问题标签 [computer-forensics]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
macos - 如何转储内存映像 OSX Yosemite?
我正在尝试为 Yosemite 转储 OSX 的内存映像。到目前为止,Macmemoryze,但它不支持 10.10。任何人都知道将内存转储到可以在 Volatility 中加载的图像文件的方法吗?我四处搜寻了一下,并没有立即找到任何东西。
谢谢!
java - Java 通过读取前几个字节来读取实际文件类型(取证)
你好,我需要一种方法来使用 Java 读取任何文件的前四个字节。为什么是前四个字节?因为它是实际文件类型的取证指纹(文件扩展名不可靠,因为它可能被伪造)
http://en.wikipedia.org/wiki/File_carving
现在,以这种方式读取文件(下面是 Java 代码)将读取文件“内容”,我认为它会跳过文件头信息......?我无法获得幻数(前四个字节),因此无法识别/确认给定样本的真实文件类型。
请给点建议?
pdf - 当您使用 iText 编辑 PDF 文件时,哪些元数据字段会发生变化?
我们会在 iText 编辑的 PDF 文件的元数据中看到哪些更改。
bash - 将 REG_BINARY 值(64 位十六进制值 - Little Endian)转换为日期和时间
我想将 Windows NT 关机时间转换为日期和时间:
输入数据是这个 64 位十六进制值(8 个字节)。您可以在 Windows 注册表中找到此值HKLM\SYSTEM\ControlSet001\Control\Windows --> Shutdown Time
。此值包含上次关闭的时间和日期。该值的类型为FILETIME
- 一个 64 位时间值(十六进制值,Little Endian),表示自 1601 年 1 月 1 日午夜 UTC 以来的 100 纳秒间隔数。
这可以通过shell(bash)实现吗?我想在 shell 脚本中实现它。
internet-explorer - Internet Explorer 自动完成表单数据
我正在寻找加载、显示并让用户使用 c# 从 Internet Explorer 中删除存储的自动完成数据。我正在专门寻找表单数据而不是存储的凭据。
不确定 IE 版本是否重要,但我相信 Windows 版本会有所不同。这些设置可以在 Internet 选项中找到:在“内容”选项卡下,单击“自动完成”部分中的“设置”按钮。
linux - 将洞 .xsl 内容从 .str 文件提取到 xsl/txt 文件
我正在做一些取证学习,并得到一个包含整个 .xsl 文件的 .str 文件:
我需要从 .str 文件中提取所有 .xsl 文件。我用过类似的东西:
问题是我得到了几乎所有的文本,但不是可读的格式。我想我只能从里面得到所有的东西。
你能帮我把文本从<?xml version="1.0"?>
到</log>
吗?
为清楚起见进行编辑:我想获取所有文本,从 xml 开始,直到 /log。
.str 文件由strings
.
这是我正在使用的实际文件: https ://www.dropbox.com/s/j02elywhkhpbqvg/pc1.str?dl=0
从线20893696
到20919817
。
windows - 在 Windows 中是否总是需要使用句柄来访问文件?
换句话说,是否可以在不使用句柄的情况下访问文件?
image - 理论,在图像上查找复制形状的想法
我的问题描述很简单,我怕问题没那么简单。我想在图像上找到复制的重复部分。图像的哪一部分被复制并粘贴回同一图像到另一个位置(例如使用 Photoshop)?
请检查所附图像。包含值 20 的红色矩形从价格字段移动到有效性字段。请注意,矩形的大小和位置不是固定的和未知的,它可能会有所不同,只是给出了图像,没有其他信息。
你能帮我说出一个理论方法、想法、论文、解决上述问题的人吗?
我将我的方法发布到here( stackoverflow
),而不是Computer Vision
尽可能多地接触到更多人,因为也许问题可以转化。我可以想到一个解决方案,比如在一个巨大的矩阵(图像)中寻找包含相同值的 2 个最大的矩形。
感谢您的帮助和时间。
注意:我不想使用元数据来检测伪造品。
windows - 为 Windows PC 获取 IoC 的批处理脚本中应包含哪些内容?
我想在可能受感染的 Windows PC 中寻找妥协指标 (IoC)。
我正在编写一个批处理脚本来记录分析所需的信息。它包括以下 CMD 命令:
我还应该寻找什么?
该脚本的编写方式是为每个
命令创建一个新文件,该文件由“网络工件”、“进程和服务”、“机器信息”等目录分隔
。我可以做些什么来改进脚本?您是否建议在此阶段进行注册表和内存转储?
c++ - 在大型 MEMORY.DMP 文件中搜索字符串
如何在 Windows BSOD(Windows 8.1 64 位)生成的大型 MEMORY.DMP 文件中搜索字符串?
在 32 位 Windows 上,命令
似乎工作。
但对于 64 位窗口,
尽管 MEMORY.DMP 的总大小只有 400MB 左右,但几乎是无限的时间,而简单的grep
可以在几秒钟内找到模式。
我的目标是找到字符串的虚拟地址,以确定哪个堆栈/堆/文本区域被它覆盖。
如果文件格式的参考或规范可用,我最终会求助于手动解释 MEMORY.DMP 的文件格式。有什么提示吗?