最近遇到了很(hěn)多(duō)數據庫還原的問題,借此機會我們來利用(yòng)兩種工(gōng)具(jù)來解析Mysql數據庫的“.frm”文(wén)件中(zhōng)的表結構内容。當我們在取證過程中(zhōng),恢複嫌疑人删除的數據庫文(wén)件,或因其他(tā)情況導緻Mysql無法啓動的時候,我們就要使用(yòng)新(xīn)的實例(一般在本地創建)來恢複結構數據。
前段時間參與了一個黑客盜取資金然後通過USDT(泰達币)洗錢的案件支援,當時寫了一個腳本監控虛拟币的交易動向。一般來說,必須首先以某種名(míng)義和形式把錢儲存起來,然後通過一系列的交易或轉賬,将其變為(wèi)合法形式。因此,洗錢的手法和步驟千變萬化,名(míng)目繁多(duō)。洗錢和虛拟币詐騙在暗網已經屢見不鮮了,但因電(diàn)子數據的特殊性,取證工(gōng)作(zuò)仍然存在一定的困難。
虛拟機指通過軟件模拟的具(jù)有(yǒu)完整硬件系統功能(néng)的、運行在一個完全隔離環境中(zhōng)的完整計算機系統。在現在的常見網絡技(jì )術中(zhōng),虛拟機的技(jì )術取證我們也越來越常見,因此我們在這方面的數據取證技(jì )術有(yǒu)哪一些呢(ne)?
而在虛拟機裏面的數據都是以文(wén)件的形式存儲在計算機上的,所以我們在針對于虛拟機的數據就是對存儲在計算機的虛拟機文(wén)件進取證。
在平時我們進行現場勘查取證工(gōng)作(zuò)中(zhōng),經常會遇到需要固定服務(wù)器的情況,服務(wù)器固定不僅僅需要遠(yuǎn)勘,還需要遠(yuǎn)勘結束後将整一個服務(wù)器扣押回去。那我們如何将服務(wù)器扣押回去呢(ne)?下面我們将簡單了解一下一般RAID服務(wù)器的組成方式以及RAID服務(wù)器固定步驟以及取證流程。
如何清除或者繞過設置了開機密碼的電(diàn)腦是取證過程中(zhōng)的一個重要環節。我們近期遇到國(guó)内西部地區(qū)某省的一個侵公(gōng)案件,在犯罪現場執法機關繳獲大量筆(bǐ)記本電(diàn)腦,都設置了開機密碼,操作(zuò)系統版本是 Window11專業版,犯罪嫌疑人拒絕交代密碼,使案件偵查和取證陷入僵局。最後經過龍信技(jì )術工(gōng)程師的操作(zuò),成功清除複雜的開機密碼,使案件的調查取證工(gōng)作(zuò)進展由“山(shān)重水複疑無路”變為(wèi)“柳暗花(huā)明又(yòu)一村”。
Wireshark既然可(kě)以解析網絡中(zhōng)的各種數據流量,那麽通過網絡傳輸協議,例如ftp協議傳輸的文(wén)件數據wireshark也可(kě)以對其解析。本質(zhì)上FTP協議是基于傳輸層TCP協議的,一個完整的文(wén)件會分(fēn)割為(wèi)多(duō)個tcp數據包傳輸(這些TCP數據包被稱為(wèi)TCP流),wireshark工(gōng)具(jù)提供了一個“流跟蹤(TCP Stream)”功能(néng)可(kě)以分(fēn)析TCP流。