密码保护:iOS逆向(六)-某水印相机破解分析
Windows磁盘取证-回收站和搜索索引
在进行取证调查时,Windows 回收站被视为重要的证据来源,因为通过文件资源管理器和任何回收站感知程序删除的任何项目一开始都将放入回收站。回收站保留与已删除项目相关的有价值的信息,例如已删除项目的名称、删除前项目的原始位置、已删除项目的大小以及删除项目的日期和时间。
阅读更多Windows磁盘取证-RDP和缩略图缓存
当用户使用 RDP 连接到另一个系统时,小尺寸(位图)图像会存储在其 RDP 配置文件中,这样一旦要在会话中使用相同的图像,就可以更快地获取/拉取。如果连接速度较慢,则整体 RDP 会话体验会得到增强。对缩略图取证有时可以帮助我们识别用户在其 RDP 会话中看到的内容。
阅读更多Windows磁盘取证-SRUM 数据库
SRUM 被认为是取证信息的金矿,因为它包含特定 Windows 系统上发生的所有活动。SRUM 跟踪和记录程序执行、功耗、网络活动以及更多信息,即使源已被删除也可以检索这些信息。此类信息使取证人员能够深入了解系统上以前发生的活动和事件。
阅读更多Windows磁盘取证-Jumplists
Jumplists跳转列表的维护记录被认为是调查期间证据信息的重要来源。对跳转列表文件的分析可以提供有关用户在系统上的历史活动的有价值的信息,例如文件创建、访问和修改。取证人员可以利用从跳转列表文件中提取的数据来构建用户活动的时间线。
阅读更多MetaMask从插件文件中恢复助记词
上周研究了一下如何从小狐狸的插件文件中恢复助记词。结合官方描述是在知道密码的前提下,可以从插件文件中提取vault字段在官方提供的解密页面进行恢复。
https://metamask.github.io/vault-decryptor/
阅读更多