网络安全与取证研究

其他

一文搞定MongoDB数据库备份与还原

点击上方「蓝字」关注我们在我司协助分析中众多案件中,涉及到网络赌博的MongoDB数据库是越来越多。MongoDB数据库其本身适用于需要处理大量实时数据、灵活的数据模型、高性能和可伸缩性以及需要丰富查询和聚合功能的应用场景,因此MongoDB就常用在游戏开发中,它可以记录游戏玩家的游戏数据和日志数据。01MongoDB备份登录阿里云的控制台,在搜索栏搜索mongo即可搜索到“云数据库MongoDB”的入口;进入到云数据库MongoBD的实例,在“备份与恢复”中即可对MongoDB云数据库进行物理备份;物理备份完成后即可下载备份到本地电脑。02还原到本地电脑步骤1本地电脑需要安装VMware虚拟机,并在虚拟机中安装centos7操作系统。并且需要在centos7中安装percona-xtrabackup工具和qpress软件包。安装步骤:percona-xtrabackup工具:输入命令yum
2023年9月10日
其他

MySQL数据库备份文件的恢复与查看

更新关键字:三星高版本、微信恢复、支付宝账单恢复、新增应用……当前,绝大多数网站资源和数据库资源都部署在服务器上,对服务器进行取证有时会遇到固定下的数据库文件不能在取证电脑上直接查看的问题,为此需要将数据库备份文件在本地电脑上进行恢复查看。本文以常见的MySQL数据库为例,详细介绍如何将数据库备份文件导入到本地电脑上进行数据恢复与查看。1、环境准备在本机查看MySQL数据库备份文件,首先需要启动MySQL服务,这就要求取证电脑需安装MySQL数据库及相应的连接工具。1.1
2023年7月29日
其他

APP 聊天协议逆向分析

JAVA层相关函数得到如下调用堆栈。那么组包和加密大概率是在wq这个类里面的某些函数实现的。打开JADX,查看wq.d$d.e函数。e函数里可以看到body即为tcp数据,经过body
其他

APK提取方法介绍

​​​​​​​​​​​​​​​
其他

第八届美亚杯团队赛题目和答案

​​​​​​​​​​​​​
其他

VHDX案例浅析

​​​​​​​
其他

关于APK的结构组成介绍

​​​​​​​​​
自由知乎 自由微博
其他

第四届长安杯电子数据取证大赛答题思路

}});解锁第三关所需的KEY值由ASCII可显示字符组成,请请分析获取该KEY值答案:a_asd./1imc2)dd1234]_+=+定位到加密方法直接把加密函数改成单次然后爆破即可package
其他

2022美亚杯个人赛答题思路解析

个人资格赛Writeup2022第八届中国电子数据取证大赛案情简介于2022年10月,有市民因接获伪冒快递公司的电邮,不慎地于匪徒架设的假网站提供了个人信用卡资料导致经济损失。警方追查下发现当中一名受骗市民男子李大輝
其他

使用小程序破解美亚杯中虚拟机、暗网部分题目

“美亚杯”第八届中国电子数据取证大赛已于11月13日圆满落幕(点击划线处了解更多)。本届大赛题目由香港大学和香港警务处联合出题,不仅涉及了计算机取证分析、手机取证分析、服务器数据库分析、网络抓包分析等部分,还包含了虚拟机取证分析、暗网取证分析等,综合考察了参赛选手的电子数据取证能力。学而不思则罔,思而不学则殆。赛程结束后举行的赛后复盘也吸引着学界、业界的广泛关注。复盘大会上,在各选手的经验交流中频繁提及“取证小程序”。“取证小程序”是一种运行于取证软件、利用Python脚本对电子数据进行提取和分析的应用。随着“取证小程序”不断升级完善,功能也在不断增加,无论是在协助警方办案,还是在各大比武现场及比赛现场中,“取证小程序”都发挥着不容忽视的重要作用。实战题目图1
其他

2022美亚杯团队赛复盘简要思路

美亚杯团队赛近期花了点时间进行复盘,整体来说,题目的整体考察范围依然很广,但是今年的题出现一些新的考点。简单复盘来看,人员分工上,以往一般按照检材分工比较合适,分为计算机、手机和服务器,覆盖考点也相对均衡,今年的题目分成三个完整人员身份,粗略看来按人员分会更加合适,即ACG(以服务器为主)、王景浩(以计算机为主)、鲁尼(以手机为主),实际王景浩镜像中包含两个iOS备份,手机分量也不低,鲁尼的手机内容不多,主要难点在计算机中的比特币钱包部分,服务器部分计算机的内容也不少。所以整体上考察的还是团队中每个人的综合能力。工具准备上,取证大师+弘连火眼分析+仿真yyds,配合一些常用小工具,几乎平趟,尤其是弘连,计算机+手机同步分析,手机数据库内容直接查看,几乎必不可少。题目方面,先说AGC部分。核心部分看似是raid,其实涉及不多。Media
其他

2022美亚杯资料题目整理

2022美亚杯资料题目整理,仅供大家复盘参考1、镜像下载资格赛资料链接百度云:https://pan.baidu.com/s/1NxpFVtO-u8mgcwwDTBAXpw提取码:3pvz微软
其他

安卓镜像转换磁盘格式后的分区定位与数据恢复

当我们拿到一份镜像文件的时候,首先要将镜像文件由页的形式转换为磁盘扇区的形式,以便于进行接下来的分析。在Winhex工具中点击【专业工具】下拉菜单,选择【将镜像文件转换为磁盘】。
其他

Docker勘查取证思路

Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上。
其他

硬盘结构基础知识

对于我们熟悉的硬盘,突然之间有好多疑问,电脑C、D、E、F盘在硬盘哪里呢?主分区、扩展分区分别对应的哪些扇区?主引导记录和系统分区表在哪里呢?为什么有些硬盘贵,有些便宜,参数之间的差距到底意味着什么?操作系统如何和硬盘打交道的?操作系统中的文件到底是怎么存储在硬盘里面的?什么是扇区、簇?硬盘到底是怎么存储数据的?这些问题的解决,也许只需要了解很少的硬盘内部知识。接下来,我们来给大家讲解一下硬盘中常常听到的一些名词。(1)磁道(Track):我们让磁头固定住,然后让盘面旋转,那么磁头所划出的同心圆,就称为一个磁道,如果再加上磁头的运动,那么磁盘上就形成了从外到里的一圈圈的磁道。看下图:那么多的磁道,为了好称呼,因此给他们取了名词,从外到里,分别叫做磁道0,磁道这里有三点需要说明的:一是磁道与磁道之间并不是之间相连的,而是有一段距离,要不然磁道和磁道之间磁性会相互干扰了;二是上图中磁道画的是一个“圆圈”,而实际上,磁道是有一定宽带的,所以应该叫做“圆环”才对。如下图:绿色的一个环就是一个磁道;三是磁道实际上是虚拟出来的,我们看到的就是一个像光盘一样盘子,那些磁道只是被磁化了,我们想象成一个一个的磁道。(2)扇区(Sector):前面说了一个“圆环”就叫做一个磁道,里面可以存储信息,如果再细分的话,这个磁道可以分成一截一截的,就叫做扇区,英文叫sector,上图中蓝色的部分;因此一个磁道由多个扇区组成的。每个扇区可以存储512个字节,差不多0.5KB。(3)柱面(Cylinder):我们知道了磁道和扇区的概念,同时我们知道不是一个盘面存储信息,而是多个盘面上下叠放在一起存储信息,每个盘面都会有磁道,因此上下盘面中具有同一个编号的磁道就形成了一个圆柱,就称为柱面。通过概念我们知道,一个磁盘的柱面数=磁道数。再看下下面的图,对上面的概念再加深一下理解:四、进一步理解前面把基础的知识都给讲了,这里总结一下:(1)硬盘是由盘面来存储数据的,每个盘面有许多磁道,从外到内编号依次为0,1,2,3...,每个磁道又是由许多个扇区组成的。还可以看看这个视频增加些感性认识:探索电脑硬盘内部的秘密(2)每个盘面对应一个磁头来读写数据。(3)相同编号的磁道组成了柱面。因此:柱面数=磁道数,盘面数=磁头数。再来理解几个概念(1)平均访问时间我们知道数据是存储在扇区里面的,我们要想读取数据,就需要磁头运动到指定的扇区,因此需要时间,这个时间就叫做“平均访问时间”,这个时间由两个部分组成,一个是磁头找到相应磁道的时间,即“平均寻道时间”,这是靠磁头运动来完成的;一个是找到相应的扇区,即“平均潜伏时间”,这是靠主轴带动盘面的运动来完成的。(2)磁盘的容量磁盘容量=柱面数(或磁道数)*磁头数(盘面数)*扇区数*512B,其中扇区数表示一个磁道有多少个扇区;磁道数表示一个盘面(正反两面)有多少个磁道数;盘面数表示有多少个上下叠放的盘面。上面的公式我们假定磁道内的扇区数目是相同,以前的磁盘技术确实是这么安排的,但是这样有一个问题,那就是越往外,磁道的周长越长,但是扇区数一定,导致越往外圈,512B的数据量占用的空间越多,也即数据存储密度越少,因此现在磁盘技术往往各个磁道的扇区数目不同,越往外,扇区数目越多。(3)主引导记录和系统分区表在哪里?硬盘的第一个扇区(0磁道0磁头1扇区)被保留为主引导扇区,里面保存了主引导记录(MBR,Main)和硬盘分区表(DPT)。主引导记录是一段程序代码,可以对硬盘上安装的操作系统进行引导;硬盘分区表存储了硬盘的分区信息。(4)磁头复位节能技术通过闲时对磁头进行复位,来达到节能的目的。平时硬盘磁头是怎么动的,可以看看这个视频亲眼看看硬盘是如何工作的。就写到这里吧,心里又有了几个疑惑等待解决。