引擎无法添加快速模式过滤器 5478 IPsec服务已成功启动 5479 IPsec服务已成功关闭 5480 IPsec服务无法获取计算机上的完整网络接口列表 5483 IPsec服务无法初始化RPC服务器...非正常关闭记录 6009 按ctrl、alt、delete键(非正常)关机 6144 组策略对象中的安全策略已成功应用 6145 处理组策略对象中的安全策略时发生一个或多个错误 6272 网络策略服务器授予用户访问权限...6273 网络策略服务器拒绝访问用户 6274 网络策略服务器放弃了对用户的请求 6275 网络策略服务器放弃了用户的记帐请求 6276 网络策略服务器隔离了用户 6277 网络策略服务器授予用户访问权限...,但由于主机未满足定义的健康策略而将其置于试用期 6278 网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略 6279 由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户 6280...网络策略服务器解锁了用户帐户 6281 代码完整性确定图像文件的页面哈希值无效... 6400 BranchCache:在发现内容可用性时收到格式错误的响应。
0×00概述 后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。...大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析...0×04获取历史CMD命令 在windows XP下, 一般cmd.exe的历史记录存在于csrss.exe进程内。 而windows 7上,则存在于Conhost.exe进程内。
LogonTracer这款工具是基于Python编写的,并使用Neo4j作为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登录日志的可视化工具。...它会将登录相关事件中的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来,使得在日志取证时直观清晰。...7、再次访问LogonTracer界面 http://[本地IP地址]:8080 点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击
包括一个服务器和一个远程客户端。...它可以运行在所有可用的Windows版本上。...该工具由Microsoft开发,用于从Windows系统收集证据。它可以被安装在USB驱动器或外部硬盘上。取证人员只需将USB插入目标计算机中,即可进行实时的分析。...它还可以从当前和之前的Windows安装重建注册表。...利用 P2 eXplorer,您可以将取证图像作为只读的本地逻辑磁盘和物理磁盘进行挂载。一旦挂载完毕,您可以使用 Windows Explorer 浏览图像内容,或将其加载到您的取证调查分析工具中。
目前,该工具仅支持Windows平台。...重构了输出目录的结构; 3、移除了TZworks工具; 4、增加了新的命令行参数; 内存采集: 1、默认采集内存数据; 2、内存数据采集时需提供参数; 3、获取内存之前进行可用空间检查; 4、更新采集流程以避免Windows...崩溃; 新工具: 1、Windowsupdate.log文件 2、Windows Defender扫描日志 3、PowerShell命令行历史记录 4、HOST文件 5、Netstat输出(含相关网络连接的...PID) 6、记录所有目标主机中已登录用户的信息(Triage_info.txt) 7、新增Windows Event日志事件条目 DFIRtriage搜索工具: 1、可针对DFIRtriage输出数据和日志文件进行关键词搜索
介绍 内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如: 1、建立的网络链接; 2、仅在内存中的恶意软件; 3、加密密钥; 4、用户凭证。...\vol.py -f D:\MemoryDump.mem windows.info 上图中显示的内容可以告诉我们目标系统的Windows版本和执行内存数据捕捉时的系统时间。...第一个插件就是windows.pslist插件,该插件可以枚举出所有正在运行的进程,如下图所示: windows.psscan插件与windows.pslist插件类似,但它能够获取已终止进程的信息,同时它也使用了不同的方法来收集正在运行进程的信息...本文介绍的工具和方法是内存取证活动中常用的,几乎每一项取证活动都会涉及到这些方法步骤,例如寻找可疑的父子进程关系、网络连接、命令执行和异常等等。...希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
Windows 注册表中包含有二进制块(Blob),有些二进制块用于存储证书,如下所示: 以下的注册表位置都存储证书: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates...属性标识符的可能值可以在 Windows 开发中心和 wincrypt.h 头文件中找到。...如下所示,证书本身位于记录 11 内(类型为 0x20): 要提取证书请使用 -d执行二进制 dump 并写入本地文件: 结论 二进制数据块中经常出现 TLV 记录,如果想要识别二进制块中的数据,...参考来源: https://blog.nviso.eu/2019/08/28/extracting-certificates-from-the-windows-registry/
想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。...本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源...01 windows 时间规则 ?...1 上次登录 • C:\windows\system32\config\SAM • SAM\Domains\Account\Users 2 上次密码修改 • C:\windows\system32...\Microsoft\Windows\Shell\BagMRU 访问桌面: • NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU • NTUSER.DAT
(2)发现隐匿的ssh登录行为 如果是隐匿的ssh正在进行可以通过lsof 或者 netstat 或者ps 命令发现
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。.../Target.vmem windows.info (2) 列出进程信息 (3) 提取某进程文件内容 >>>sudo python3 vol.py -f /opt/forensic-analysis.../Target.vmem windows.pslist --pid 516 --dump (4) 查看文件目录 (5) 提取某文件内容(此功能存在问题,待进一步解决!)
同时会有一些注册表及文件系统上的行为,确定wcmoye躲在C:\windows\syswow64目录下 ?...Windows.txt和linux.txt里面貌似都是存在漏洞的网址。。。 而且其中有一个关键的发现,就是小Z所在公司的网站接口居然在一个叫http.txt的list里面 ?...windows的,就会去执行wincmd.txt。...服务器的内网端口是7070,公网防火墙上开放了80,443和8090端口。...0×9 结尾 到此为止,所有的谜团一一解开,小Z结束了这次曲折的入侵取证之路。
首先第一步,取证大师打开,工具集,内存镜像解析工具,打开镜像 Cmd打开volatility 1、查看内存镜像的基本信息 volatility.exe -f victor_PC_memdump.dmp...victor_PC_memdump.dmp --profile=Win7SP1x64 -o 0xfffff8a000a55010 printkey -K "( Wow6432Node)\Microsoft\Windows...\2 14、查看用户的SID 导出注册表文件 两种方法: 1.查看SAM 2.查看SOFTWARE\Microsoft\Windows...\victor_PC_memdump.dmp --profile=Win7SP1x64 windows
Linux下的分析已经比较多了,下面的环境均在Windows下进行。 一、鼠标流量 1.1 特点分析 USB鼠标流量的规则如下所示: ?...在Windows中安装tshark.exe的目录中输入: tshark.exe -r b.pcap -T fields -e usb.capdata >b.txt //这里b.pcap是我抓捕的数据包名字
---- 自动化攻击取证 前言 《Python黑帽子:黑客与渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。...书是比较老了,anyway,还是本很好的书 本篇是第11章自动化攻击取证,主要是调用Volatility 1、Volatility配置 在code.google.com/p/volatility/downloads...import volatility.conf as conf import volatility.registry as registry # 要分析的内存文件位置 memory_file = "D:\\Windows...coding:utf8 -*- import sys import struct equals_button = 0x01005D51 # 要分析的内存文件位置 memory_file = "D:\\Windows
用到的文件是之前 360 的比赛里面的一个镜像(文件名:xp.raw),本来想自己 dump 一个虚拟机的分析一下,但是太大了就放弃了
刚买服务器主机经常会出现主分区空间不足的现象,尤其像windows系统本身就要占用很大空间,稍微装点软件就会出现磁盘空间不足的现象,所以给磁盘分区是一件重要且优先的进行的任务,今天我就用分区助手这款软件来进行一下...windows2008系统的分区步骤。
下载文件压缩包,解压得到文件夹config,根据题目得知为取证,使用工具mimikatz, github地址:https://github.com/ParrotSec/mimikatz 将文件夹config
领取专属 10元无门槛券
手把手带您无忧上云