電(diàn)子數據采集産品系列

消防勘查取證産品系列

電(diàn)子刊物(wù)概覽——第四期

利用工(gōng)具一(yī)鍵對FRM文件進行表結構解析

作者:許文豪

最近遇到了很多數據庫還原的問題,借此機會我(wǒ)們來利用兩種工(gōng)具來解析Mysql數據庫的“.frm”文件中(zhōng)的表結構内容。當我(wǒ)們在取證過程中(zhōng),恢複嫌疑人删除的數據庫文件,或因其他情況導緻Mysql無法啓動的時候,我(wǒ)們就要使用新的實例(一(yī)般在本地創建)來恢複結構數據。

 

 

USDT(泰達币)如何實時監控

作者:許文豪

前段時間參與了一(yī)個黑客盜取資(zī)金然後通過USDT(泰達币)洗錢的案件支援,當時寫了一(yī)個腳本監控虛拟币的交易動向。一(yī)般來說,必須首先以某種名義和形式把錢儲存起來,然後通過一(yī)系列的交易或轉賬,将其變爲合法形式。因此,洗錢的手法和步驟千變萬化,名目繁多。洗錢和虛拟币詐騙在暗網已經屢見不鮮了,但因電(diàn)子數據的特殊性,取證工(gōng)作仍然存在一(yī)定的困難。

 

 

VMware虛拟機配置文件取證

作者:黎先傑

虛拟機指通過軟件模拟的具有完整硬件系統功能的、運行在一(yī)個完全隔離(lí)環境中(zhōng)的完整計算機系統。在現在的常見網絡技術中(zhōng),虛拟機的技術取證我(wǒ)們也越來越常見,因此我(wǒ)們在這方面的數據取證技術有哪一(yī)些呢?

而在虛拟機裏面的數據都是以文件的形式存儲在計算機上的,所以我(wǒ)們在針對于虛拟機的數據就是對存儲在計算機的虛拟機文件進取證。

 

 

RAID服務器鏡像方法及簡介

作者:劉迦南(nán)

在平時我(wǒ)們進行現場勘查取證工(gōng)作中(zhōng),經常會遇到需要固定服務器的情況,服務器固定不僅僅需要遠勘,還需要遠勘結束後将整一(yī)個服務器扣押回去(qù)。那我(wǒ)們如何将服務器扣押回去(qù)呢?下(xià)面我(wǒ)們将簡單了解一(yī)下(xià)一(yī)般RAID服務器的組成方式以及RAID服務器固定步驟以及取證流程。

 

 

電(diàn)子取證清除攔路虎Win11混合複雜(zá)開(kāi)機密碼

作者:易磊

(江西省南(nán)昌市西湖區網絡安全保衛大(dà)隊)

如何清除或者繞過設置了開(kāi)機密碼的電(diàn)腦是取證過程中(zhōng)的一(yī)個重要環節。我(wǒ)們近期遇到國内西部地區某省的一(yī)個侵公案件,在犯罪現場執法機關繳獲大(dà)量筆記本電(diàn)腦,都設置了開(kāi)機密碼,操作系統版本是 Window11專業版,犯罪嫌疑人拒絕交代密碼,使案件偵查和取證陷入僵局。最後經過龍信技術工(gōng)程師的操作,成功清除複雜(zá)的開(kāi)機密碼,使案件的調查取證工(gōng)作進展由山重水複疑無路變爲柳暗花明又(yòu)一(yī)村(cūn)

 

 

通過Wireshark網絡取證

作者:張瑞文

Wireshark既然可以解析網絡中(zhōng)的各種數據流量,那麽通過網絡傳輸協議,例如ftp協議傳輸的文件數據wireshark也可以對其解析。本質上FTP協議是基于傳輸層TCP協議的,一(yī)個完整的文件會分(fēn)割爲多個tcp數據包傳輸(這些TCP數據包被稱爲TCP流),wireshark工(gōng)具提供了一(yī)個流跟蹤(TCP Stream功能可以分(fēn)析TCP流。