编写人菲尔·摩尔2018年9月29日 2018年第39周 139端口博客上的FORENSIC ANALYSIS Hideaki Ihara删除了一个包含$I30文件和硬链接图片的文件夹。他表示索引中有一个引用,FTK Imager没有显示图片文件,但Autopsy显示了。4n6IR的尸检和Realloc James Habben有几篇关于识别目标的帖子[…]
编写人菲尔·摩尔2018年9月22日 2018年第38周 139端口博客上的FORENSIC ANALYSIS Hideaki Ihara显示,可以使用esentutl应用程序复制文件,这会记录在安全事件日志中。Esentutl和4n6IR的文件副本James Habben展示了如何在Encase中定位ObjectID。EnCase中的NTFS对象ID有几个[…]
编写人菲尔·摩尔2018年9月16日2018年9月30日 2018年第37周 在Port 139博客上的FORENSIC ANALYSIS Hideaki Ihara查看了$ObjectID文件,并显示可能存在已删除文件的引用。从一些测试中可以看出,具有该名称的文件是否已被访问,这一点可能很有用。NTFS$ObjID和ObjectID Andrew Odendal位于[…]
编写人菲尔·摩尔2018年9月8日 2018年第36周 DFIR X的FORENSIC ANALYSIS@0x00A已经创建了一个博客,展示了如何将vmem图像转换为raw以供使用Volatility进行检查如何准备VMWare内存图像以进行Volatility-ANALYSIS Elcomsoft的Oleg Afonin解释了“如何使用和不使用取证工具访问存储在Apple iCloud中的信息”云取证:[…]
编写人菲尔·摩尔2018年9月2日 2018年第35周 FORENSIC ANALYSIS Hideaki Ihara在Port 139博客上发布了对$LogFile的几项测试。他本周使用“$LogFile检查集群的覆盖情况”进行了测试。NTFS$LogFile和DataRun设置ObjectID时,他还查看了$LogFile。Elcomsoft的NTFS$LogFile和ObjectID Oleg Afonin具有[…]