คำถามติดแท็ก forensics

ดังนั้นเมื่อมีการเพิ่มconv=sync,noerrorจะมีความแตกต่างเมื่อทำการสำรองข้อมูลทั้งฮาร์ดดิสก์ลงในไฟล์ภาพ? คือconv=sync,noerrorความต้องการเมื่อทำสิ่งที่นิติเวช? ถ้าเป็นเช่นนั้นทำไมถึงมีการอ้างอิงกับ linux fedora? แก้ไข: ตกลงดังนั้นถ้าฉันทำ dd โดยไม่มีconv=sync,noerrorและddพบข้อผิดพลาดในการอ่านเมื่ออ่านบล็อก (ลองขนาด 100M), dd จะข้ามบล็อก 100M และอ่านบล็อกถัดไปโดยไม่ต้องเขียนอะไรเลย ( dd conv=sync,noerrorเขียนค่าศูนย์ถึง 100M ของเอาต์พุต) ?)? และถ้าเป็นกัญชาเดิมฮาร์ดดิสก์และไฟล์ที่ส่งออกแตกต่างกันถ้าทำได้โดยไม่ต้องconv=sync,noerror? หรือนี่เป็นเฉพาะเมื่อเกิดข้อผิดพลาดในการอ่าน?

39 linux  backup  dd  forensics 

ฉันมี HDD ที่เสียซึ่งมีข้อมูลที่ละเอียดอ่อน เนื่องจากซอฟต์แวร์ไม่สามารถเข้าถึงดิสก์ที่ฉันไม่สามารถเช็ดมันโดยใช้เครื่องมือใด ๆ ปัญหาทั่วไป การแบ่งดิสก์ออกเป็นชิ้นเล็ก ๆ อาจจะพอเพียง แต่ต้องใช้เครื่องมือที่ดีในการทำ แค่โบกแม่เหล็กรอบ ๆ ดิสก์อาจยังทำให้ข้อมูลที่กู้คืนได้โดยผู้เชี่ยวชาญด้านการกู้คืนข้อมูลหรือฉันผิด วิธีที่มีประสิทธิภาพในการล้างข้อมูลที่ละเอียดอ่อนคืออะไร?

27 security  data-recovery  hardware-failure  forensics 

ฉันอ่านคำถามที่พบบ่อยของ Wikileaks ( เก็บไว้ที่นี่ ) มันบอกว่า: ตัวเขียน CD และ DVD จำนวนมากจะมีหมายเลขซีเรียลของ DVD หรือ CD writer ลงใน CD / DVD ที่เขียน หากโพสต์ถูกดักจับข้อมูลนี้ในทางทฤษฎีสามารถนำมาใช้เพื่อติดตามผู้ผลิตและด้วยความร่วมมือของพวกเขาตัวแทนจำหน่ายตัวแทนขายและอื่น ๆ พิจารณาว่ามีบันทึกทางการเงินที่เชื่อมโยงคุณกับการขายนักเขียนซีดี / ดีวีดีหรือไม่หากฝ่ายตรงข้ามของคุณสามารถดักจดหมายของคุณกับเราและมีความตั้งใจที่จะทำการตรวจสอบราคาแพงประเภทนี้ จ่ายเงินสดถ้าคุณสามารถทำได้สำหรับนักเขียนซีดี / ดีวีดี หมายเลขนี้ถูกเก็บไว้ที่ไหน? สามารถเข้าถึงซอฟต์แวร์โดยอุปกรณ์ที่เขียนซีดีหรือไม่

15 security  dvd  compact-disc  dvd-burning  forensics 

มีวิธี / เครื่องมือในการกำหนดวันที่และเวลาเมื่อมีการเขียน / เขียนแผ่นด้วยความมั่นใจสูงหรือไม่? นี่เป็นข้อมูลเกี่ยวกับการพิสูจน์หลักฐานทางนิติเวชและควรเป็นหลักฐานที่ชัดเจน ฉันลองใช้ IsoBuster แล้ว แต่ไม่ได้แสดงวันที่ / เวลาที่เขียนแทร็ก

13 security  dvd  compact-disc  burning  forensics 

หากในระบบที่ถูกบุกรุกคุณกำลังพยายามวิเคราะห์บริการที่ติดตั้งใหม่หรือเมื่อติดตั้งบริการแล้วคุณจะทำอย่างไร ฉันจะหาวันที่สร้างสำหรับบริการบางอย่างในรีจิสทรีของ Windows ได้ที่ไหน

12 forensics 

อะไรคือความแตกต่างที่สำคัญระหว่างdd_rescue, dcflddและdd? คุณจะใช้สถานการณ์ใดสถานการณ์หนึ่งในอีกสถานการณ์หนึ่ง เหตุใดจึงมีโปรแกรมแตกต่างกันสามรายการ

10 linux  dd  forensics  imaging 

ฉันมีการ์ด CompactFlash ที่ใช้ในฮาร์ดแวร์ที่กำหนดเอง ไฟล์ WAV ถูกเขียนลงไป Windows ไม่รู้จักสื่อและต้องการจัดรูปแบบซึ่งเป็นกฎที่ FAT 16/32, NTFS, UDF ฯลฯ มีเครื่องมือ Windows ที่สามารถกำหนดระบบไฟล์ที่สื่อกำลังใช้อยู่และเป็นไปได้ที่จะอ่านเนื้อหาหรือไม่? ฉันได้ลอง dskprobe.exe แล้ว แต่มันไม่ทำงาน

9 windows  filesystems  memory-card  forensics  compact-flash 

สามสัปดาห์ที่ผ่านมาแล็ปท็อปของฉันถูกขโมยจากมหาวิทยาลัย ฉันแจ้งตำรวจและเว็บไซต์ของผู้ผลิตทันที สองสามวันที่ผ่านมามีชายคนหนึ่งเรียกผู้ผลิตและบอกว่าเขาซื้อแล็ปท็อปมือสองบนเว็บและต้องการตรวจสอบการรับประกันผ่านหมายเลขซีเรียล ผู้ผลิตเห็นว่ามันถูกขโมยและตำรวจติดต่อผู้ซื้อที่ไม่ดีและนำแล็ปท็อปจากเขาและส่งคืนให้ฉัน ตำรวจบอกฉันว่าพวกเขาจะพยายามหาขโมยจากคำอธิบายของผู้ซื้อ อย่างไรก็ตามพวกเขาเพิ่งคืนแล็ปท็อปมาให้ฉันโดยไม่ต้องดูเลย! ฉันเปิดเครื่องเพื่อดูขโมยติดตั้ง Windows ใหม่ (Windows 7 Professional) ก่อนขาย ฉันมั่นใจว่าต้องมีเงื่อนงำในระบบว่าผู้ที่ติดตั้งใหม่เช่นที่อยู่ IP ที่การติดตั้งเกิดขึ้น ฯลฯ 'หรืออาจมีใบอนุญาตของซอฟต์แวร์ที่ติดตั้งใหม่ซึ่งอาจให้เบาะแสเกี่ยวกับตัวตนของขโมย คำถาม: ฉันจะค้นหารายละเอียดได้จากที่ไหนในคอมพิวเตอร์ที่เชื่อมต่อกับเว็บเป็นครั้งแรกหลังจากการติดตั้ง ฉันจะหาข้อมูลเกี่ยวกับรหัสผลิตภัณฑ์ \ สิทธิ์การใช้งานของ windows และ office ที่ติดตั้งได้จากที่ใด ความคิดเห็นอื่น ๆ เกี่ยวกับวิธีที่ฉันสามารถติดตาม SOB (ซึ่งอาจขโมยคอมพิวเตอร์อีกหนึ่งสัปดาห์ก่อนหน้านี้)

8 windows-7  logging  windows-installation  forensics 

ฉันมีไฟล์ข้อความจากแหล่งดั้งเดิมที่มีอักขระที่เสียหาย ตอนแรกฉันคิดว่าการทุจริตเป็นแค่ gobbledygook แต่มันปรากฏขึ้นเมื่อตรวจสอบอย่างใกล้ชิดว่าข้อความที่เสียหายบางส่วนอาจถูกสร้างขึ้นใหม่ เพื่อที่จะมุ่งเน้นความพยายามของฉันมันจะเป็นประโยชน์ในการเข้าใจสิ่งที่ดูเหมือนต้นฉบับแม้ว่าฉันจะไม่สามารถสร้างใหม่ได้อย่างเต็มที่ น่าเสียดายที่เอกสารมาจากคอลเล็กชันที่ฉันไม่สามารถแชร์ได้อย่างอิสระ แต่นี่เป็นตัวอย่าง ข้อความถูกแปลงเป็น UTF-8 แต่การแปลงล้มเหลวที่ใดที่หนึ่งดังนั้นจึงอ่านไม่ออกส่วนใหญ่ ส่วนของข้อความในเช็กสามารถมองเห็นได้ซึ่งอักขระเช็กที่เน้นเสียงถูกแทนที่ด้วยอักขระซิริลลิก (ซึ่งอาจเป็นสิ่งที่แตกต่างไปจากเดิมอย่างสิ้นเชิงก่อนการแปลง) 0001f80: 33d1 936e 6576 79d1 87d0 bd7a 656e d18c 3..nevy....zen.. 0001f90: 6368 7e58 3833 d193 7e58 3945 d19b d0b1 ch~X83..~X9E.... 0001fa0: 646f 7374 d0bd 7e58 3833 d193 6e61 7e58 dost..~X83..na~X 0001fb0: 3833 d193 7ad1 87d0 bd7a 656e 20d0 …

4 unicode  character-encoding  file-corruption  forensics 

ฉันบังเอิญลบภาพดิจิตอลบางภาพที่ฉันเพิ่งถ่ายไปและฉันต้องการยกเลิกการลบภาพเหล่านั้น ฉันค้นพบเกี่ยวกับ โฟร์โมสต์และมันช่วยให้ฉันสามารถกู้คืนไฟล์ jpg ได้ แต่จะเป็นอย่างนั้นกับภาพทั้งหมดที่ฉันลบไป ฉันรู้ว่าไฟล์ทั้งหมดที่ฉันต้องการจะมีสตริง "COOLPIX L20" ในบางส่วนของไฟล์ ฉันสามารถ grep ฮาร์ดไดรฟ์และจะพบบางสิ่งบางอย่าง แต่ฉันไม่ทราบวิธีการ "แยก" ที่เป็นไฟล์ภาพ ในระยะสั้นมีวิธีใดที่สำคัญที่สุดที่จะกู้คืนไฟล์ที่มีสตริงบางส่วนหรือบางอย่างที่ดีกว่าที่จะทำมันได้หรือไม่

2 linux  grep  photos  forensics 

ฉันมีเครื่องเสมือน windows ติดตั้งโดยใช้ qemu ฉันอยากรู้ว่าฉันจะถ่ายโอนข้อมูลหน่วยความจำ ram ทั้งหมดของระบบเกสต์จากระบบโฮสต์เช่นbin2dmp ได้อย่างไรใน windows ฉันได้อ่านที่นี่ว่าเป็นไปได้ แต่ไม่สามารถหาวิธีที่จะทำ ดังนั้นความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชม

2 forensics  virtualization  memory 

คำถามนี้มีคำตอบอยู่ที่นี่แล้ว: การค้นหาว่าไฟล์คืออะไร 4 คำตอบ สมมติว่าคุณได้รับไฟล์ที่มีการลบหรือเปลี่ยนนามสกุล (file.tar.gz - & gt; file.blah) ไฟล์นี้ถูกคลายการบีบอัดและแอปพลิเคชันจะใช้เนื้อหา แต่คุณไม่สามารถเข้าถึงแอปพลิเคชันนั้นเพื่อทราบได้อย่างไร ดังนั้นคุณคิดว่าส่วนขยายของไฟล์จะสามารถขยายได้ด้วยตัวเองอย่างไร ตัวอย่างเช่นคุณสามารถทำได้โดยตรวจสอบไฟล์ด้วย hex editor หรือไม่?

1 forensics  file-types 

ฉันส่งคืนแล็ปท็อปของฉันไปที่ร้านค้าปลีก แต่ฉันมีมันเป็นเวลา 1 เดือนในเวลานี้ฉันได้เก็บข้อมูลที่เป็นความลับด้วยเหตุนี้ฉันวางแผนที่จะเติมศูนย์ SSD ของฉันโดยใช้http://cmrr.ucsd.edu/people /Hughes/secure-erase.htmlหรือhttps://www.piriform.com/defraggler เมื่อฉันได้ทำการเติมศูนย์ผมจะสามารถได้อย่างง่ายดายติดตั้ง Windows 8.1 กลับมาได้หรือไม่ โดยง่ายฉันหมายถึงวิธีปกติอาจเกี่ยวข้องกับการจัดรูปแบบ / การแบ่งพาร์ติชันบางอย่าง ฉันต้องสามารถติดตั้ง windows 8.1 ได้เพราะผู้ค้าปลีกจะตรวจสอบเพื่อดูว่าใช้งานได้หรือไม่ ฉันไม่กังวลว่าการเติมศูนย์จะลดการอ่าน / เขียน SSD ลงเนื่องจากแล็ปท็อปมีข้อบกพร่องในด้านอื่น ๆ อยู่ดี ยกเว้นจากสถานะการลบคำถาม & การตอบกลับอย่างปลอดภัย Q: What is the difference between secure erase and enhanced secure erase? A: Secure erase overwrites all user data areas with binary …

1 forensics  data-recovery 

ฉันกำลังพยายามทำงานกับฝ่ายสนับสนุนบุคคลที่สามในโปรแกรมการเงินชื่อ Mercury โปรแกรมแจ้งว่าได้พิมพ์รายงานผ่าน "ตัวกำหนดตารางเวลา" สำเร็จแล้ว แต่ไม่เคยพิมพ์อะไรเลย มันใช้งานได้ประมาณหนึ่งปีที่แล้ว แต่ไม่ใช่ตั้งแต่ เข้าถึงเครื่องพิมพ์ในลักษณะที่ซับซ้อนที่แม้แต่พนักงานฝ่ายสนับสนุนไม่สามารถอธิบายให้ฉันได้ แต่โดยทั่วไปแล้วมันไม่ได้แสดงงานที่ต้องผ่านสปูล / คิวบนเซิร์ฟเวอร์ที่โฮสต์ซอฟต์แวร์เซิร์ฟเวอร์ที่ใช้ร่วมกับเครื่องพิมพ์หรือ คอมพิวเตอร์ที่ใช้งานซอฟต์แวร์ หากมีงานที่สร้างขึ้นเลยดูเหมือนว่ามันจะถูกปฏิเสธทันทีโดยไม่มีการเตือนหรือหายไปราวกับว่าพิมพ์ออกมา ทีมสนับสนุนต้องการให้ฉันพิสูจน์ว่าไม่ใช่ปัญหาสิทธิ์ แต่ฉันเห็นว่าไม่มีอะไรผิดปกติกับสิทธิ์ของเครื่องพิมพ์และไม่มีข้อผิดพลาดในกระบวนการพิมพ์ มีวิธีที่ดีในการพิสูจน์ว่าซอฟต์แวร์กำลังพยายามพิมพ์อย่างถูกต้องหรือไม่โดยไม่เห็นงานในคิวหรือไม่? ฉันยินดีที่จะค้นหาบันทึกเรียกใช้เครื่องมือของบุคคลที่สามเป็นต้น ฉันยังไม่เห็นบันทึกเหตุการณ์ใน Microsoft-Windows-PrintService / Operational บนเซิร์ฟเวอร์หรือคอมพิวเตอร์ นี่คือสภาพแวดล้อม Windows Server 2012 ที่มีเวิร์กสเตชัน Windows7 / 8

windows  permissions  printer  forensics