電(diàn)子數據采集産(chǎn)品系列

消防勘查取證産(chǎn)品系列

《格物(wù)刊第四輯》

電(diàn)子刊物(wù)概覽——第四期

利用(yòng)工(gōng)具(jù)一鍵對FRM文(wén)件進行表結構解析

作(zuò)者:許文(wén)豪

最近遇到了很(hěn)多(duō)數據庫還原的問題,借此機會我們來利用(yòng)兩種工(gōng)具(jù)來解析Mysql數據庫的“.frm”文(wén)件中(zhōng)的表結構内容。當我們在取證過程中(zhōng),恢複嫌疑人删除的數據庫文(wén)件,或因其他(tā)情況導緻Mysql無法啓動的時候,我們就要使用(yòng)新(xīn)的實例(一般在本地創建)來恢複結構數據。

 

 

USDT(泰達币)如何實時監控

作(zuò)者:許文(wén)豪

前段時間參與了一個黑客盜取資金然後通過USDT(泰達币)洗錢的案件支援,當時寫了一個腳本監控虛拟币的交易動向。一般來說,必須首先以某種名(míng)義和形式把錢儲存起來,然後通過一系列的交易或轉賬,将其變為(wèi)合法形式。因此,洗錢的手法和步驟千變萬化,名(míng)目繁多(duō)。洗錢和虛拟币詐騙在暗網已經屢見不鮮了,但因電(diàn)子數據的特殊性,取證工(gōng)作(zuò)仍然存在一定的困難。

 

 

VMware虛拟機配置文(wén)件取證

作(zuò)者:黎先傑

虛拟機指通過軟件模拟的具(jù)有(yǒu)完整硬件系統功能(néng)的、運行在一個完全隔離環境中(zhōng)的完整計算機系統。在現在的常見網絡技(jì )術中(zhōng),虛拟機的技(jì )術取證我們也越來越常見,因此我們在這方面的數據取證技(jì )術有(yǒu)哪一些呢(ne)?

而在虛拟機裏面的數據都是以文(wén)件的形式存儲在計算機上的,所以我們在針對于虛拟機的數據就是對存儲在計算機的虛拟機文(wén)件進取證。

 

 

RAID服務(wù)器鏡像方法及簡介

作(zuò)者:劉迦南

在平時我們進行現場勘查取證工(gōng)作(zuò)中(zhōng),經常會遇到需要固定服務(wù)器的情況,服務(wù)器固定不僅僅需要遠(yuǎn)勘,還需要遠(yuǎn)勘結束後将整一個服務(wù)器扣押回去。那我們如何将服務(wù)器扣押回去呢(ne)?下面我們将簡單了解一下一般RAID服務(wù)器的組成方式以及RAID服務(wù)器固定步驟以及取證流程。

 

 

電(diàn)子取證清除攔路虎Win11混合複雜開機密碼

作(zuò)者:易磊

(江西省南昌市西湖(hú)區(qū)網絡安(ān)全保衛大隊)

如何清除或者繞過設置了開機密碼的電(diàn)腦是取證過程中(zhōng)的一個重要環節。我們近期遇到國(guó)内西部地區(qū)某省的一個侵公(gōng)案件,在犯罪現場執法機關繳獲大量筆(bǐ)記本電(diàn)腦,都設置了開機密碼,操作(zuò)系統版本是 Window11專業版,犯罪嫌疑人拒絕交代密碼,使案件偵查和取證陷入僵局。最後經過龍信技(jì )術工(gōng)程師的操作(zuò),成功清除複雜的開機密碼,使案件的調查取證工(gōng)作(zuò)進展由山(shān)重水複疑無路變為(wèi)柳暗花(huā)明又(yòu)一村

 

 

通過Wireshark網絡取證

作(zuò)者:張瑞文(wén)

Wireshark既然可(kě)以解析網絡中(zhōng)的各種數據流量,那麽通過網絡傳輸協議,例如ftp協議傳輸的文(wén)件數據wireshark也可(kě)以對其解析。本質(zhì)上FTP協議是基于傳輸層TCP協議的,一個完整的文(wén)件會分(fēn)割為(wèi)多(duō)個tcp數據包傳輸(這些TCP數據包被稱為(wèi)TCP流),wireshark工(gōng)具(jù)提供了一個流跟蹤(TCP Stream功能(néng)可(kě)以分(fēn)析TCP流。