Neue Fragen mit dem Tag «forensics»

Insgesamt gefunden 91 Frage

3
Bewertungen
1
Antwort
579
Ansichten

Wie mounten Sie ein LVM-Volume aus einem dd / raw / vmdk-Image?

Eingabe: RAW / DD-Image einer Festplatte. fdisk -lzeigt Partitionen sudo fdisk -l image.dd Disk image.dd: 15 GiB, 16106127360 bytes, 31457280 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklab...

0
Bewertungen
1
Antwort
495
Ansichten

Finden Sie ein String-Paket in entschlüsselten Daten mit Wireshark / Tshark

Ich analysiere eine Erfassung des verschlüsselten Datenverkehrs mit Wireshark. Ich habe den Datenverkehr mit der richtigen Passphrase in Wireshark entschlüsselt, und ich kann die entschlüsselten Daten jedes Frames sehen. Der Punkt ist, wenn ich ein Paket mit einer bestimmten Zeichenfolge suche, kann...

0
Bewertungen
0
Antworten
385
Ansichten

Defekte externe USB-Festplatte vom System nicht erkannt

Ich habe eine externe 1 TB Intenso® USB-Festplatte, die nach einem kleinen Absturz des Gehäuses nicht mehr funktioniert. Wenn ich es an einen Computer anschließe, leuchtet das Licht auf und es tritt ein Geräusch auf (Sie können das Gefühl haben, dass die Diskette läuft), aber die Lautstärke wird nic...

2
Bewertungen
0
Antworten
553
Ansichten

Wie wird der Arbeitsspeicher der in Linux laufenden virtuellen Maschine gesichert?

Ich habe eine virtuelle Windows-Maschine, die mit qemu installiert ist. Ich möchte wissen, wie ich den gesamten RAM-Speicher des Gastsystems von einem Hostsystem wie bin2dmp in Windows entleeren kann . Ich habe hier gelesen , dass es möglich ist, aber nicht herauszufinden, wie das geht. Daher wird j...
fragte shubham0d vor 5 Jahren

0
Bewertungen
3
Antworten
1494
Ansichten

Wie finden Sie das Installationsdatum des Windows-Betriebssystems ohne Registrierung oder Eingabeaufforderung?

Ich betrachte die abgelegten Dateien eines Windows XP-Computers. Ich habe keinen Zugriff auf die Registry, nur alle Dateien vom Computer selbst. Ich möchte herausfinden, an welchem ​​Datum das Betriebssystem installiert wurde, aber die meisten Online-Antworten geben an, entweder in der Registrierung...

0
Bewertungen
0
Antworten
363
Ansichten

Wie kann man mit FAT32 gelöschte Dateien suchen, ohne zu scannen?

In Datenwiederherstellungs-Tools wie IsBuster gibt es eine Liste von gelöschten Dateien in FAT-Dateisystemen, die sofort angezeigt wird, ohne dass ein Scan erforderlich ist. Auch ältere Datei- / Verzeichnisnamen nach dem Umbenennen und vollständige Dateinamen ohne Dateinamen (fehlender erster Buchst...
fragte neverMind9 vor 6 Jahren

0
Bewertungen
1
Antwort
482
Ansichten

Ist es möglich, einen Zeitstempel zu erhalten, wenn die Festplatte formatiert ist?

Ich frage mich, ist es möglich zu bestimmen, wann eine Festplatte formatiert wird? Es wurde mit GParted von Live-Linux formatiert. Zuvor war Windows installiert und das Dateisystem war NTFS. Vielen Dank
fragte vor 6 Jahren

0
Bewertungen
0
Antworten
531
Ansicht

Zwischenablage oder Cache wiederherstellbar? Forensischer Zugriff

Ich habe eine Situation, in der sehr sensible Daten von einer Webseite auf eine andere Seite kopiert und eingefügt wurden. Ein paar andere Dinge wurden dann kopiert / eingefügt und dann wurde der Computer inaktiv. Ich muss die kopierten und eingefügten Informationen abrufen, aber Windows erlaubt nur...

0
Bewertungen
0
Antworten
382
Ansichten

ldmtool gibt "[]" zurück, wenn ein RAID-1-Windows-Software-Raid gemountet wird

Ich habe einen Computer, in dem Windows beschlossen hat, heute nicht zu funktionieren (alle lesen dies, hören auf, Microsoft Geld zu geben). Es hatte ein Laufwerk mit C: und Windows-Dateien ( /dev/sdb). Und es gab ein E: -Laufwerk ( /dev/sda, /dev/sdc), ein Windows-Software-Raid 1 mit den Dateien, d...
fragte Sanchke Dellowar vor 6 Jahren

0
Bewertungen
0
Antworten
961
Ansicht

Wo finde ich eine Liste der auf einem Windows 7-System installierten Programme sowie deren Installationsdatum?

Ich führe eine forensische Untersuchung auf einem Festplattenabbild eines Windows 7-Systems durch. Bisher habe ich die Windows-Registrierung durchgelesen und folgende Schlüssel gefunden: F:\[root]\Windows\System32\config\SOFTWARE: Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall (Contains som...
fragte Forensics Investigator vor 6 Jahren

3
Bewertungen
4
Antworten
1654
Ansichten

Wie identifiziere ich einen Dateityp ohne Erweiterung in Windows?

Ich habe eine große Datei mit 92,5 GB ohne Dateierweiterung in der C://Partition namens „Free Space“ und ein weiteres Geschwister von 260 KB. Ich frage mich, ob ich diese Dateierweiterung identifizieren kann oder ob es sich um eine alte Sicherung handelt. Gibt es sowieso den Dateiinhalt zu identifiz...
fragte Emad Saeed vor 6 Jahren

3
Bewertungen
3
Antworten
910
Ansichten

Wie ist es möglich, eine Festplatte während der Verwendung Stück für Stück zu kopieren?

Ich habe in der Forensik gelernt, dass Sie einen Agenten auf einem Remote-Computer bereitstellen können und eine exakte Kopie der Remote-Festplatte abrufen können, einschließlich nicht zugewiesenem Speicherplatz und Swap, selbst wenn diese verwendet wird. Diese Kopie wird vom Agenten über das Intern...
fragte Mark Read vor 6 Jahren

-1
Bewertungen
1
Antwort
2348
Ansichten

Konvertieren Sie hexdump in tar-Datei

Ich habe ein hex dumpas 1f8b 0800 3416 1259 0003 edcf 310e c230 0c85 61cf 9c22 1708 b2d3 909e a7a2 5d90 1028 7581 e353 d401 2660 a910 d2ff 2d6f f01b 9ec7 615f 07df facd 6535 3a2b 253f d2da 9dbe e622 9958 639a b3a5 3615 51b3 648d 045d 6fd2 d334 7a57 4390 fed2 bfed 7dba ffa9 c3fc 7ff4 53bc 76f5 18a7 7...

0
Bewertungen
0
Antworten
326
Ansichten

Können Windows 10-Ereignisprotokolle verwendet werden, um festzustellen, welche Programme auf einem Computer installiert wurden und wann?

Ich habe eine Antwort für die Paketmanagerprotokolle von Debian gefunden, die Ihnen zeigen kann, wann und in welcher Reihenfolge Pakete von Bash installiert oder aktualisiert wurden. Gibt es eine Art Äquivalent dazu in Windows 10, z. B. die Verwendung der Ereignisprotokolle, um herauszufinden, welch...

0
Bewertungen
0
Antworten
411
Ansichten

Möglichkeit, vorherige Daten nach dem Format wiederherzustellen und os (Windows7) neu zu installieren?

Ich bitte um Ratschläge zur Wiederherstellung der vorherigen Daten nach mehreren Format- und Betriebssysteminstallationen, da es einige wichtige Daten gab, die ich aufbewahren musste, die ich jedoch vor dem Formatieren vergessen habe. Lassen Sie uns einfach klarer werden und ich werde meine aktuelle...
fragte JohnnySmith vor 7 Jahren

2
Bewertungen
0
Antworten
1031
Ansicht

hdparm: was macht --dco-restore wirklich?

Ich befolge die Anweisungen unter: Festplatte - Wischen Sie "verborgene Bereiche" wie HPA und DCO auch nach Malware-Infektion aus In den letzten Tagen habe ich nach verborgenen Bereichen einer Festplatte gesucht und mit ihnen in Linux experimentiert. Zwei Themen, die mein Interesse erregt haben, wa...

0
Bewertungen
1
Antwort
309
Ansichten

Wie erfahre ich, ob mein Laptop herumgespielt hat?

Ich habe nur meinen Laptop für örtliche Servicemitarbeiter, aber ich lebe in einer schlechten Nachbarschaft. Ich habe ein Backup gemacht, bevor ich es gegeben habe. Aber wie kann ich erkennen, ob sie Teile mit anderen billigen Teilen und dergleichen ausgetauscht haben? Auf meinem Laptop läuft Ubuntu...
fragte Juan Jellyfish vor 7 Jahren

0
Bewertungen
3
Antworten
766
Ansichten

Linux Server genauso wie RAMdisk

Ich möchte einen anti-forensischen Linux-Server einrichten, um meine Benutzer zu schützen. Mein Ziel ist es, die Linux-Distribution und alles, was sich darin befindet, aus dem RAM-Speicher auszuführen und niemals dauerhaft etwas zu speichern. Es ist möglich, dass ich eventuell ausgewählte Elemente (...

0
Bewertungen
0
Antworten
367
Ansichten

Löschen Sie beschädigte / teilweise überschriebene Dateien nicht

Kürzlich habe ich mich mit einigen mit Ransomware infizierten Computern befasst, mit verschlüsselten Benutzerdateien. Meine Aufgabe bestand darin, diese Dateien entweder zu entschlüsseln (wenn möglich) oder so viele verwendbare Dateien wie möglich wiederherzustellen. Dazu gehörten auch das Rückgängi...
fragte Tomasz Klim vor 7 Jahren

0
Bewertungen
1
Antwort
330
Ansichten

So können Sie feststellen, ob ein Programm oder ein Prozess versucht hat, Informationen zu drucken oder zu drucken

Ich versuche, mit der Unterstützung Dritter an einem Finanzprogramm namens Mercury zu arbeiten. Das Programm gibt an, es habe einen Bericht erfolgreich über seinen "Scheduler" gedruckt, druckt jedoch nie etwas. Es hat vor etwa einem Jahr funktioniert, aber seitdem nicht mehr. Es greift auf den Druck...
fragte tech-on-a-tightrope vor 7 Jahren

0
Bewertungen
0
Antworten
802
Ansichten

SIFT Workstation v3 Rollback auf Ubuntu 14.04

Ich bin Juristin und habe Kurse in Digital Forensics absolviert. Auch Ubuntu (und Linux im Allgemeinen) sind noch relativ neu. Ich habe SIFT Workstation v3 auf meiner Ubuntu 14.04-Installation mit der bash installiert: wget --quiet -O - https://raw.github.com/sans-dfir/sift-bootstrap/master/bootstr...
fragte Basil Ajith vor 8 Jahren

0
Bewertungen
0
Antworten
474
Ansichten

Warum ist das Encase-Festplattenabbild kleiner als der auf der Quellfestplatte belegte Speicherplatz?

Ich verwende ein forensisches Disk-Imaging-Tool, um ein Encase (E01) -Datenträger-Image einer 4-TB-Festplatte zu erstellen. Auf dieser Platte werden tatsächlich 3.19 TB Speicherplatz verwendet. Das resultierende Festplatten-Image hat eine Größe von 2,82 TB. Es wurden keine Komprimierungsoptionen ver...

1
Bewertungen
0
Antworten
343
Ansichten

RAM in Echtzeit bearbeiten

Ist es möglich, RAM mit Hexdump oder einem anderen Programm in Echtzeit zu bearbeiten? Wie? Ich habe hier http://linuxpoison.blogspot.pt/2011/04/how-to-read-content-from-ram-random.html gelesen, dass ich den Inhalt des RAMs sehen kann, aber nicht erklären kann, wie er bearbeitet wird oder ob das mög...
fragte Mark Read vor 8 Jahren

0
Bewertungen
1
Antwort
449
Ansichten

Löschen einer Festplatte und Hinterlassen einer Nachricht

Ich wollte wissen, ob es eine Methode zum Löschen einer Festplatte gibt, sodass jemand, der versucht, Daten wiederherzustellen, von einer Nachricht begrüßt wird, die der Wischer wählt. In diesem Video hat der Wischer beispielsweise die Platte so gewischt, dass die Forensik eine missbräuchliche Phras...
fragte poiasd vor 8 Jahren

0
Bewertungen
1
Antwort
2620
Ansichten

Wie bekomme ich einen vollständigen Speicherauszug in Windows 10?

Informationen wie Prozess-ID, Prozesstyp, physische und virtuelle Adresse können aus einem Speicherabbild in Windows 10 abgerufen werden.
fragte vor 8 Jahren

3
Bewertungen
1
Antwort
1242
Ansichten

Tshark Den gesamten Verkehr zwischen zwei IPs auflisten?

Ich lerne Tshark zu benutzen. Ich versuche, eine Liste aller Gespräche zwischen zwei IP-Adressen mithilfe von Tshark abzurufen. Die beiden IPs lauten: 192.168.1.158 | 64.12.24.50 In Wireshark kann ich die Kommunikation zwischen den IPs sehen In der Befehlszeile gebe ich den folgenden Befehl aus: t...

0
Bewertungen
1
Antwort
670
Ansichten

6 Jahre alte Mac-Festplatte "Erstellungsdatum" und "Änderungsdatum" wurden vor 2 Wochen geändert

Bearbeiten: gelöscht, weil ich einen Fehler in der ursprünglichen Situation / dem ursprünglichen Szenario gemacht habe. Die "Festplatten" -Daten wurden nicht geändert ... Ich habe mich irrtümlicherweise mit dem "Volume" "Alias" des Kindes befasst, der sich immer ändert, wenn Sie hochfahren. Es tut u...

0
Bewertungen
2
Antworten
320
Ansichten

Überprüfung auf Änderungen unter Linux Live OS

Ich bin ein Neuling am Terminal von Linux Live OS (zB Kali Linux). Bitte sagen Sie was 1) in eingebauten Programmen (zB Syslog ...), 2) Befehle im Terminal (zB ls, ps, md5sum, ...) kann man die Änderungen des Live-Betriebssystems (seit dem Booten von Disc) überprüfen? IE Integritätsprüfungen. Ich b...
fragte unseen_rider vor 8 Jahren

1
Bewertungen
1
Antwort
835
Ansichten

Rohes Lesen von USB-Massenspeicher oder SCSI

Bei der USB-Festplatte von Wife gibt es ein kleines Problem, bei dem sich ein Ordner nicht öffnen lässt (NTFS-Dateisystem). Ich konnte das Laufwerk unter Linux nur für einen Sektor abbilden (Sektoren sind 4096 Bytes). Das Lesen dieses Sektors schlägt fehl: sudo dd if = / dev / sdb = block überspring...

1
Bewertungen
0
Antworten
267
Ansichten

Wie kann ich ein Domänencontrollerkonto für die forensische Analyse in ein lokales Konto konvertieren?

Ich mache eine forensische Analyse eines Windows-Computers, der über mehrere lokale Konten verfügt, jedoch über einen Domänencontroller oder ein Active Directory-Konto verfügt. Ich kann die Dateien des Benutzers analysieren, da die Dateien lokal gespeichert sind. Normalerweise möchte ich das DD-Abbi...