问题标签 [computer-forensics]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
git - 确定 git 提交来自哪台计算机
最近我一直在探索广阔而可怕的知识产权法世界,人们似乎认为,如果你在你的时间用你的设备创造一些东西(软件),它通常属于你。我知道这有很多例外情况,还有一些关于这个主题的非常好的和信息丰富的帖子。但现在我主要只是好奇违反该协议的人可能会被证明有罪。
我的问题是,是否可以将特定的 git 提交链接到它提交的计算机?如何?
windows - 如何查看任何类型文件的完整元数据?
我知道程序(如 Word、Adobe Reader)在文件中保存的元数据比显示的要多(例如创建文件的计算机的 IP 地址),但我不知道如何查看它。
centos - 如何知道 CentOS 中谁以及何时删除了文件和文件夹?
Web 服务器上的一些文件和文件夹已被删除,如何知道如何删除它们以及何时删除?我检查了原始访问日志,但找不到可以提供帮助的东西。
谢谢
macos - 如何对 OS X 的内存进行映像
所以我正在参加计算机取证课程(也希望进入计算机取证,所以练习会有所帮助)。在我的课堂上,我们必须做一个研究项目。我在 Kali 上专门使用 RAM Forensics 和 Web Browser Forensics 来做这件事。我正在尝试使用 Volatility 查看我的 RAM,但我需要先读取我的 RAM 图像。有谁知道在 OS X 上成像 RAM 的方法?谢谢您的帮助!
computer-forensics - 封装取证 .dd
我使用 Mandiant Intelligent Response 获取了 Windows 7 计算机的磁盘映像。完成后它给了我一个 .dd 文件。我一直在尝试使用 Encase 来分析文件,但是当我添加证据时,它并没有给我完整的文件目录。是否有我应该添加证据的特定方式,或者 encase 不适用于 .dd 文件?
apache - 记录 apache2 ssl 会话 ID 和唯一的客户端值
出于取证原因,我想用每个用户的唯一 ssl_session_id 实现更详细的 apache2 服务器日志。我在我的 apache2.conf 中调整了 LogFormat,但它没有记录会话 ID。使用 apache 2.2.22 - mod_ssl 已启用。
当前日志格式:
也试过:
日志行如下所示:
(IP addr、URL、ref 已适配)
我如何检索 ssl_session_id。有没有其他方法可以收集(任何其他)独特的客户信息以进行取证分析?
wireshark - 确定在 pcap 攻击文件上使用了哪个漏洞
我有一个 pcap 文件,其中包含对我制作的本地服务器环境的攻击。对本地的攻击是在另一台 Kali Linux 机器上使用 Metasploit 框架进行的,并使用 Wireshark 使用路由器上的端口镜像捕获流量。我能够利用该系统并获得本地密码。
问题是,我如何通过查看 pcap 文件知道我使用了哪个漏洞?我想将该文件提供给法医分析。
有没有办法在 pcap 文件中找到漏洞利用名称?
此致
fft - 在 RAM 转储中查找图像
从 RAM 转储中提取屏幕截图
一些经典的安全/黑客挑战包括必须分析系统物理 RAM 的转储。波动性在提取有用信息方面做得很好,包括当时显示的窗口的线视图(使用命令screenshot)。但我想更进一步,找到窗口的实际内容。
因此,我想将问题重新表述为在大文件中查找原始图像(想想像素矩阵)。如果我能做到这一点,我希望至少找到部分窗口的内容。
我的想法是依靠一行像素与下一个像素相似的事实。如果我找到足够多的相同大小的行,那么我让用户摆弄一个交互式工具,看看它是否解码为有趣的东西。
为此,我会计算一种频谱图。更精确的热图,其中阴影显示数据块#x成为宽度为y字节的图像的一部分的可能性有多大,其中 x和y是频谱图的轴。然后我只需要在其中寻找水平线。(请参见下面的示例。)
我现在的问题是找到一种方法来准确快速地计算那种“频谱图”。作为一个数量级,我希望能够在几分钟内在 4GB 文件中找到宽度为 2048 的 RGBA 图像(每行 8192 字节)。这意味着每秒处理几十 MB。
我尝试使用 FFT 和自相关,但它们没有显示出我所追求的那种准确性。
FFT的问题
由于查找大部分重复模式的长度看起来像查找频率,因此我尝试使用 1 字节 = 1 个样本的傅里叶变换并绘制频谱的绝对值。
但主要问题是周期分辨率。因为我有兴趣找到信号的周期(一行像素的字节长度),所以我想在y轴上绘制周期长度的频谱图,而不是频率。但离散傅里叶变换的工作方式是计算1/n的频率倍数(对于n 个数据点)。这给了我在大周期内非常低的分辨率和在短期内高于需要的分辨率。
这是使用此方法在 144x90 RGB BMP 文件上计算的频谱图。我们预计偏移量为 432 处的峰值。FFT 的窗口大小为 4320 字节。
以及第一个数据块的分段图。
我计算出,如果我需要区分周期k和k+1 ,那么我需要一个大约为k²的窗口大小。所以对于 8192 字节,这使得 FFT 窗口大约为 16MB。这太慢了。
因此,FFT 计算了太多我不需要的信息而没有足够的信息。但是给定一个合理的窗口大小,它通常会在大约正确的时期显示一个尖峰。
自相关的问题
我尝试的另一种方法是使用一种离散自相关来绘制频谱图。
更准确地说,我计算的是一个数据块与其一半之间的互相关。并且只计算小块完全在大块内的偏移量。大块的大小必须是要绘制的最大周期的两倍。
这是使用此方法在与以前相同的图像上计算的频谱图示例。
以及第一个数据块的自相关的分段图。
尽管它产生了恰到好处的数据量,但自相关的值变化缓慢,因此不会在正确的时间段内产生尖锐的峰值。
问题
有没有办法在正确的周期附近获得一个尖锐的峰值和在大周期周围足够的精度?通过调整上述算法或使用完全不同的算法。
php - 在 PHP 文件中发现恶意代码。它有什么作用?
我发现这段代码插入到 My PHP 服务器上每个 PHP 文件的顶部。我想弄清楚这个脚本在做什么,但我不知道如何破译主要的隐藏代码。有这方面经验的人可以解密吗,因为我不是程序员?
非常感谢!!
链接到受感染的 php 文件示例:https ://drive.google.com/open?id=0B8PYE4BruOdMa2dWZDBLY09VRTA
代码是
web-services - Web 服务 - 关联请求和响应
在 web 服务 (web api) 设置中,证明数字签名响应与特定请求相关的方法是什么。例如,我发送了一些参数,响应返回“true”或“false”,但我想证明响应与我发送的参数相关联。我能想到的唯一方法是响应应该包含这些参数。还有其他选择吗?