聯系我們
TEL:4008-522-366
E-Mail:lxzx@longxintec.com
最近遇到(dào)了(le/liǎo)很多數據庫還原的(de)問題,借此機會我們來(lái)利用兩種工具來(lái)解析Mysql數據庫的(de)“.frm”文件中的(de)表結構内容。當我們在(zài)取證過程中,恢複嫌疑人(rén)删除的(de)數據庫文件,或因其他(tā)情況導緻Mysql無法啓動的(de)時(shí)候,我們就(jiù)要(yào / yāo)使用新的(de)實例(一(yī / yì /yí)般在(zài)本地(dì / de)創建)來(lái)恢複結構數據。
前段時(shí)間參與了(le/liǎo)一(yī / yì /yí)個(gè)黑客盜取資金然後通過USDT(泰達币)洗錢的(de)案件支援,當時(shí)寫了(le/liǎo)一(yī / yì /yí)個(gè)腳本監控虛拟币的(de)交易動向。一(yī / yì /yí)般來(lái)說(shuō),必須首先以(yǐ)某種名義和(hé / huò)形式把錢儲存起來(lái),然後通過一(yī / yì /yí)系列的(de)交易或轉賬,将其變爲(wéi / wèi)合法形式。因此,洗錢的(de)手法和(hé / huò)步驟千變萬化,名目繁多。洗錢和(hé / huò)虛拟币詐騙在(zài)暗網已經屢見不(bù)鮮了(le/liǎo),但因電子(zǐ)數據的(de)特殊性,取證工作仍然存在(zài)一(yī / yì /yí)定的(de)困難。
虛拟機指通過軟件模拟的(de)具有完整硬件系統功能的(de)、運行在(zài)一(yī / yì /yí)個(gè)完全隔離環境中的(de)完整計算機系統。在(zài)現在(zài)的(de)常見網絡技術中,虛拟機的(de)技術取證我們也(yě)越來(lái)越常見,因此我們在(zài)這(zhè)方面的(de)數據取證技術有哪一(yī / yì /yí)些呢?
而(ér)在(zài)虛拟機裏面的(de)數據都是(shì)以(yǐ)文件的(de)形式存儲在(zài)計算機上(shàng)的(de),所以(yǐ)我們在(zài)針對于(yú)虛拟機的(de)數據就(jiù)是(shì)對存儲在(zài)計算機的(de)虛拟機文件進取證。
在(zài)平時(shí)我們進行現場勘查取證工作中,經常會遇到(dào)需要(yào / yāo)固定服務器的(de)情況,服務器固定不(bù)僅僅需要(yào / yāo)遠勘,還需要(yào / yāo)遠勘結束後将整一(yī / yì /yí)個(gè)服務器扣押回去。那我們如何将服務器扣押回去呢?下面我們将簡單了(le/liǎo)解一(yī / yì /yí)下一(yī / yì /yí)般RAID服務器的(de)組成方式以(yǐ)及RAID服務器固定步驟以(yǐ)及取證流程。
如何清除或者繞過設置了(le/liǎo)開機密碼的(de)電腦是(shì)取證過程中的(de)一(yī / yì /yí)個(gè)重要(yào / yāo)環節。我們近期遇到(dào)國(guó)内西部地(dì / de)區某省的(de)一(yī / yì /yí)個(gè)侵公案件,在(zài)犯罪現場執法機關繳獲大(dà)量筆記本電腦,都設置了(le/liǎo)開機密碼,操作系統版本是(shì) Window11專業版,犯罪嫌疑人(rén)拒絕交代密碼,使案件偵查和(hé / huò)取證陷入僵局。最後經過吾崎技術工程師的(de)操作,成功清除複雜的(de)開機密碼,使案件的(de)調查取證工作進展由“山重水複疑無路”變爲(wéi / wèi)“柳暗花明又一(yī / yì /yí)村”。
Wireshark既然可以(yǐ)解析網絡中的(de)各種數據流量,那麽通過網絡傳輸協議,例如ftp協議傳輸的(de)文件數據wireshark也(yě)可以(yǐ)對其解析。本質上(shàng)FTP協議是(shì)基于(yú)傳輸層TCP協議的(de),一(yī / yì /yí)個(gè)完整的(de)文件會分割爲(wéi / wèi)多個(gè)tcp數據包傳輸(這(zhè)些TCP數據包被稱爲(wéi / wèi)TCP流),wireshark工具提供了(le/liǎo)一(yī / yì /yí)個(gè)“流跟蹤(TCP Stream)”功能可以(yǐ)分析TCP流。
