导航

08 2011 档案

[KB] iPad/iPhone通过iTunes升级出现3194错误的解决

摘要:经常使用iOS设备(iPad、iPhone、iPod Touch)的用户可能都遇到过在使用iTunes升级的过程中,出现3194错误在网上搜索一下,大多数人给出的解答是hosts被修改了,需要把hosts修改并保存,但其实这种方法大多数时候解决不了问题出现3194的原因主要是iTunes在和苹果服务器进行验证时出现错误,如用户欲更新老版本替换新版本软件,或未联网所以,大部分3194错误,除了确定自己的Windows操作系统hosts文件未被修改之外,只需要做一件事,即找一个fan qiang工具或者神奇土地之外的VPN,再试试,你会发现不会再出现3194错误围在墙里的人想逃出来,墙外的人想冲进 阅读全文

posted @ 2011-08-28 23:45 YiDiscovery 阅读(2078) 评论(0) 推荐(0)

[EnCase v7] EnCase v7 使用问题小结

摘要:用v7一段时间了,新功能不少,问题也不少 Raw Search无法实时查看结果 Raw Search、Evidence Processor无法显示统计和日志 Ex01重获取为E01时出现文件扩展名错误 总体来说,EnCase v7是褒贬参半,新功能带来方便的同时,太大的改动导致很多专业取证人员不适应,比如取消了右键,取消了独立脚本,Evidence Processor必须校验文件签名等。 阅读全文

posted @ 2011-08-19 12:52 YiDiscovery 阅读(628) 评论(0) 推荐(0)

GSI发布EnCase 6.19版本

摘要:6.19版本现在包含x86和x64的中文和英文版本。新功能:支持Ex01和Lx01证据镜像文件支持McAfee Endpoint Encryption 6.0改进和修复:Acquisition, Add Device, Preview, File System 38785: Unable to acquire a device in acquisition mode with Tableau TD8.EnScript 39163: Running Windows Initialize Case on a Windows 7 machine with a Windows Vista image 阅读全文

posted @ 2011-08-19 01:47 YiDiscovery 阅读(490) 评论(0) 推荐(0)

关于Ex01和EnCase 6.19的小道消息

摘要:1. We are releasing EnCase v6.19 with the next day or so that will support the new Ex01 format. This will enable v6 users to also read the new v7 evidence files.2. EnCase v6 and v7 can both still create legacy E01 files. We are not removing that functionality from any EnCase product, but are recomm. 阅读全文

posted @ 2011-08-18 18:05 YiDiscovery 阅读(402) 评论(0) 推荐(0)

[EnCase v7] EnCase v7零售版改用CodeMeter加密狗

摘要:之前就了解到,EnCase v7将放弃之前v6版本所使用的Aladdin HASP HL加密狗,而改为采用和FTK一样的CodeMeter加密狗;但由于种种原因,未能见到v7 CodeMeter Dongle的真身,今日终得一见~ v7加密狗与之前的EnCase Portable 2.0采用了一样的CodeMeter,但是EP是带存储,且为银色,v7 Forensic是蓝色,且不带存储。 阅读全文

posted @ 2011-08-17 17:28 YiDiscovery 阅读(924) 评论(0) 推荐(0)

[KB] Office序列号移除器

摘要:很多人都遇到过在更新或者重装Office之后序列号失效的情况,当然,也有些是因为使用了网上提供的序列号,在Office 2003中,序列号的更换相对较为简单,可以直接删除注册表项目,再次运行即可按照提示输入新的序列号,在Office 2007和2010中,尤其是2010中,微软官方提供的解决方案是使用cscript ospp.vbs命令,执行序列号更换或者删除,但这种办法相对麻烦,且如需删除前一序列号还需要先找到前一序列号,使用cscript ospp.vbs输入前一序列号后五位才可以。在网上找到这么个小工具"Office Key Remover”,使用它可以直接移除Office 2 阅读全文

posted @ 2011-08-14 03:20 YiDiscovery 阅读(465) 评论(0) 推荐(0)

[EnCase v7专题] EX01证据文件获取设置释疑

摘要:GSI近日在一篇KB中对于新的EX01证据文件结构进行了解释: What New Features are Offered by the EX01 Evidence File Format?Affected Products:EnCase Forensic 7.xSummary:EnCase V7 allows for the creation of EX01 files. This evidence file format retains many of the features of E01 files and adds several new features.Explanation/R 阅读全文

posted @ 2011-08-13 15:42 YiDiscovery 阅读(670) 评论(0) 推荐(0)

[EnCase v7专题] EnCase v7 证据文件压缩释疑

摘要:在前面的文章中我们提到过,EnCase v7由于采用了全新的证据文件格式*.ex01,支持全新的压缩方式,关于此种压缩方式的效率,Guidance官方近日给出了相关KB An Overview of Compression Levels in EnCase Version 7Affected Products:EnCase Version 7Summary:This documentexplains compression concepts and compression results using EnCase Version 7.Explanation/Resolution:Compres 阅读全文

posted @ 2011-08-13 15:20 YiDiscovery 阅读(681) 评论(0) 推荐(0)

[智能手机取证系列] Android手机逻辑数据提取和分析

摘要:Android逻辑数据手动提取和分析 1. SMS、MMS相关信息的手动提取 首先,通过镜像或者具备ROOT权限的程序将以下文件夹完整提取: 以下分别对各个目录进行解释: App_parts: 手机中收发的彩信附件,如图片: 该文件是以附件添加/收到的时间命名的,时间戳采用毫秒换算,由于不熟悉C语言,只能用Excel做一个换算式: 文件解析为图片: Databases 该文件夹下包含两个文件: 分别包含手机APN信息: 手机短信、彩信中包含的所有号码信息(推荐号码/典型号码): 以保存(已发送/已接收)的彩信结构: ... 阅读全文

posted @ 2011-08-12 23:00 YiDiscovery 阅读(3523) 评论(0) 推荐(0)