问题标签 [computer-forensics]

当我在 ascii 文本编辑器中打开 SQLite 数据库 .db 文件时，它显示记录存在。但是当我在 sqlite 浏览器中打开或使用客户端驱动程序时，有 0 条记录。表定义仍然存在。如果我运行编译指示完整性检查，结果是好的。

注意：该表是在主数据库下创建的。

你有没有遇到过这样的问题？

我拥有来自死机 Android 设备的所有文件和目录。除了它死时内部驱动器上的内容之外，我没有关于该设备的更多信息。什么文件可以表明现在死机的设备在死机时正在运行什么操作系统？

我有一种情况，昨天我的代码工作正常，但今天我发现我的代码失败了，因为我的 Oracle 数据库上的 SQL 查询失败。查询失败，因为查询中使用的表不存在。我不是 Oracle 专家，因此我正在与您联系 Oracle 专家。当我的表消失并且谁删除了我的表时，有没有办法在日志文件或日志表中查看？

谢谢

在检查 TSK API 时，我发现了一个函数，它返回文件系统的每个块/扇区的大小。我使用 pytsk3 在 Python 中进行了尝试。

但是，输出是“分段错误”。我不确定接下来我应该做什么。在 pytsk3 的GitHub wiki 上，该示例用于pytsk3.FS_Info()打开文件系统，尽管该类似乎没有返回块大小的函数。

我正在创建一个 Python 网络爬虫，它能够浏览网络历史记录并解析信息并将重要信息存储在数据库中以供取证/学术用途。我了解浏览网站的功能，但我正在努力的部分是能够浏览网络历史记录，我将给出一个场景：

在法医调查期间。

您已获得嫌疑人计算机的完整取证图像，然后您找到 Google Chrome 的 AppData 文件夹，该文件夹存储有关嫌疑人的所有信息，包括表单信息、凭据和网络历史记录。

我将如何设置网络爬虫仅搜索嫌疑人网络历史记录中的数据。

我在访问存储在 Google Chrome 用户数据中的信息以尝试查看存储在此处作为开始的我的个人信息时也遇到问题，我目前正在尝试使用 DB 浏览器查看文件以尝试查看我自己的网络历史记录但是我我对此不太走运。有什么建议么

对于那些对我的这个项目感兴趣的人，我可以随时更新这个线程，这样你就可以看到我的网络爬虫的进度，最终结果将能够从公共和私人网站获取网络历史和数据，对重要信息进行排序，即姓名、地址、出生日期存入数据库，供以后用作传记词典​​。

我将再次强调这一点，因为这完全是出于受控环境中的学术目的并用于测试/伪造帐户

我使用 adb pull 从我的设备获取图像。它如下图所示。（但完全没有问题。只是奇怪的百分比而已。）

adb pull -p DeviceImage 任何人都知道为什么会这样？

有没有办法使用 SANS SIFT 工作站对 USB 驱动器或 SD 卡进行法医声音采集？也就是说，它是否具有内置的写阻止程序？

我正在构建一个取证工具，它将从文件松弛中读取和写入。目前，我使用 JNI 调用 C 函数read()和write()将缓冲区写入 FAT SD 卡（也可以使用 EXT4 内部存储器）。我使用这些是因为您可以将长度传递给读/写，从而忽略 EOF。我已经尝试使用标准写入然后截断它是为了写入文件 slack，该文件适用于 ubuntu 14.04，但不适用于 Android（API 21）。从文件中读取比实际文件大小更多的内容并不能反映 SD 卡上的文件松弛。有一些工具，例如“bmap”或“slacker.exe”（用于 NTFS），可以管理访问文件松弛。我需要一种方法来忽略 EOF 或自己处理它。我不希望更改现有的文件系统驱动程序。我很感激任何建议。

这是一些示例代码（尚未工作）：

对于我在“网络取证挑战”中的论文，我想创建一个应用程序，该应用程序可以获取任何 PCAP 文件并呈现具有尽可能多信息的 HTML 分析文件，可能与搜索 ip 查找的 API 相结合。我对 Python 或 C++ 知之甚少，所以我决定从 jNetPcap 开始，这是一个用于 libpcap 的 Java 库。我想知道这个库的限制以及您在不到一周的时间内创建该软件的建议。确实，我一直在尝试重新组装 TCP 流并且惨遭失败。这是创建此类应用程序的最佳语言吗？有人知道类似的项目吗？

我目前正在尝试对程序进行热补丁（根据已发布的补丁更新程序内存中的代码和数据）。

假设我们可以停止一个正在运行的程序，然后打补丁。如果补丁改变了一些数据初始化或赋值，我们怎么知道变量在哪里，比如堆栈或堆中的那些？

例子：

补丁前：

补丁后：

打补丁时，我们怎么知道堆栈中的位置a（或者可能不在堆栈中）？