问题标签 [computer-forensics]

我正在尝试为 Yosemite 转储 OSX 的内存映像。到目前为止，Macmemoryze，但它不支持 10.10。任何人都知道将内存转储到可以在 Volatility 中加载的图像文件的方法吗？我四处搜寻了一下，并没有立即找到任何东西。

谢谢！

你好，我需要一种方法来使用 Java 读取任何文件的前四个字节。为什么是前四个字节？因为它是实际文件类型的取证指纹（文件扩展名不可靠，因为它可能被伪造）

http://en.wikipedia.org/wiki/File_carving

现在，以这种方式读取文件（下面是 Java 代码）将读取文件“内容”，我认为它会跳过文件头信息......？我无法获得幻数（前四个字节），因此无法识别/确认给定样本的真实文件类型。

读取文件的前 4 个字节

请给点建议？

我们会在 iText 编辑的 PDF 文件的元数据中看到哪些更改。

我想将 Windows NT 关机时间转换为日期和时间：

输入数据是这个 64 位十六进制值（8 个字节）。您可以在 Windows 注册表中找到此值HKLM\SYSTEM\ControlSet001\Control\Windows --> Shutdown Time。此值包含上次关闭的时间和日期。该值的类型为FILETIME- 一个 64 位时间值（十六进制值，Little Endian），表示自 1601 年 1 月 1 日午夜 UTC 以来的 100 纳秒间隔数。

这可以通过shell（bash）实现吗？我想在 shell 脚本中实现它。

我正在寻找加载、显示并让用户使用 c# 从 Internet Explorer 中删除存储的自动完成数据。我正在专门寻找表单数据而不是存储的凭据。

不确定 IE 版本是否重要，但我相信 Windows 版本会有所不同。这些设置可以在 Internet 选项中找到：在“内容”选项卡下，单击“自动完成”部分中的“设置”按钮。

我正在做一些取证学习，并得到一个包含整个 .xsl 文件的 .str 文件：

我需要从 .str 文件中提取所有 .xsl 文件。我用过类似的东西：

问题是我得到了几乎所有的文本，但不是可读的格式。我想我只能从里面得到所有的东西。

你能帮我把文本从<?xml version="1.0"?>到</log>吗？

为清楚起见进行编辑：我想获取所有文本，从 xml 开始，直到 /log。

.str 文件由strings.

这是我正在使用的实际文件： https ://www.dropbox.com/s/j02elywhkhpbqvg/pc1.str?dl=0

从线20893696到20919817。

换句话说，是否可以在不使用句柄的情况下访问文件？

我的问题描述很简单，我怕问题没那么简单。我想在图像上找到复制的重复部分。图像的哪一部分被复制并粘贴回同一图像到另一个位置（例如使用 Photoshop）？

请检查所附图像。包含值 20 的红色矩形从价格字段移动到有效性字段。请注意，矩形的大小和位置不是固定的和未知的，它可能会有所不同，只是给出了图像，没有其他信息。

你能帮我说出一个理论方法、想法、论文、解决上述问题的人吗？

我将我的方法发布到here( stackoverflow)，而不是Computer Vision尽可能多地接触到更多人，因为也许问题可以转化。我可以想到一个解决方案，比如在一个巨大的矩阵（图像）中寻找包含相同值的 2 个最大的矩形。

感谢您的帮助和时间。

注意：我不想使用元数据来检测伪造品。

我想在可能受感染的 Windows PC 中寻找妥协指标 (IoC)。

我正在编写一个批处理脚本来记录分析所需的信息。它包括以下 CMD 命令：

• 我还应该寻找什么？

• 该脚本的编写方式是为每个
  命令创建一个新文件，该文件由“网络工件”、“进程和服务”、“机器信息”等目录分隔
  。我可以做些什么来改进脚本？

• 您是否建议在此阶段进行注册表和内存转储？

如何在 Windows BSOD（Windows 8.1 64 位）生成的大型 MEMORY.DMP 文件中搜索字符串？

在 32 位 Windows 上，命令

似乎工作。

但对于 64 位窗口，

尽管 MEMORY.DMP 的总大小只有 400MB 左右，但几乎是无限的时间，而简单的grep可以在几秒钟内找到模式。

我的目标是找到字符串的虚拟地址，以确定哪个堆栈/堆/文本区域被它覆盖。

如果文件格式的参考或规范可用，我最终会求助于手动解释 MEMORY.DMP 的文件格式。有什么提示吗？