问题标签 [computer-forensics]

我知道谷歌浏览器使用一个整数时间戳，正确地称为 Webkit 时间戳，它是由自 01/01/1601 00:00:00 UTC 以来的微秒数计算的。我不确定这是一个 64 位有符号整数（这是最有意义的）还是一个 56 位整数？

这是一个示例时间戳：12883423549317375。这解码为 Sun，2009 年 4 月 5 日 16:45:49 UTC。关于它是如何工作的有什么好的参考吗？我搜索了 Webkit 网站，并没有找到有关此时间戳的文档。

我知道 Apple 系统上的主要时间戳是 CF 绝对时间值（也称为 Mac 绝对时间），它是一个 32 位整数，由 2001 年 1 月 1 日 00:00:00 UTC 以来的秒数计算得出。例如，解码时的 219216022 是 Thu, 13 December 2007 05:20:22 UTC。

Mac/Unix 系统上是否使用了任何其他时间戳（除了默认的 Unix 时间戳，它是自 01/01/1970 00:00:00 UTC 以来以秒计算的 32 位整数）？

我有一个启用了“Opera Turbo”的 Opera 浏览器。它是一个代理，将 HTML 重新压缩为更小的格式。我有一个来自 Opera 缓存的文件，它被 turbo 从 2000 kb 压缩到 500 kb。如何将此文件解压缩为可读形式（原始文件几乎没有 html 标签，只有 8 位文本、“ <p>”标签和 html 页眉/页脚）？

这是此类文件的示例：

这是原始文件的一部分（我不确定它是否是真正的原始文件，但很可能是）：

压缩文件的大小为 3397 和原始 ~ 8913 字节。原始文件可通过 bzip2 压缩到 3281 字节；通过 gzip 到 3177 字节；通过 lzma 到 2990 字节；由 7z 到 3082 字节；通过 zip 压缩到 3291 字节。

更新：我有信息（来自 chrome opera-mini 扩展http://ompd-proxy.narod.ru/distrib/opera_mini_proxy.crx - 用 7-zip 解压）opera mini 使用它来解压数据webodf/src/core_RawInflate .js这个文件可以帮助我吗？

因此，我正在对 Windows 内存映像进行一些内存分析，并且正在查看进程产生的线程。

我使用的工具是波动性。

所以我正在检查资源管理器进程产生的线程。我的问题是，线程是否总是必须有 1）拥有的进程和 2）附加的进程。

我发现了一个拥有进程的资源管理器线程：Explorer.exe，但附加进程没有名称。没有名字的进程在内存中有一个关联的地址。

这是正常的线程有一个没有名称的附加进程吗？还有什么是自有进程和附加进程之间的区别？

感谢您的关注。

老实说：
问这个问题我觉得很愚蠢，因为这似乎是最基本的任务之一......

但是到目前为止我的所有搜索都没有产生结果，所以这是我的问题：

我有一个我正在开发的应用程序的测试版本，它的行为......让我们说：special。

为了找出我们的测试台到底出了什么问题，我想检查ipa 包中的所有文件，而不仅仅是让我下载的那些 Xcode。

问题是：我将如何做到这一点？

iTunes 设备备份中的文件名都是散列的，快速浏览head -c 20 "$fileName";目录列表也不是很清楚......

谷歌的搜索结果充满了对“如何将我被盗和破解的 ipa放到越狱设备上”的答案以及到目前为止我在这里找到的问题，都处理从主机到设备的方向。

PS：
越狱以通过 ssh 连接到设备——当然——不是一种选择。

是否可以在 Linux 中读取 Windows 2008 LDM 分区？

我们有五个通过 ISCSI 导出到死机 Windows 2008 的 512GB LUN，这个盒子不再需要它们了。Windows 认为它​​们现在是原始设备......所以我想用 Linux 读取分区。我正在使用最新的 Ubuntu 来尝试至少保存一些数据。问题是到目前为止我发现的所有文档似乎都已过时（经常谈论 w2k 或 XP Logical Disk Manager (LDM)。但我认为现在与 2008 不同。

Testdisk [0] 给我以下输出

注意：5 个 LUN 中的每一个都有相同的分区表。

在cgssecurity和kernel.org等许多文档中，他们谈论 ldminfo 不会返回任何有用的信息。我怀疑它现在已经过时了，只是因为它很难找到:) 而且因为它不起作用我猜 Windows 2008 使用不同的格式。

然后，我尝试用 dmsetup 连接它们，但还是没有运气。这就是我使用 dmsetup 的方式：

所以仍然没有NTFS文件系统:)

有没有人对我如何从那里提取数据有任何想法或给我一些指示？

• http://www.cgsecurity.org/wiki/TestDisk
• http://www.kernel.org/doc/Documentation/filesystems/ntfs.txt

我从某人那里得到了一张 16GB 的存储卡，无法正常加载（要求重新格式化）。我试图让 jpegs 离开它。

我跑去dd将内容转储到一个文件中，效果很好。该文件不会挂载和读取，因此内容在某种程度上已损坏。

在十六进制编辑器中打开转储显示那里有数据，通过查找 jpeg 开始和结束的标记（FFD8 和 FFD9），我已经能够手动提取前 3 个 jpeg。

在我去编写一些代码来流式传输文件、找到偏移量并转储文件之前，有没有现有的方法可以做到这一点？我无法通过简单的谷歌搜索找到任何东西，但不想解决以前必须多次解决的问题。

有谁知道一些软件或一个像样的库（Python 会很好，因为我熟悉该语言，尽管任何事情都可以）可以轻松地让我提取 jpeg，还是我自己编写代码更好？

我有一些独立的 C++ 代码（即不是 Windows 程序）需要识别 PC 上安装的 Windows 版本。

我可以通过内核版本（例如在 ntoskrnl.exe 上）轻松区分不同的 Windows 客户端版本GetFileVersionInfo，但是我想知道是否有一种可靠的方法来区分客户端和服务器安装。

使用此方法区分 Windows Vista SP2 和 Windows Server 2008 SP2（两者均为 6.0 build 6002）和 Windows 7 和 Windows Server 2008 R2（用于 RTM 的 6.1 build 7600 和用于 SP2 的 6.1 build 7601，两者）时会出现问题. 对于在环境外运行的代码，正确识别客户端与服务器操作系统的可靠方法是什么（最好尽可能直接，避免注册表会很好，因为无法访问 Win32 API）？

我想我可以检查仅存在于服务器版本上的文件（无论配置如何，保证在任何服务器版本安装上都有什么好文件？），检查 Panther 文件夹（可以安全删除，所以不能保证），等等，但我敢肯定这是人们以前遇到过的问题，并且（希望）更优雅地解决了？

（旁注：这个问题之前已经在 SO 上提出过，但解决方案（WMI）不适用于带外检查）

我目前正在为我收到的一个项目制作一个移动取证工具包。我遇到了死胡同，希望有人能帮助我。

在 Android 上，短信、通话记录、联系人等都保存为.db文件，我希望我可以填充 JTable 以在按下特定按钮时显示结果。例如，您单击查看文本，JTable 将填充手机上的所有文本消息。此外，.db文件中充满了我不需要显示的列，所以有没有办法只选择我想要的列？

我正在寻找关于如何应对计算机入侵的非常好的资源和/或书籍。我遇到了许多涉及该主题的书籍，说明了获取法医文物的工具和技术，但我正在寻找一个操作指南/过程。

例如，您阅读了……在开始 IR 响应之前首先验证事件是否已实际发生。在这种情况下我具体该怎么做？我有很多选择。我是否进行 netstat 以查看是否存在违规 IP 地址，是否评估文件系统以查看是否可以找到可疑文件等。当然，这些决定中的每一个都有数据的残留影响，你必须稍后解释。其次，您如何解决大型网络中的许多计算机受到影响的情况。如果你清理一个，其他的可能仍然存在并会重新感染。我正在寻找可以回答这些问题的来源。

有人可以建议一个很好的信息来源。为了这？