-
imToken APP 获取钱包地址等信息
在 \data\data\im.token.app\files\wallets 下储存 imToken 钱包的 Keystore 文件,属于应用私有存储区域。每个 JSON 文件对…
-
小米相册(com.miui.gallery)缩略图缓存位置
包名:com.miui.gallery ,小米手机 MIUI 系统自带图库应用。即使原图被删除,缩略图可能仍会暂时保留在系统缓存中。系统为了提升加载速度,会对常用图片的缩略图进行长…
-
2022年(JX)取证比赛服务器部分参考WP(一)
请分析宝塔面板中默认建站目录是?[标准格式:/etc/www] 先登录到服务器中,输入“bt”打开宝塔命令行,通过“5”、“6”命令修改面板用户名和密码。 在通过“14”命令查看面…
-
以EncFSMP为例浅谈加密容器取证思路
EncFSMP 这个工具可以帮助生成一个加密容器,并挂载磁盘。 相比于VC、TC,它的优势是不需要指定虚拟磁盘的大小。相反的,它要求的是一个文件夹,在文件夹中生成一个xml配置文件…
-
使用 FTK 将 VMware VMDK 转换成 E01 压缩镜像格式
近期手里拿了一个 E01 格式的镜像,需要修改镜像里面的内容然后重新打包。 首先使用 StarWind V2V Converter 先把 E01 格式的镜像转换成 VMware V…
-
使用Wireshark分析某比赛pcapng流量包数据
被攻击的机器上运行的新博客的入口端口 通过 tcp.stream eq 0 and http.response.code >= 200 and http.response.c…
-
CTF比赛某勒索病毒逆向解析(四)终章
分析被感染的文件,文件感染前的所显示的内容 本次解密需要两个文件,一个是加密后的 .enc 文件,一个是 ransom_key 解密密钥。 我们在解析(第三篇)找到的文件头是 0x…
-
CTF比赛某勒索病毒逆向解析(三)
加密文件所使用的加密算法 从代码中加密逻辑的核心实现可以明确判断是 XOR(异或)加密算法,属于对称加密的一种。 加密过程为逐字节异或运算:原始文件的每个字节(*((_BYTE *…
-
CTF比赛某勒索病毒逆向解析(二)
勒索病毒"CryptDestroyHash"所调用的动态链接库名称 依次点击 IDA 顶部菜单栏的 “视图” → “打开子视图” → “导入”,即可调出 “导入表” 窗口,搜索 C…
-
CTF比赛某勒索病毒逆向解析(一)
样本(虚拟机运行)(编号:250901):https://pan.baidu.com/s/1MscuyILdXfBQG4zQPqIv3w?pwd=8qhr 勒索病毒会加密什么文件?…
-
查看 Windows 电脑最近一次账户登录失败的时间
方法1:管理员权限打开PowerShell 输入一下代码,一定要管理员运行否则无法查看。 Get-WinEvent -FilterHashtable @{LogName='Secu…
-
查看向日葵远程控制软件“远程文件”传输记录
向日葵有“远程桌面”和“远程文件”两个功能,日志也只记录“远程文件”传输的记录(测试版本:15.8.3.19819)。 如果是通过“远程文件”传输过,那么是在向日葵logs日志中是…
