Neue Fragen mit dem Tag «forensics»
Insgesamt gefunden 91 Frage
3
Bewertungen
1
Antwort
653
Ansichten
Wie mounten Sie ein LVM-Volume aus einem dd / raw / vmdk-Image?
Eingabe: RAW / DD-Image einer Festplatte. fdisk -lzeigt Partitionen sudo fdisk -l image.dd Disk image.dd: 15 GiB, 16106127360 bytes, 31457280 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklab...
fragte gies0r vor 5 Jahren
0
Bewertungen
1
Antwort
562
Ansichten
Finden Sie ein String-Paket in entschlüsselten Daten mit Wireshark / Tshark
Ich analysiere eine Erfassung des verschlüsselten Datenverkehrs mit Wireshark. Ich habe den Datenverkehr mit der richtigen Passphrase in Wireshark entschlüsselt, und ich kann die entschlüsselten Daten jedes Frames sehen. Der Punkt ist, wenn ich ein Paket mit einer bestimmten Zeichenfolge suche, kann...
fragte crato vor 6 Jahren
0
Bewertungen
0
Antworten
430
Ansichten
Defekte externe USB-Festplatte vom System nicht erkannt
Ich habe eine externe 1 TB Intenso® USB-Festplatte, die nach einem kleinen Absturz des Gehäuses nicht mehr funktioniert. Wenn ich es an einen Computer anschließe, leuchtet das Licht auf und es tritt ein Geräusch auf (Sie können das Gefühl haben, dass die Diskette läuft), aber die Lautstärke wird nic...
fragte Félicien vor 6 Jahren
2
Bewertungen
0
Antworten
603
Ansichten
Wie wird der Arbeitsspeicher der in Linux laufenden virtuellen Maschine gesichert?
Ich habe eine virtuelle Windows-Maschine, die mit qemu installiert ist. Ich möchte wissen, wie ich den gesamten RAM-Speicher des Gastsystems von einem Hostsystem wie bin2dmp in Windows entleeren kann . Ich habe hier gelesen , dass es möglich ist, aber nicht herauszufinden, wie das geht. Daher wird j...
fragte shubham0d vor 6 Jahren
0
Bewertungen
3
Antworten
1552
Ansichten
Wie finden Sie das Installationsdatum des Windows-Betriebssystems ohne Registrierung oder Eingabeaufforderung?
Ich betrachte die abgelegten Dateien eines Windows XP-Computers. Ich habe keinen Zugriff auf die Registry, nur alle Dateien vom Computer selbst. Ich möchte herausfinden, an welchem Datum das Betriebssystem installiert wurde, aber die meisten Online-Antworten geben an, entweder in der Registrierung...
fragte Guy vor 6 Jahren
0
Bewertungen
0
Antworten
413
Ansichten
Wie kann man mit FAT32 gelöschte Dateien suchen, ohne zu scannen?
In Datenwiederherstellungs-Tools wie IsBuster gibt es eine Liste von gelöschten Dateien in FAT-Dateisystemen, die sofort angezeigt wird, ohne dass ein Scan erforderlich ist. Auch ältere Datei- / Verzeichnisnamen nach dem Umbenennen und vollständige Dateinamen ohne Dateinamen (fehlender erster Buchst...
fragte neverMind9 vor 6 Jahren
0
Bewertungen
1
Antwort
547
Ansichten
Ist es möglich, einen Zeitstempel zu erhalten, wenn die Festplatte formatiert ist?
Ich frage mich, ist es möglich zu bestimmen, wann eine Festplatte formatiert wird? Es wurde mit GParted von Live-Linux formatiert. Zuvor war Windows installiert und das Dateisystem war NTFS. Vielen Dank
fragte vor 6 Jahren
0
Bewertungen
0
Antworten
583
Ansichten
Zwischenablage oder Cache wiederherstellbar? Forensischer Zugriff
Ich habe eine Situation, in der sehr sensible Daten von einer Webseite auf eine andere Seite kopiert und eingefügt wurden. Ein paar andere Dinge wurden dann kopiert / eingefügt und dann wurde der Computer inaktiv. Ich muss die kopierten und eingefügten Informationen abrufen, aber Windows erlaubt nur...
fragte user72593 vor 6 Jahren
0
Bewertungen
0
Antworten
430
Ansichten
ldmtool gibt "[]" zurück, wenn ein RAID-1-Windows-Software-Raid gemountet wird
Ich habe einen Computer, in dem Windows beschlossen hat, heute nicht zu funktionieren (alle lesen dies, hören auf, Microsoft Geld zu geben). Es hatte ein Laufwerk mit C: und Windows-Dateien ( /dev/sdb). Und es gab ein E: -Laufwerk ( /dev/sda, /dev/sdc), ein Windows-Software-Raid 1 mit den Dateien, d...
fragte Sanchke Dellowar vor 6 Jahren
0
Bewertungen
0
Antworten
1020
Ansichten
Wo finde ich eine Liste der auf einem Windows 7-System installierten Programme sowie deren Installationsdatum?
Ich führe eine forensische Untersuchung auf einem Festplattenabbild eines Windows 7-Systems durch. Bisher habe ich die Windows-Registrierung durchgelesen und folgende Schlüssel gefunden: F:\[root]\Windows\System32\config\SOFTWARE: Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall (Contains som...
fragte Forensics Investigator vor 7 Jahren
3
Bewertungen
4
Antworten
1709
Ansichten
Wie identifiziere ich einen Dateityp ohne Erweiterung in Windows?
Ich habe eine große Datei mit 92,5 GB ohne Dateierweiterung in der C://Partition namens „Free Space“ und ein weiteres Geschwister von 260 KB. Ich frage mich, ob ich diese Dateierweiterung identifizieren kann oder ob es sich um eine alte Sicherung handelt. Gibt es sowieso den Dateiinhalt zu identifiz...
fragte Emad Saeed vor 7 Jahren
3
Bewertungen
3
Antworten
960
Ansichten
Wie ist es möglich, eine Festplatte während der Verwendung Stück für Stück zu kopieren?
Ich habe in der Forensik gelernt, dass Sie einen Agenten auf einem Remote-Computer bereitstellen können und eine exakte Kopie der Remote-Festplatte abrufen können, einschließlich nicht zugewiesenem Speicherplatz und Swap, selbst wenn diese verwendet wird. Diese Kopie wird vom Agenten über das Intern...
fragte Mark Read vor 7 Jahren
-1
Bewertungen
1
Antwort
2412
Ansichten
Konvertieren Sie hexdump in tar-Datei
Ich habe ein hex dumpas 1f8b 0800 3416 1259 0003 edcf 310e c230 0c85 61cf 9c22 1708 b2d3 909e a7a2 5d90 1028 7581 e353 d401 2660 a910 d2ff 2d6f f01b 9ec7 615f 07df facd 6535 3a2b 253f d2da 9dbe e622 9958 639a b3a5 3615 51b3 648d 045d 6fd2 d334 7a57 4390 fed2 bfed 7dba ffa9 c3fc 7ff4 53bc 76f5 18a7 7...
fragte Prashant Dey vor 7 Jahren
0
Bewertungen
0
Antworten
378
Ansichten
Können Windows 10-Ereignisprotokolle verwendet werden, um festzustellen, welche Programme auf einem Computer installiert wurden und wann?
Ich habe eine Antwort für die Paketmanagerprotokolle von Debian gefunden, die Ihnen zeigen kann, wann und in welcher Reihenfolge Pakete von Bash installiert oder aktualisiert wurden. Gibt es eine Art Äquivalent dazu in Windows 10, z. B. die Verwendung der Ereignisprotokolle, um herauszufinden, welch...
fragte leeand00 vor 7 Jahren
0
Bewertungen
0
Antworten
466
Ansichten
Möglichkeit, vorherige Daten nach dem Format wiederherzustellen und os (Windows7) neu zu installieren?
Ich bitte um Ratschläge zur Wiederherstellung der vorherigen Daten nach mehreren Format- und Betriebssysteminstallationen, da es einige wichtige Daten gab, die ich aufbewahren musste, die ich jedoch vor dem Formatieren vergessen habe. Lassen Sie uns einfach klarer werden und ich werde meine aktuelle...
fragte JohnnySmith vor 7 Jahren
2
Bewertungen
0
Antworten
1085
Ansichten
hdparm: was macht --dco-restore wirklich?
Ich befolge die Anweisungen unter: Festplatte - Wischen Sie "verborgene Bereiche" wie HPA und DCO auch nach Malware-Infektion aus In den letzten Tagen habe ich nach verborgenen Bereichen einer Festplatte gesucht und mit ihnen in Linux experimentiert. Zwei Themen, die mein Interesse erregt haben, wa...
fragte user138072 vor 7 Jahren
0
Bewertungen
1
Antwort
361
Ansicht
Wie erfahre ich, ob mein Laptop herumgespielt hat?
Ich habe nur meinen Laptop für örtliche Servicemitarbeiter, aber ich lebe in einer schlechten Nachbarschaft. Ich habe ein Backup gemacht, bevor ich es gegeben habe. Aber wie kann ich erkennen, ob sie Teile mit anderen billigen Teilen und dergleichen ausgetauscht haben? Auf meinem Laptop läuft Ubuntu...
fragte Juan Jellyfish vor 8 Jahren
0
Bewertungen
3
Antworten
822
Ansichten
Linux Server genauso wie RAMdisk
Ich möchte einen anti-forensischen Linux-Server einrichten, um meine Benutzer zu schützen. Mein Ziel ist es, die Linux-Distribution und alles, was sich darin befindet, aus dem RAM-Speicher auszuführen und niemals dauerhaft etwas zu speichern. Es ist möglich, dass ich eventuell ausgewählte Elemente (...
fragte k1308517 vor 8 Jahren
0
Bewertungen
0
Antworten
420
Ansichten
Löschen Sie beschädigte / teilweise überschriebene Dateien nicht
Kürzlich habe ich mich mit einigen mit Ransomware infizierten Computern befasst, mit verschlüsselten Benutzerdateien. Meine Aufgabe bestand darin, diese Dateien entweder zu entschlüsseln (wenn möglich) oder so viele verwendbare Dateien wie möglich wiederherzustellen. Dazu gehörten auch das Rückgängi...
fragte Tomasz Klim vor 8 Jahren
0
Bewertungen
1
Antwort
382
Ansichten
So können Sie feststellen, ob ein Programm oder ein Prozess versucht hat, Informationen zu drucken oder zu drucken
Ich versuche, mit der Unterstützung Dritter an einem Finanzprogramm namens Mercury zu arbeiten. Das Programm gibt an, es habe einen Bericht erfolgreich über seinen "Scheduler" gedruckt, druckt jedoch nie etwas. Es hat vor etwa einem Jahr funktioniert, aber seitdem nicht mehr. Es greift auf den Druck...
fragte tech-on-a-tightrope vor 8 Jahren
0
Bewertungen
0
Antworten
850
Ansichten
SIFT Workstation v3 Rollback auf Ubuntu 14.04
Ich bin Juristin und habe Kurse in Digital Forensics absolviert. Auch Ubuntu (und Linux im Allgemeinen) sind noch relativ neu. Ich habe SIFT Workstation v3 auf meiner Ubuntu 14.04-Installation mit der bash installiert: wget --quiet -O - https://raw.github.com/sans-dfir/sift-bootstrap/master/bootstr...
fragte Basil Ajith vor 8 Jahren
0
Bewertungen
0
Antworten
530
Ansichten
Warum ist das Encase-Festplattenabbild kleiner als der auf der Quellfestplatte belegte Speicherplatz?
Ich verwende ein forensisches Disk-Imaging-Tool, um ein Encase (E01) -Datenträger-Image einer 4-TB-Festplatte zu erstellen. Auf dieser Platte werden tatsächlich 3.19 TB Speicherplatz verwendet. Das resultierende Festplatten-Image hat eine Größe von 2,82 TB. Es wurden keine Komprimierungsoptionen ver...
fragte dongle vor 8 Jahren
1
Bewertungen
0
Antworten
394
Ansichten
RAM in Echtzeit bearbeiten
Ist es möglich, RAM mit Hexdump oder einem anderen Programm in Echtzeit zu bearbeiten? Wie? Ich habe hier http://linuxpoison.blogspot.pt/2011/04/how-to-read-content-from-ram-random.html gelesen, dass ich den Inhalt des RAMs sehen kann, aber nicht erklären kann, wie er bearbeitet wird oder ob das mög...
fragte Mark Read vor 8 Jahren
0
Bewertungen
1
Antwort
501
Ansicht
Löschen einer Festplatte und Hinterlassen einer Nachricht
Ich wollte wissen, ob es eine Methode zum Löschen einer Festplatte gibt, sodass jemand, der versucht, Daten wiederherzustellen, von einer Nachricht begrüßt wird, die der Wischer wählt. In diesem Video hat der Wischer beispielsweise die Platte so gewischt, dass die Forensik eine missbräuchliche Phras...
fragte poiasd vor 8 Jahren
0
Bewertungen
1
Antwort
2669
Ansichten
Wie bekomme ich einen vollständigen Speicherauszug in Windows 10?
Informationen wie Prozess-ID, Prozesstyp, physische und virtuelle Adresse können aus einem Speicherabbild in Windows 10 abgerufen werden.
fragte vor 8 Jahren
3
Bewertungen
1
Antwort
1301
Ansicht
Tshark Den gesamten Verkehr zwischen zwei IPs auflisten?
Ich lerne Tshark zu benutzen. Ich versuche, eine Liste aller Gespräche zwischen zwei IP-Adressen mithilfe von Tshark abzurufen. Die beiden IPs lauten: 192.168.1.158 | 64.12.24.50 In Wireshark kann ich die Kommunikation zwischen den IPs sehen In der Befehlszeile gebe ich den folgenden Befehl aus: t...
fragte syrex vor 8 Jahren
0
Bewertungen
1
Antwort
724
Ansichten
6 Jahre alte Mac-Festplatte "Erstellungsdatum" und "Änderungsdatum" wurden vor 2 Wochen geändert
Bearbeiten: gelöscht, weil ich einen Fehler in der ursprünglichen Situation / dem ursprünglichen Szenario gemacht habe. Die "Festplatten" -Daten wurden nicht geändert ... Ich habe mich irrtümlicherweise mit dem "Volume" "Alias" des Kindes befasst, der sich immer ändert, wenn Sie hochfahren. Es tut u...
fragte catmac vor 9 Jahren
0
Bewertungen
2
Antworten
373
Ansichten
Überprüfung auf Änderungen unter Linux Live OS
Ich bin ein Neuling am Terminal von Linux Live OS (zB Kali Linux). Bitte sagen Sie was 1) in eingebauten Programmen (zB Syslog ...), 2) Befehle im Terminal (zB ls, ps, md5sum, ...) kann man die Änderungen des Live-Betriebssystems (seit dem Booten von Disc) überprüfen? IE Integritätsprüfungen. Ich b...
fragte unseen_rider vor 9 Jahren
1
Bewertungen
1
Antwort
1079
Ansichten
Rohes Lesen von USB-Massenspeicher oder SCSI
Bei der USB-Festplatte von Wife gibt es ein kleines Problem, bei dem sich ein Ordner nicht öffnen lässt (NTFS-Dateisystem). Ich konnte das Laufwerk unter Linux nur für einen Sektor abbilden (Sektoren sind 4096 Bytes). Das Lesen dieses Sektors schlägt fehl: sudo dd if = / dev / sdb = block überspring...
fragte Balzola vor 9 Jahren
1
Bewertungen
0
Antworten
325
Ansichten
Wie kann ich ein Domänencontrollerkonto für die forensische Analyse in ein lokales Konto konvertieren?
Ich mache eine forensische Analyse eines Windows-Computers, der über mehrere lokale Konten verfügt, jedoch über einen Domänencontroller oder ein Active Directory-Konto verfügt. Ich kann die Dateien des Benutzers analysieren, da die Dateien lokal gespeichert sind. Normalerweise möchte ich das DD-Abbi...
fragte kinunt vor 9 Jahren