摘要:
在接下来的一段时间,我将在博客上陆续摘录连载《智能手机取证》一书的部分章节,该书由我与中国刑警学院计算机犯罪侦查系主任秦玉海教授共同编写,将于年内出版面世。 阅读全文
posted @ 2012-05-07 15:09 YiDiscovery 阅读(1248) 评论(3) 推荐(0) 编辑
摘要:
原文自http://www.cnbeta.com/articles/185511.htm所有权利归原作者所有如有侵犯权利,请联系博主删除。译自Ars Technica当一名基地组织嫌犯在去年五月在柏林被捕的时候, 警方发现他随身携带着一张存储卡, 而其中的文件是隐藏的. 不过据德国 Zeit 杂志报道, 德国联邦刑警的计算机刑侦专家后来成功的解开了存储卡上的隐藏内容: 表面上来看, 卡上似乎只存有一个文件名为 "牛逼" (KickAss) 的色情视频. 但警方随后在该视频中发现了 141 个文本文档, 据官方发言人表示这些文档中包括大量基地组织的行动报告和未来行动规划.那么 阅读全文
posted @ 2012-05-04 00:35 YiDiscovery 阅读(1348) 评论(0) 推荐(0) 编辑
摘要:
原文跳转:http://www.computerworld.com.au/article/423280/ibm_melds_crime-fighting_big_data_analytics_one_security_package/?fp=4&fpid=18部分摘录:According to anIDG New Service reportat the time of the buy, i2 had more than 4,500 customers across 150 countries. The company said that 12 of the top 20 retail 阅读全文
posted @ 2012-05-03 00:28 YiDiscovery 阅读(262) 评论(0) 推荐(0) 编辑
摘要:
A new version of SC Suite is available, version 4.7 now includes more tools to analyse and extract information from a variety of file types and utilities to assist in everyday tasks. Continuing user feedback has resulted in the development of 74 tools packaged as a single suite. What's new? Zip 阅读全文
posted @ 2012-05-03 00:09 YiDiscovery 阅读(175) 评论(0) 推荐(0) 编辑
摘要:
原文自http://network.pconline.com.cn/netsafe/1204/2749924_all.html所有权利归原作者所有如有侵犯权利,请联系博主删除。——————————————————————————————————————————————————————————————————————最近炒的沸沸扬扬的深圳某达等诸多品牌无线路由器PIN码算法被破译事件,可谓影响深远。网友只需要简单的通过一些WIFI无线信号嗅探软件就可以轻松的破译开启了WPS功能的无线路由器密码。通过PIN码连接进入别人的无线网络中蹭网。具体操作我们稍作演示扫瞄附近的无线信号 我们随便扫瞄了办公. 阅读全文
posted @ 2012-05-02 10:03 YiDiscovery 阅读(3093) 评论(0) 推荐(0) 编辑
摘要:
在Android 1.x以及2.x版本中,屏幕的锁定默认采用图形加密,即常见的9点加密,用户可以设置自定义的图案代替文本密码,图案的要求是至少3点,最多9点,这种密码相对于传统数字密码来说,具有更大的密码空间,更难以破解。然而,在Android系统中,对于锁定图案的绕过相对于采用数字密码的iOS来说,反倒更加容易。通过USB数据线,我们可以获取一台Android手机的root权限,之后便可以对其系统分区进行文件操作。Android手机屏幕锁定的绕过通过USB数据线,可以定位到Android系统中存储加密信息的文件,将该文件删除或重命名,之后,回到Android设备主屏幕,输入任意解锁动作,都可 阅读全文
posted @ 2012-04-27 16:35 YiDiscovery 阅读(7681) 评论(2) 推荐(0) 编辑
摘要:
FTK OVERVIEWBROCHURES FTK Data Sheet Cerberus Data Sheet Visualization Data Sheet MoreWHITE PAPERS LEGAL JOURNAL: The Rules of Evidence and AccessData Technology The Importance of Memory Search and Analysis MorePRODUCT WEBINARS Cerberus: Malware Analysis & Triage FTK: Sing... 阅读全文
posted @ 2012-04-24 14:50 YiDiscovery 阅读(586) 评论(0) 推荐(0) 编辑
摘要:
MPE+ MOBILE FORENSICS SOFTWARE SUPPORTS 3500+ PHONES, INCLUDING IPHONE®, IPAD®, ANDROID™ AND BLACKBERRY® DEVICES WATCH DEMO NOW > MPE+ is a stand-alone mobile forensics software solution, which is also available on a preconfigured touch screen tablet for on-scene mobile forensics t 阅读全文
posted @ 2012-04-24 14:44 YiDiscovery 阅读(1138) 评论(0) 推荐(0) 编辑
摘要:
本文原作者John J. Barbara,所有权利归原作者所有。 作者简介: John J. Barbara owns Digital Forensics Consulting, LLC, providing consulting services for companies and laboratories seeking digital forensics accreditation. An ASCLD/LAB inspector since 1993, John has conducted inspections in several forensic disciplines i... 阅读全文
posted @ 2012-04-07 22:51 YiDiscovery 阅读(624) 评论(0) 推荐(0) 编辑
摘要:
上周赴土耳其参加Euroforensics 2012, 3rd International Forensic Sciences Exhibition and Conference,偶遇Tableau代理商mh的展位,其展示的Tableau TD3复制机是该公司最新产品,目前仅供美国FBI使用,预计今年年内能够推向市场。 TD3采用模块化设计,可以使用各种接口模块接入Source和Target,同时目标支持千兆以太存储以及TMSS存储设备。 ©Yi Sun 2012 阅读全文
posted @ 2012-04-07 22:16 YiDiscovery 阅读(451) 评论(0) 推荐(0) 编辑
摘要:
Q:在EnCase v7中,当用户使用了Conditions之后,过滤的结果是独立显示在Result里的,而不是像v6一样附加于Entries界面,在Result中,是不具备Copy Files或Copy Folder的功能的;而Go To File仅能够实现单一文件的跳转。那么,如何才能批量导出Conditions和Filters过滤后的结果中的批量文件呢? A:调查员可以首先进行Condition或者Filter操作,之后在Result中,对过滤结果进行全部勾选,并使用Tag功能为所有选中项目加Tag用以标记,之后,切换至Entries标签,对Tag列进行排序,选中所有标记Tag的文... 阅读全文
posted @ 2012-03-26 16:45 YiDiscovery 阅读(425) 评论(0) 推荐(0) 编辑
摘要:
苹果公司的iOS操作系统和谷歌公司的Android操作系统可以说是目前最受欢迎的两大智能手机操作系统,根据Gartner公司的数据,2011年第三季度,Android操作系统以52.5%雄踞智能手机市场占有率第一的位置,苹果iOS设备以15%位列第三。如此普及的两种智能手机操作系统,能够保证我们的个人隐私么?iOS操作系统苹果公司在iPod Touch、iPhone以及iPad上使用的智能移动终端操作系统,称之为iOS系统,在iOS操作系统中,用户的许多操作和功能应用都会涉及地理位置信息。l 照片默认情况下,当用户打开了iOS操作系统中的“定位服务”,则使用该iOS设备拍摄的所有照片都会包含拍 阅读全文
posted @ 2012-02-03 14:03 YiDiscovery 阅读(2199) 评论(3) 推荐(0) 编辑
摘要:
http://forensic.belkasoft.com/en/bec/en/evidence_center.asp 阅读全文
posted @ 2012-02-03 13:51 YiDiscovery 阅读(552) 评论(0) 推荐(0) 编辑
摘要:
GSI近期更新v7的速度颇快,让人觉得是因为为了推广新版本v7而没有注重程序功能性和稳定性以及用户体验,频繁地修复Bug和改进功能,10月18日发布v7.0210月19日发布v7.02.0110月29日发布v7.02.02 Software UpdateAn Update to EnCase®Forensic Version 7is Now AvailableGuidance Software is pleased to announce EnCase Forensic Version 7.02.02 is now available. We are constantly worki 阅读全文
posted @ 2011-10-31 17:18 YiDiscovery 阅读(603) 评论(0) 推荐(0) 编辑
摘要:
Virtual Disk ConversionVirtualBox uses VDI files for primary hdd image. After you export the VM it will become a VMDK. I f you want to convert it back to VDI, or just want to convert image type you can do it with the following command:Syntax:#VBoxManage.exe internalcommands converthd -srcformat FOR. 阅读全文
posted @ 2011-10-11 01:12 YiDiscovery 阅读(1840) 评论(0) 推荐(0) 编辑
摘要:
苹果iOS 4中,文件系统是加密的,且用户可以通过设置锁屏密码来保护自己的iOS设备 不知道有没有手机取证调查人员记得,在iOS 3中,可以通过删除keychain和springboard两个文件来实现清空密码,但在iOS 4中,这个方法无效,只会导致所有账户保存设置丢失。 那么,手机取证调查人员如何才能绕过或者破解iOS 4设备的密码呢? CelleBrite近期推出了Physical Analyzer 2.2.1版本,该版本新增了针对iOS 4设备的密码破解功能 经本人测试,可以完整恢复iPhone 4、iPad等iOS 4设备(含4.3.3、4.3.4和4.3.5)的密码... 阅读全文
posted @ 2011-09-02 15:54 YiDiscovery 阅读(1954) 评论(0) 推荐(0) 编辑
摘要:
由于目前大部分智能手机数据存储都采用SQLite数据库,所以SQlite数据库的恢复成了是否能够恢复被删除数据的关键。 目前针对SQLite数据库,国内尚无成熟的解决方案,更没有专用的取证工具;而国外目前有两款专门用于SQLite数据库取证的工具: Epilog 和 SQLite Forensic Reporter Epilog 这款软件从界面上看很强大,据其官方演示(有兴趣的可以Youtube搜关键词epilog),该软件可进行SQLite结构解析、日志恢复和完整数据结构恢复。 SQLite Forensic Reporter 该软件号称目前最专业的SQLite取证软件,主... 阅读全文
posted @ 2011-09-01 17:46 YiDiscovery 阅读(2551) 评论(1) 推荐(1) 编辑
摘要:
经常使用iOS设备(iPad、iPhone、iPod Touch)的用户可能都遇到过在使用iTunes升级的过程中,出现3194错误在网上搜索一下,大多数人给出的解答是hosts被修改了,需要把hosts修改并保存,但其实这种方法大多数时候解决不了问题出现3194的原因主要是iTunes在和苹果服务器进行验证时出现错误,如用户欲更新老版本替换新版本软件,或未联网所以,大部分3194错误,除了确定自己的Windows操作系统hosts文件未被修改之外,只需要做一件事,即找一个fan qiang工具或者神奇土地之外的VPN,再试试,你会发现不会再出现3194错误围在墙里的人想逃出来,墙外的人想冲进 阅读全文
posted @ 2011-08-28 23:45 YiDiscovery 阅读(1994) 评论(0) 推荐(0) 编辑
摘要:
用v7一段时间了,新功能不少,问题也不少 Raw Search无法实时查看结果 Raw Search、Evidence Processor无法显示统计和日志 Ex01重获取为E01时出现文件扩展名错误 总体来说,EnCase v7是褒贬参半,新功能带来方便的同时,太大的改动导致很多专业取证人员不适应,比如取消了右键,取消了独立脚本,Evidence Processor必须校验文件签名等。 阅读全文
posted @ 2011-08-19 12:52 YiDiscovery 阅读(606) 评论(0) 推荐(0) 编辑
摘要:
6.19版本现在包含x86和x64的中文和英文版本。新功能:支持Ex01和Lx01证据镜像文件支持McAfee Endpoint Encryption 6.0改进和修复:Acquisition, Add Device, Preview, File System 38785: Unable to acquire a device in acquisition mode with Tableau TD8.EnScript 39163: Running Windows Initialize Case on a Windows 7 machine with a Windows Vista image 阅读全文
posted @ 2011-08-19 01:47 YiDiscovery 阅读(469) 评论(0) 推荐(0) 编辑