Login使用KAPE自动化采集并分析Windows取证数据
KAPE(Kroll Artifact Parser and Extractor)用于获取和解析 Window
Reading view
Windows磁盘取证-回收站和搜索索引
在进行取证调查时,Windows 回收站被视为重要的证据来源,因为通过文件资源管理器和任何回收站感知程序删除的
Windows磁盘取证-SRUM 数据库
SRUM 被认为是取证信息的金矿,因为它包含特定 Windows 系统上发生的所有活动。SRUM 跟踪和记录程
Windows高级事件日志分析
Windows中有许多没有默认开启的事件日志,比如进程创建、DNS查询、文件监控、网络连接等。开启这些高级事件
开发ko内核模块,无依赖实现监控DNS请求进程
监控Linux主机发起DNS请求的进程是应急响应中经常遇到的一个问题。虽然可以通过systemtap或者ebp
使用Sysmon进行威胁狩猎
Sysmon (System Monitor) 是一种 Windows 系统服务和设备驱动程序,一旦安装在系统
应急响应-统计日志中单个ip访问流量大小
在某次应急排查中,收到网安的自查通告。xxx系统在某一天被某境外组织访问,通信流量xxMb。 分析思路 由于该
密码保护:rm -rf /* 全盘数据被删除后的溯源取证
无法提供摘要。这是一篇受保护的文章。
云上 rm -rf / 应急流程
被rm -rf / 支配的恐惧,应该是每个人的噩梦。但云上遇到系统全盘删除的问题,处理会容易很多。本文以腾讯云
