【Myhex的过滤条件】

admin 2022年6月2日00:08:27程序逆向评论7 views928字阅读3分5秒阅读模式

来源:https://flowus.cn/share/a4740dbd-a371-4c2a-9657-8643262fe96a


喜欢X-Ways/Winhex的人,一定对文件过滤情有独钟。在所有取证软件中,X-Ways的过滤是最简单、明了和直接的。最新版本Myhex和鉴证大师都采用了同样的文件过滤方法。郭老师今天整理了一些最新的过滤条件,将在下一个Myhex更新版本中一起发送给大家使用。先看看今天郭老师的整理结果。

**1、过滤条件:APP痕迹-WPS-WPS本地备份**
这个过滤条件是用于查看镜像中存在的**“WPS自动备份文件”**。大家自己可能都不知道WPS“**帮助“**咱们在硬盘中备份了多少数据。郭老师用Myhex过滤了一下自己的硬盘,竟然找到191个文件,涉及的文件扩展名有.WPS、.ET、.PPTX、.DOCX等很多,文件也都是郭老师最近编辑过的文档。

【Myhex的过滤条件】

**2、过滤条件:APP痕迹-WPS-WPS云备份**
WPS总是希望用户注册、登录,启用云同步,然后就会帮用户把数据同步到云盘,本地文档也变成云文档。大家选择“WPS网盘”,就可以看到自己最近访问的、被WPS云同步的数据。

【Myhex的过滤条件】


利用Myhex的“**APP痕迹-WPS-WPS云备份**”这个过滤条件,可以把缓存在用户本地的云文档快速过滤出来。查看过滤结果发现,WPS云文档在本地依然存在缓存痕迹。图中是郭老师昨天编辑过的文档,这些文档除了保存在郭老师自己的移动硬盘中之外,还被WPS自动被存入到云备份中,且另外还在本地硬盘中存在云缓存副本。

【Myhex的过滤条件】

**3、保存一个过滤条件:APP痕迹-WPS-WPS日志**
WPS为防止程序出错文档崩溃,会存在一种BKL文件,记录了用户最后一次打开和编辑过的文档的名称。
知道如何找到这个文件后,我们可以自己创建一个过滤条件,证明过滤条件无误后,选择Myhex右上角的“磁盘”图标来保存过滤条件。保存后的过滤条件就可以永远使用了。

【Myhex的过滤条件】

看完郭老师准备的这些过滤条件后,大家觉得Myhex的过滤功能如何呢?下一周把macOS和Linux过滤条件完成后分享给大家。最近准备考试、做题、竞赛、实际案件的朋友,都可以试试。

【Myhex的过滤条件】

【Myhex的过滤条件】

原文始发于微信公众号(电子物证):【Myhex的过滤条件】

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月2日00:08:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【Myhex的过滤条件】 http://cn-sec.com/archives/1076782.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: