问题标签 [computer-forensics]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-chrome - 为 Webkit (Google Chrome) 时间戳保留了多少位?
我知道谷歌浏览器使用一个整数时间戳,正确地称为 Webkit 时间戳,它是由自 01/01/1601 00:00:00 UTC 以来的微秒数计算的。我不确定这是一个 64 位有符号整数(这是最有意义的)还是一个 56 位整数?
这是一个示例时间戳:12883423549317375。这解码为 Sun,2009 年 4 月 5 日 16:45:49 UTC。关于它是如何工作的有什么好的参考吗?我搜索了 Webkit 网站,并没有找到有关此时间戳的文档。
macos - Apple Mac 和 Unix 时间戳
我知道 Apple 系统上的主要时间戳是 CF 绝对时间值(也称为 Mac 绝对时间),它是一个 32 位整数,由 2001 年 1 月 1 日 00:00:00 UTC 以来的秒数计算得出。例如,解码时的 219216022 是 Thu, 13 December 2007 05:20:22 UTC。
Mac/Unix 系统上是否使用了任何其他时间戳(除了默认的 Unix 时间戳,它是自 01/01/1970 00:00:00 UTC 以来以秒计算的 32 位整数)?
opera - Opera Turbo 如何压缩数据(缓存)?
我有一个启用了“Opera Turbo”的 Opera 浏览器。它是一个代理,将 HTML 重新压缩为更小的格式。我有一个来自 Opera 缓存的文件,它被 turbo 从 2000 kb 压缩到 500 kb。如何将此文件解压缩为可读形式(原始文件几乎没有 html 标签,只有 8 位文本、“ <p>
”标签和 html 页眉/页脚)?
这是此类文件的示例:
这是原始文件的一部分(我不确定它是否是真正的原始文件,但很可能是):
压缩文件的大小为 3397 和原始 ~ 8913 字节。原始文件可通过 bzip2 压缩到 3281 字节;通过 gzip 到 3177 字节;通过 lzma 到 2990 字节;由 7z 到 3082 字节;通过 zip 压缩到 3291 字节。
更新:我有信息(来自 chrome opera-mini 扩展http://ompd-proxy.narod.ru/distrib/opera_mini_proxy.crx - 用 7-zip 解压)opera mini 使用它来解压数据webodf/src/core_RawInflate .js这个文件可以帮助我吗?
computer-forensics - windows线程、附加进程和拥有进程异常
因此,我正在对 Windows 内存映像进行一些内存分析,并且正在查看进程产生的线程。
我使用的工具是波动性。
所以我正在检查资源管理器进程产生的线程。我的问题是,线程是否总是必须有 1)拥有的进程和 2)附加的进程。
我发现了一个拥有进程的资源管理器线程:Explorer.exe,但附加进程没有名称。没有名字的进程在内存中有一个关联的地址。
这是正常的线程有一个没有名称的附加进程吗?还有什么是自有进程和附加进程之间的区别?
感谢您的关注。
ios - 将 ipa 文件从测试 iPhone 复制到主机
老实说:
问这个问题我觉得很愚蠢,因为这似乎是最基本的任务之一......
但是到目前为止我的所有搜索都没有产生结果,所以这是我的问题:
我有一个我正在开发的应用程序的测试版本,它的行为......让我们说:special。
为了找出我们的测试台到底出了什么问题,我想检查ipa 包中的所有文件,而不仅仅是让我下载的那些 Xcode。
问题是:我将如何做到这一点?
iTunes 设备备份中的文件名都是散列的,快速浏览head -c 20 "$fileName";
目录列表也不是很清楚......
谷歌的搜索结果充满了对“如何将我被盗和破解的 ipa放到越狱设备上”的答案以及到目前为止我在这里找到的问题,都处理从主机到设备的方向。
PS:
越狱以通过 ssh 连接到设备——当然——不是一种选择。
windows - 使用 Linux 恢复 Windows 跨区磁盘 (LDM)?
是否可以在 Linux 中读取 Windows 2008 LDM 分区?
我们有五个通过 ISCSI 导出到死机 Windows 2008 的 512GB LUN,这个盒子不再需要它们了。Windows 认为它们现在是原始设备......所以我想用 Linux 读取分区。我正在使用最新的 Ubuntu 来尝试至少保存一些数据。问题是到目前为止我发现的所有文档似乎都已过时(经常谈论 w2k 或 XP Logical Disk Manager (LDM)。但我认为现在与 2008 不同。
Testdisk [0] 给我以下输出
注意:5 个 LUN 中的每一个都有相同的分区表。
在cgssecurity和kernel.org等许多文档中,他们谈论 ldminfo 不会返回任何有用的信息。我怀疑它现在已经过时了,只是因为它很难找到:) 而且因为它不起作用我猜 Windows 2008 使用不同的格式。
然后,我尝试用 dmsetup 连接它们,但还是没有运气。这就是我使用 dmsetup 的方式:
所以仍然没有NTFS文件系统:)
有没有人对我如何从那里提取数据有任何想法或给我一些指示?
hex - 从磁盘转储中提取 jpeg
我从某人那里得到了一张 16GB 的存储卡,无法正常加载(要求重新格式化)。我试图让 jpegs 离开它。
我跑去dd
将内容转储到一个文件中,效果很好。该文件不会挂载和读取,因此内容在某种程度上已损坏。
在十六进制编辑器中打开转储显示那里有数据,通过查找 jpeg 开始和结束的标记(FFD8 和 FFD9),我已经能够手动提取前 3 个 jpeg。
在我去编写一些代码来流式传输文件、找到偏移量并转储文件之前,有没有现有的方法可以做到这一点?我无法通过简单的谷歌搜索找到任何东西,但不想解决以前必须多次解决的问题。
有谁知道一些软件或一个像样的库(Python 会很好,因为我熟悉该语言,尽管任何事情都可以)可以轻松地让我提取 jpeg,还是我自己编写代码更好?
windows - Windows Server 与客户端的带外编程识别
我有一些独立的 C++ 代码(即不是 Windows 程序)需要识别 PC 上安装的 Windows 版本。
我可以通过内核版本(例如在 ntoskrnl.exe 上)轻松区分不同的 Windows 客户端版本GetFileVersionInfo
,但是我想知道是否有一种可靠的方法来区分客户端和服务器安装。
使用此方法区分 Windows Vista SP2 和 Windows Server 2008 SP2(两者均为 6.0 build 6002)和 Windows 7 和 Windows Server 2008 R2(用于 RTM 的 6.1 build 7600 和用于 SP2 的 6.1 build 7601,两者)时会出现问题. 对于在环境外运行的代码,正确识别客户端与服务器操作系统的可靠方法是什么(最好尽可能直接,避免注册表会很好,因为无法访问 Win32 API)?
我想我可以检查仅存在于服务器版本上的文件(无论配置如何,保证在任何服务器版本安装上都有什么好文件?),检查 Panther 文件夹(可以安全删除,所以不能保证),等等,但我敢肯定这是人们以前遇到过的问题,并且(希望)更优雅地解决了?
(旁注:这个问题之前已经在 SO 上提出过,但解决方案(WMI)不适用于带外检查)
java - 使用 .db 文件填充 JTable
我目前正在为我收到的一个项目制作一个移动取证工具包。我遇到了死胡同,希望有人能帮助我。
在 Android 上,短信、通话记录、联系人等都保存为.db
文件,我希望我可以填充 JTable 以在按下特定按钮时显示结果。例如,您单击查看文本,JTable 将填充手机上的所有文本消息。此外,.db
文件中充满了我不需要显示的列,所以有没有办法只选择我想要的列?
computer-forensics - 法医事件响应,操作指南/流程
我正在寻找关于如何应对计算机入侵的非常好的资源和/或书籍。我遇到了许多涉及该主题的书籍,说明了获取法医文物的工具和技术,但我正在寻找一个操作指南/过程。
例如,您阅读了……在开始 IR 响应之前首先验证事件是否已实际发生。在这种情况下我具体该怎么做?我有很多选择。我是否进行 netstat 以查看是否存在违规 IP 地址,是否评估文件系统以查看是否可以找到可疑文件等。当然,这些决定中的每一个都有数据的残留影响,你必须稍后解释。其次,您如何解决大型网络中的许多计算机受到影响的情况。如果你清理一个,其他的可能仍然存在并会重新感染。我正在寻找可以回答这些问题的来源。
有人可以建议一个很好的信息来源。为了这?