，转换后会在每个IP后追加IP归属地址 3、点击开始按钮，等待查询完成 提示：用户如果需要更新IP库的话，可以去纯真IP库网站下载IP库文件，然后替换本程序目录下的QQWry.dat文件即可。 解压缩密码：lindi.cc 下载地址: 点此下载[......] [阅读全部]

介绍 本文是介绍恶意软件的持久性及传播性技术这一系列的第一次迭代，这些技术中大部分是研究人员几年前发现并披露的，在此介绍的目的是建立这些技术和取证方面的知识框架。 用于证明概念的代码可以在CERT的GitHub上查看。由于CERT分析师Devoteam在这个领域的经验，知识框架会不断完善。 第一篇文章将讨论DKOM（直接内核对象操纵）进程隐藏的以下几个方面： Windows进程 隐藏直接内核对象的修改 概念性证明（PoC） 使用Volatility进行内存检测 这个概念在2004年的美国黑帽大会上被介绍，不过到现在…

简介 windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来达到隐藏自身的目的.安全研究员要想在内存取证中做到游刃有余,就需要对windows各种内存对象相关概念进行深入的了解。 windows执行体对象 大量的内存取证涉及到查找定位和分析执行体对象.Windows绝大多数代码是由C语…

简介 承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证,下面一起来体验一下吧. 安装 最新版框架下载地址: wind…

简介 安全研究员平时在进行恶意代码分析的时候，为了避免过多重复繁杂的人工分析，首先会使用沙箱进行自动化分析，如果碰到比较新颖的样本，再考虑进一步人工分析。最近笔者体验了一下布谷鸟这款开源的沙箱即cuckoo sandbox，按照官方文档搭建环境的时候遇到了各种各样安装报错的情况，所以笔者将成功搭建流程以及自动化分析样本的流程记录了下来。 在Ubuntu中部署沙箱环境 由于笔者的物理机是windows 7 x64,所以首先安装VMware,然后使用VMware创建Ubuntu虚拟机环境. VMware下载地址:htt…

今年早些时候，FBI和苹果公司因枪击案凶手的IPhone手机解锁问题大打嘴仗，而当这场旷日持久的扯皮走向精彩时，名不见经传的以色列移动取证公司Cellebrite却成为了公众焦点。 猜测 在强制要求苹果公司协助FBI解锁手机的数周后，美国司法部透露，FBI已经通过第三方成功破解并获取了涉案手机数据，无需苹果公司协助。一时间，围绕这个神秘第三方的猜测层出不穷，直到Cellebrite公司被以色列媒体披露报道。 但是，也有传言认为Cellebrite公司并不是帮助FBI解锁的第三方，就连今年四月参加明尼苏达高科技犯罪论…

大多数都知道windows系统中有个叫注册表的东西，但却很少有人会去深入的了解它的作用以及如何对它进行操作。然而对于计算机取证人员来说注册表无疑是块巨大的宝藏。通过注册表取证人员能分析出系统发生了什么，发生的时间以及如何发生的等。在本文中我将为大家详细介绍Windows注册表的工作原理，以及如何对收集用户留下的各类指纹信息。 什么是注册表？ 注册表是用于存储Windows系统用户，硬件和软件的存储配置信息的数据库。虽然注册表是为了配置系统而设计的，但它可以跟踪用户的活动，连接到系统的设备，什么时间什么软件被使用过等…