من تعداد مشخصی از مصنوعات را دارم و می خواهم آن دسته از مصنوعات خاص را در تصویر دیسک با استفاده از استخراج کننده فله با استفاده از روش های مختلف با استفاده از نمونه گیری تصادفی ، توقف لیست ، لیست هشدارها یا جستجوی متن جستجو کنم. می خواهم بدانم کدام روش است. کارآمد…
استفاده از رجیستری ویندوز و پرونده های پزشکی قانونی در تحقیقات
تعدادی از زمینه های مفید پزشکی قانونی در رجیستری و سیستم فایل ویندوز مانند مواردی که در این پوستر SANS شرح داده شده است. فهمیدم که وقتی تحقیق می کنم ، این داده ها می توانند واقعاً مفید باشند. من کنجکاو شدم که دیگران چقدر از این داده ها استفاده می کنند. آیا از داده…
پزشکی قانونی – تصویربرداری منطقه حفاظت شده میزبان (HPA)
y'all. من دانشجوی بخش پزشکی قانونی دیجیتال هستم. من باید یک تصویر از HPA دیسک خود ایجاد کنم. من تمام اسناد را درباره ایجاد روش های تصویر HPA جستجو کردم ، اما همه آنها روش های فرسوده هستند. به عنوان مثال ، کیت Sleuth نسخه 1.7.3 امکان ایجاد آن را می دهد اما در سال…
پزشکی قانونی – چرا اندازه پرش حافظه در برخی از دستگاه ها با میزان رم ارتباط ندارد؟
من از winpmem برای انجام برخی از دفع های حافظه استفاده می کنم. من یک کار آزمایشی در ایستگاه کاری خود انجام دادم و پرونده ها در حدود 32 گیگابایت بودند ، دقیقاً همان چیزی که انتظار داشتم از آنجا که 32 گیگ رم دارند. با این حال ، در دستگاه های دیگر پرونده خروجی…
پزشکی قانونی – بررسی یک دستگاه ویندوز 10
من در حال حاضر یک IRP را تولید می کنم که به هک های سیستم پاسخ می دهد. من خودم به ویندوز 10 (دستگاه قربانی) حمله کردم ، با استفاده از Metasploit در کالی لینوکس ، جایی که موفق شدم از طریق پورت 22 SSH دسترسی پیدا کنم. از آنجا برنامه های افزودنی فایل را…