传统介质取证过程中,办案人员通过分析文件系统能获取到与目标文件直接关联的时间要素常见有三种——创建时间、修改时间以及访问时间。 但对于案件侦办来说,仅靠这三类数据分析行为痕迹是远不够的。其实还有很多能...
cve-2024-26229 漏洞分析
原文首发在:奇安信攻防社区https://forum.butian.net/share/3101CSC 漏洞分析前几日,有人在github中放出了CVE-2024-26229的利用脚本,这里我们就借此...
【手动修复格式化后的NTFS文件系统】
来源:湖南云电司法鉴定所前 言在电子取证领域,现场可能会出现目标电脑被远程格式化等突发情况,在时间较为紧迫的情况下,对电脑做完镜像后恢复数据的时间可能并不充裕,本文将探讨手动修复机械硬盘上被格式化后的...
技术分享|Windows取证之寻找已删除的文件
寻找被删除的文件是计算机取证过程中的一项常见任务。在案件调查中,已删除的文件通常具有重要意义,因为嫌疑人喜欢通过删除文件掩盖自己的行踪。此外,嫌疑人和其他人一样,也会删除文件以保持电脑干净整洁,而已删...
【数据加解密篇】利用NTFS数据流(ADS)隐写加密取证分析
数据的价值远超案件,很多数据的价值没在当前的案件中发挥作用,并不代表着它就没有用。在 NTFS 文件系统中,可以通过隐写来将一些不为人知的、甚至是恶意的程序、代码隐藏在"NTFS 数据流(ADS)"等...
磁盘取证简介
介绍磁盘取证,也称为计算机取证或数字取证,是从存储设备(例如硬盘驱动器、固态驱动器和闪存驱动器)收集、分析和保存数字证据的过程。它涉及使用专门的工具和技术从数字设备中恢复数据、重建事件并识别潜在的安全...
借用 NTFS 交换数据流 实现隐藏文件
0x01 简介 NTFS交换数据流(Alternate DataStreams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流。通俗的理解,就是其它文件可...
【0day】通过 iTunes 实现 Windows 本地提权
声明: 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 目录 CVE-2024–...
「0day」通过 iTunes 入侵 Windows - 本地权限提升
CVE-2024-44193 简介 iTunes 版本 12.13.2.3 安装了 Apple 设备发现服务:C:Program FilesCommon FilesAppleMobile...
【0-day】通过 iTunes 入侵 Windows - 本地权限提升
CVE-2024-44193 简介这是有关 CVE-2024–44193 的一篇文章,它是 iTunes 版本 12.13.2.3 中的本地权限提升漏洞。Apple 已于 2024 年 9 月 12 ...
【PoC】 iTunes 的windows版本存在本地提权0day
图片:mbog14安全研究员 mbog14 发布了影响 iTunes 版本 12.13.2.3 的严重本地特权提升 (LPE) 漏洞的技术细节和概念验证,该漏洞被标识为 CVE-2024-44193 ...
时间与行为实验——USN Journal
大家好!今天的小课堂又开始啦! 前面介绍了电子文件的各种时间 今天我们来讲讲USN Journal时间与行为实验 一起来看看吧! Windows NTFS USN Journal介绍 微软发布Wind...