问题标签 [computer-forensics]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
python - 从 Python 执行脚本读取输出
我目前正在创建一个程序来从驱动器中提取文件。我想问一下我如何读取使用 python shell 显示的输出?例如:
我想将print os.path.join(root,file)输入的输出读取到另一个命令。这可能吗?
java - 波动性和java
我对取证和Java都是新手。我刚学了java,我觉得它很有用。最近,我正在学习如何将命令集成到 java 编码中。这可能吗?
我目前正在使用波动率 (CLI) 软件。我正在尝试创建它的 GUI 版本。我已经开始对它进行一些基础研究,我发现它真的很有趣。但是,我不知道如何将命令集成到 java 中。
谢谢你。任何帮助将不胜感激。
干杯,
Linify
编辑:这是编码的方式。
windows - 哪个司机是把手的主人?
有没有办法确定哪个司机是hanlde的所有者?我的意思是它是否存储在 Windows 对象的任何位置?我可以通过 volatilty 查看句柄,但所有内核句柄都分配给 System.exe pid:4,我需要确切知道哪个驱动程序正在使用该系统句柄?
谢谢
fat32 - 遍历 fat32 文件系统
我已经用 Fat32 格式化了一个拇指驱动器,并将一个文件放在名为 sampleFile.txt 的根目录中,内容为“oblique”。我在 Disk Investigator 中查看了驱动器,发现在 RootDirSector: 扇区 4096 以下
如何找到文件实际数据所在的扇区簇的位置?以下是一些附加信息:
java - 逐位获取 Android 文件系统的图像
是否可以完美复制 android 文件系统。注意我在这里不是在谈论 SD 卡,因为它是可移动的并且可以使用传统技术。我说的是 Android 文件系统本身,它必须通过 USB 连接到 PC。
我认为该设备必须植根,因为我无法确定 Google 现在确实允许完全公开 OS OOB。
我是否必须开发一个在设备上运行的应用程序,收集数据,然后编写进一步的桌面应用程序来检索所有信息,或者是否可以仅以编程方式执行与 DD 等效的操作?
任何语言都可以作为 POC,但最终产品可能会在 JAVA 中完成。
linux - 取证分析 - 进程日志
我正在对基于主机的证据进行取证分析 - 检查服务器硬盘驱动器的分区。
我有兴趣找到系统死亡/重新启动之前所有“用户”运行的进程。
由于这不是实时分析,我无法使用 ps 或 top 查看正在运行的进程。
所以,我想知道是否有像 /var/log/messages 这样的日志来显示用户运行的进程。
我在 /var/log/* 中浏览了很多日志——它们给了我关于登录、包更新、授权的信息——但没有关于进程的信息。
java - 如果该行包含字符串匹配的任何部分(Java),则使用 Scanner 显示整行
所以我正在研究一个分析特定文件签名的十六进制转储的项目。我遇到的问题是在尝试分析大小为 16+ GB 的大转储时,我收到 OutOfMemoryError: Java heap space 错误。所以我的想法是重新设计我正在使用的算法。
现在我的代码看起来类似于:
所以它将整个文件添加到整个TextFile ArrayList,然后在该ArrayList 中搜索特定的文件头和尾。
对于那些不知道典型的十六进制转储是什么样子的人来说,它类似于:
因为 JPEG 的标题是“ffd8 ffe0”,所以我想要添加到我的 JPGHeaders ArrayList 的唯一行是:
我知道这类似于 Linux 中的 grep,但我正在为在 Windows 平台上的 eclipse 中完成的 java 项目执行此操作。有没有更简单的方法可以在最初扫描文件时搜索文件的每一行并将这些特定行添加到相应的数组列表中?或者我是否坚持将整个文件扫描到一个 ArrayList 中,然后在所述 ArrayList 中搜索字符串文字?
python - Pytsk 安装失败:无法使用 ubuntu 12.04 定位 SleuthKit 头文件
当前在尝试在 Ubuntu 12.04 中安装 pytsk 时定位 SleuthKit (3.2.3-2ubuntu1) 头文件时遇到问题。这是我收到的安装错误:
/home/some_jerk/.pip/ 的日志内容如下:
经过一些 google-fu 并参考GitHub 上的 pytsk 故障排除文档后,我没有找到任何解决此问题的方法。在我的研究中,我还遇到了一些关于使用更直接的Debian 软件包工具方法而不是 apt-get 进行安装的说明,但这似乎是为在 SleuthKit 4.1.2 上开发而量身定制的。
pytsk 文档中是否缺少依赖项,这是版本冲突的问题(即 SleuthKit 3.2.3 安装试图从源代码中提取 4.1.3),还是我遗漏了一些明显的东西?
提前致谢,蜂巢思维。
c++ - 如何使用 ESE CPP api 从 ESE 数据库文件中读取字符串值?
我正在解析ESE 数据库文件,即WebCacheV01.dat。这是 IE 10 开始存储所有浏览历史记录和其他信息的文件。我正在使用 JET Blue CPP api 来解析这个文件。
我可以读取整数或长整数类型的任何列值,但无法读取字符串类型的列值。
例如,我打开了“MSysObjects”表并想要检索“Name”列的值。
这是示例代码
JetRetrieveColumn 的返回值为 -1507,它不过是 JET_errColumnNotFound。我已经使用 ESEDatabaseViewer 工具验证了 MSysObjects 表包含 25 列。这意味着列 18 不是无效的。
如果有人知道如何从 ESE 数据库中检索字符串值,请告诉我。
提前谢谢你。
filesystems - NTFS文件系统的MFT在哪里
我想知道我发现的所有地方是否都FF FF FF FF表明那里有一个 MFT 块。因为他们在这里说:
您可以非常清楚地看到文件标记的 0xFFFFFFFF 结尾,它标志着新 MFT 条目的结束(字节偏移量 504)。