问题标签 [computer-forensics]

什么是一 .ietld 文件？先生，我在调查我的计算机系统时在浏览器历史记录中发现了这个。它在数字计算机取证中是否有效。例子：1。位置：ietld:hotel.lk 点击数：1 缓存文件大小：0 2.Location：ietld:gob.ni 点击数：1 缓存文件大小：0 等提前致谢

根据这个解释 [1] 如何从 SQLite 数据库中恢复已删除的记录，当您删​​除记录时会发生两件事：包含已删除记录的区域被添加到空闲列表（作为空闲块）和内容区域中的“标题”被覆盖。

内容本身没有（或只有几个字节）被覆盖，因此例如通过使用十六进制编辑器打开数据库文件，您仍然可以看到已删除记录的部分内容。

因此，要检查这是否正确，这是一个最小的示例：

我现在期待的是——用十六进制编辑器打开文件——在 CCCC…和 AAAA…之间仍然有一些 B（但 B 之前的一些字节或前几个 B 应该被覆盖）。真正发生的是带有 Bs 的整个区域已被空字节覆盖。

这也发生在较大的数据库中。内容区域总是用空字节清理，因此不可能恢复任何东西。

我必须使用任何选项或标志来获得博文中显示的结果吗？

我需要以这种方式创建我的 SQLite 数据库，以便能够使用取证工具恢复已删除的记录（或其中的一部分）。

[1] http://sandersonforensics.com/forum/content.php?222-Recovering-deleted-records-from-an-SQLite-database

我不知道这是否是问这个问题的正确地方，如果不是，请告诉我。

我最近有一个项目将网站从一个主机（不知道是哪个主机）移动到一个新主机（hostgator）。我这样做了，一天之内就收到了来自 hostgator 的邮件，说该网站已被阻止，因为在服务器上发现了恶意文件。他们给了我一份包含“恶意软件”的 php 文件列表。我打开它们，肯定有一些不寻常的东西。有一个巨大的十六进制字符串（以下称为THE STRING）分配给一个全局变量，并且在它下面有更多的乱码。

我试图理解代码，我所理解的都写在评论中

所以最后它使用了一个preg_replace函数来替换一个字符串，但是这段代码的目的是从中实现什么，它没有做任何事情，甚至没有echo'ed它。是不是要消耗CPU时间？/e修饰符与它有什么关系吗？

我想提到的另一件事是文件中有更多代码，普通代码。这些不是垃圾文件，它们是网站的管理文件，用于管理网站，如添加或删除内容等。

此外，所有文件并不完全相同，它们具有不同的字符串，并根据字符数提取不同的部分。

知道它是什么吗？

编辑：我发现了一个类似的问题，其中发布了清理后的版本并进行了详细解释

我正在使用带有自定义内核（4.2.0-36-generic）的最新 Ubuntu Linux，其中我禁用了 CONFIG_STRICT_DEVNEM，因为我需要在项目期间转储和搜索内存中的一些术语。

但是，当dd if=/dev/mem用于在屏幕上打印、dd if=/dev/mem of=/home/user/Documents/file.dump将其保存为文件或dd if=/dev/mem | hexdump -C | grep 'term'直接查找我要查找的内容时，系统会在此过程中冻结并重新启动。

我已经检查过df -h，我的光盘有足够的可用空间。此外，在从 8Gb RAM 写入 2.1Gb 到 2.5Gb 之后，该过程总是在到达以 4 开头的地址之前停止（如果这些有任何区别）。此外，在冻结之前检查/var/log/syslog并显示任何相关内容。/var/log/kern.log

此外，使用参数bs=1G count=2成功地复制了前 2GB 内存，但随后尝试bs=1G count=2 skip=2再次获取下一个 2GB 会冻结系统。

您会建议任何解决方案，以便可以转储完整内存或其他方式直接在内存中搜索术语吗？

在测试备份和恢复软件时，我遇到了以下异常情况：在对文​​件和文件夹进行全面清点后，我得到了一些声称是Archive | Sparse | ReparsePoint. 恢复后，这些文件只有Archive | Sparse.

在清单中，我生成了一系列BackupRead流的 SHA1 哈希，这些哈希在恢复之前和之后都匹配……意思是，我放回了我最初阅读的内容。然而，如果有一个ReparseData块，而我没有把它写出来，哈希就不会匹配。

在具有这组属性的其他文件中，恢复正常进行并恢复了所有预期的属性。这意味着ReparseData遇到了这种情况，并且生成的文件显示为ReparsePoint恢复后。

恢复后，操作系统似乎运行正常，文件加载并执行（其中许多奇怪的文件是 .DLL）。

我的权限没有问题 - 我已经声明了所有必要的权限，并且我打开文件以FILE_FLAG_OPEN_REPARSE_POINT准备BackupWrite. 一切似乎都正常工作。

但我很担心。我不知道我如何或为什么丢失了 ReparsePoint 标志。我不知道它最初是如何被标记为 ReparsePoint 的。我不知道这是否是原始安装的一些奇怪的工件。有没有办法在ReparsePoint文件中设置没有重解析点的属性？

以下是一些受影响的文件和位置的简短列表：

大多数（但不是全部）有问题的文件也恰好在卷上的其他位置硬链接（通常在Program Files. 硬链接绝对不是重解析点（它们的实现方式不同）。

有数百个（总共）。整个卷有大约 160K 个文件。我应该克服它吗？

Very often I've to deal with very large binary files (from 50 to 500Gb), in different formats, which contains basically mixed data including strings.

I need to index the strings inside the file, creating a database or an index, so I can do quick searches (basic search or complex with regex). The output of the search should be of course the offset of the found string in the binary file.

Does anyone know a tool, framework or library which can help me on this task?

我正在尝试找到一种方法来删除和恢复 android 中的文件 - 不使用 android 文件资源管理器工具或外部工具进行取证分析。到目前为止，我知道大多数设备都有 ext4 文件系统，并且删除的数据仍然存在，只有元数据被删除。我读过几篇关于取证分析的文章，但它们都使用工具。我想我必须使用 Adb shell 并找到文件的标题并对其进行更改，但还没有找到任何解释。我是朝着正确的方向还是错误的方向？任何帮助表示赞赏。（我有一个 root 和未 root 的设备，都高于 5.0 Android）

这个问题是出于学习目的，虽然我认为这是一个敏感话题？

我的问题很简单。

“我怎样才能修改，而不仅仅是从 Firefox 中提取缓存？”

但是当我对这个话题进行了详尽的搜索时，出现了更多的问题。

首先，从所有资源中，我假设缓存验证只是为了确保本地缓存与服务器的文件相同，但是** ETag 和 last-modification 都可以被操纵以欺骗服务器**。所以我的问题1是，

为什么火狐和其他浏览器努力确保没有人可以修改缓存，如果不是为了取证目的？

其次，查阅这个网页 http://encase-forensic-blog.guidancesoftware.com/2015/02/firefox-cache2-storage-breakdown.html，为什么缓存被认为是“取证”？我认为有一种方法可以防止发生缓存修改，但我找不到合法的证据。所以，

像Firefox这样的浏览器用来防止缓存修改的方法/机制是什么，他们如此自信甚至可以用作法医证据？？？

我为 Windows 8（64 位）编写了一个批处理脚本，该脚本使用 cygwin 使用 dd 命令创建 USB 记忆棒的图像。然后我使用md5命令比较哈希值，但是再次读取图像和usb需要很多时间。

Windows 64 位是否有任何命令可以在映像过程中动态创建哈希值？

只有 dd 与 Win 64 兼容。其他命令行的 dcfldd 和 FTKimager 仅适用于 Win32 位。

也许你知道别的？

是否可以使用 git 找出文件是在哪台计算机上制作的？如果您有代码仓库，是否可以检查文件并查看它们是在哪台计算机上制作的以及使用什么用户名？例如，它们是在 mac 还是 linux 上创建的？