最近遇到了很多數據庫還原的問題,借此機會我(wǒ)們來利用兩種工(gōng)具來解析Mysql數據庫的“.frm”文件中(zhōng)的表結構内容。當我(wǒ)們在取證過程中(zhōng),恢複嫌疑人删除的數據庫文件,或因其他情況導緻Mysql無法啓動的時候,我(wǒ)們就要使用新的實例(一(yī)般在本地創建)來恢複結構數據。
前段時間參與了一(yī)個黑客盜取資(zī)金然後通過USDT(泰達币)洗錢的案件支援,當時寫了一(yī)個腳本監控虛拟币的交易動向。一(yī)般來說,必須首先以某種名義和形式把錢儲存起來,然後通過一(yī)系列的交易或轉賬,将其變爲合法形式。因此,洗錢的手法和步驟千變萬化,名目繁多。洗錢和虛拟币詐騙在暗網已經屢見不鮮了,但因電(diàn)子數據的特殊性,取證工(gōng)作仍然存在一(yī)定的困難。
虛拟機指通過軟件模拟的具有完整硬件系統功能的、運行在一(yī)個完全隔離(lí)環境中(zhōng)的完整計算機系統。在現在的常見網絡技術中(zhōng),虛拟機的技術取證我(wǒ)們也越來越常見,因此我(wǒ)們在這方面的數據取證技術有哪一(yī)些呢?
而在虛拟機裏面的數據都是以文件的形式存儲在計算機上的,所以我(wǒ)們在針對于虛拟機的數據就是對存儲在計算機的虛拟機文件進取證。
在平時我(wǒ)們進行現場勘查取證工(gōng)作中(zhōng),經常會遇到需要固定服務器的情況,服務器固定不僅僅需要遠勘,還需要遠勘結束後将整一(yī)個服務器扣押回去(qù)。那我(wǒ)們如何将服務器扣押回去(qù)呢?下(xià)面我(wǒ)們将簡單了解一(yī)下(xià)一(yī)般RAID服務器的組成方式以及RAID服務器固定步驟以及取證流程。
如何清除或者繞過設置了開(kāi)機密碼的電(diàn)腦是取證過程中(zhōng)的一(yī)個重要環節。我(wǒ)們近期遇到國内西部地區某省的一(yī)個侵公案件,在犯罪現場執法機關繳獲大(dà)量筆記本電(diàn)腦,都設置了開(kāi)機密碼,操作系統版本是 Window11專業版,犯罪嫌疑人拒絕交代密碼,使案件偵查和取證陷入僵局。最後經過龍信技術工(gōng)程師的操作,成功清除複雜(zá)的開(kāi)機密碼,使案件的調查取證工(gōng)作進展由“山重水複疑無路”變爲“柳暗花明又(yòu)一(yī)村(cūn)”。
Wireshark既然可以解析網絡中(zhōng)的各種數據流量,那麽通過網絡傳輸協議,例如ftp協議傳輸的文件數據wireshark也可以對其解析。本質上FTP協議是基于傳輸層TCP協議的,一(yī)個完整的文件會分(fēn)割爲多個tcp數據包傳輸(這些TCP數據包被稱爲TCP流),wireshark工(gōng)具提供了一(yī)個“流跟蹤(TCP Stream)”功能可以分(fēn)析TCP流。