WinDD 1.3 簡介&下載

WinDD 1.3


相容性列表:

Raw memory dump:

* Windows 2000 (32-Bits)

* Windows XP (32-Bits and 64-Bits)

* Windows 2003 (32-Bits and 64-Bits)

* Windows Vista (32-Bits and 64-Bits)

* Windows 2008 (32-Bits and 64-Bits)

* Windows 7 (32-Bits and 64-Bits)

* Windows 2008 R2 (32-Bits and 64-Bits)

Microsoft crash dump:

* Windows XP (32-Bits and 64-Bits)

* Windows 2003 (32-Bits and 64-Bits)

* Windows Vista (32-Bits and 64-Bits)

* Windows 2008 (32-Bits and 64-Bits)

* Windows 7 (32-Bits and 64-Bits)

* Windows 2008 R2 (32-Bits and 64-Bits)


特性:

* Raw dump generation

* Standalone Microsoft crash dump generation

* Network support (client + server)

* SMB path support

* MD5, SHA-1 and SHA-256 hash support

* Support 3 mapping methods for both full crash dump and raw memory dump generation

* Support 3 content rules

* Fast

* 32-bits and 64-bits support

* Can hibernate the system.

* Can generate a Blue Screen of the Death

* Support of machine with more than 4GB of RAM.

Microsoft Windows has an internal limitation which does not allow to generate a Microsoft Full Crash dump if the local machine has more than 2GB of physical memory. Of course, this limitation does not affect windd but it was funny and a good surprise to see Windbg correctly works with 8GB Microsoft crash dump (successfuly tested by Jimmy).




WinDD 1.3 下載

Mozilla Firefox 3 History File Format

Firefox 從版本3開始,使用新的文件格式來儲存瀏覽的歷史紀錄,而不是把這些紀錄存於mork文件格式,紀錄改為保存在一個SQLite資料庫



文件位置(File Locations)

Windows XP

C:\Documents and Settings\<username>\Application Data\Mozilla\Firefox\Profiles\<profile folder>\places.sqlite

Windows Vista

C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile folder>\places.sqlite

GNU/Linux

/home/<user>/.mozilla/firefox/<profile folder>/places.sqlite

Mac OS X

/Users/<user>/Library/Application Support/Firefox/Profiles/default.lov/places.sqlite



文件標頭(File Header)

Firefox 3 history files start with

53 51 4C 69 74 65 20 66 6F 72 6D 61 74 20 33

which represents the ascii string SQLite format 3. This is normal for any Sqlite database file, so it may be more appropriate to verify that the file is a Firefox 3 history file by looking for the database tables within the file. For example, at offset 120701 (0x1D77D) the hex value

43 52 45 41 54 45 20 54 41 42 4C 45 20 6D 6F 7A 5F 62 6F 6F 6B 6D 61 72 6B 73

can be found. This represents the ascii string CREATE TABLE moz_bookmarks. At offset 120973 (0x1D88D) the hex value

43 52 45 41 54 45 20 49 4E 44 45 58 20 6D 6F 7A 5F 62 6F 6F 6B 6D 61 72 6B 73 5F 69 74 65 6D 69 6E 64 65 78

can be found. This represents the ascii string CREATE TABLE moz_bookmarks_itemindex.



資料庫表(Database Tables)

The places.sqlite file is essentially a database with multiple tables: moz_anno_attributes

moz_annos

moz_bookmarks

moz_bookmarks_roots

moz_favicons

moz_historyvisits

moz_inputhistory

moz_items_annos

moz_keywords

moz_places



參考來源:wiki

DEFT v5 鑑識工具

DEFT開發出最新的鑑識工具DEFT V5x,DEFT V5x是Live CD,提供鑑識人員於取證時完整的鑑識工具(當然還是有缺拉),除了Windows介面下的鑑識工具更新之外,以Linux環境開機後也收錄更多GUI工具,已經快有之前Helix Live CD的影子了,詳細更新內容如下:


DEFT v5 computer and network forensic packages list:

  • sleuthkit 3.01, collection of UNIX-based command line tools that allow you to investigate a computer
  • autopsy 2.21, graphical interface to the command line digital investigation tools in The Sleuth Kit
  • dhash 2, multi hash tool
  • aff lib 3.5.2, advanced forensic format
  • gpart, tool which tries to guess the primary partition table of a PC-type hard disk
  • guymager 0.4.2-1, a fast and most user friendly forensic imager
  • dd rescue 1.13, copy data from one file or block device to another
  • dcfldd 1.3.4.1, copy data from one file or block device to another with more functions
  • linen 6.01, Linux version of the industry- standard DOS-based EnCase acquisition tool
  • foremost 1.5.6, c onsole program to recover files based on their headers, footers, and internal data structures
  • photorec 6.11, easy carving tool
  • mount manager 0.2.6, advanced and user friendly mount manager
  • scalpel 1.60, carving tool
  • wipe
  • hex dump, combined hex and ascii dump of any file
  • outguess, a stegano tool
  • ophcrack 3.3.0, Windows password recovery
  • Xplico 0.6 DEFT edition, advanced network analyzer
  • Wireshark 1.2.2, network sniffer
  • ettercap 0.7.3, network sniffer
  • nessus 4, vulnerability and security scanner, client
  • nessusd 4, vulnerability and security scanner, server
  • nmap 5, the best network scanner
  • kismet 2008.05 R1, sniffer and intrusion detection system that work with any wireless card
  • dmraid, discover software RAID devices
  • testdisk, tool to recover damaged partitions
  • vinetto, tool to examine Thumbs.db files
  • trID 2.02 DEFT edition, tool to identify file types from their binary signatures
  • readpst 0.6.41, a tools to read ms-Outlook pst files
  • snmpwalk
  • chkrootkit, Checks for signs of rootkits on the local system
  • rkhunter 1.3.4, rootkit, backdoor, sniffer and exploit scanner
  • john 1.7.2, john the ripper password cracker
  • clam, antivirus 4.15
  • mc, UNIX file manager


DEFT extra 2.0:

  • System Information
  • Drive Manager
  • Reg Scanner
  • Win Audit
  • ReSysInfo
  • USB Deview
  • Bluethoot View
  • User Assist view
  • WRR
  • My Event View
  • MSI
  • Curr Proces
  • Live Acquisition
  • FTK imager
  • Winen
  • MDD
  • Forensics Tool
  • WFT
  • Zero View
  • WFA
  • File Alyser
  • Nigilant32
  • USB history
  • Shell command
  • PC on/off time
  • Password Recovery
  • Asterix logger
  • PassworFox
  • Chrome Pass
  • IE PassView
  • Wireless Key View
  • Mail pass view
  • Incredimail Message Extractor
  • Networking
  • Web Browser
  • IE Cookie View
  • IE History View
  • Mozilla Cookie View
  • Mozilla History View
  • Mozilla Cache view
  • Opera Cache View
  • Chrome Cache View
  • Index.dat Analyzer 2.0
  • Historian
  • FoxAnalisis
  • Utility tool
  • Skype Log View
  • Home Keylogger
  • HexEdit
  • SDHash
  • WipeDisk
  • USBWriteProtector
  • Testdisk
  • LTF View
  • AVI screen
  • Hower Snap
  • VNC Viewer
  • Sumatra PDF
  • Putty
  • Pre-Search
  • Photorec
  • Notepad++
  • WinMD5sum
  • Abiword
  • Undelete Plus
  • Hash calc
  • IP Net Info
  • SysInternal
  • Access Enum
  • autoruns
  • diskView
  • Regmon
  • WinOBj
  • Filemon
  • ProceXp
  • TCPView
  • Rootkit Revealer

DEFT v5 features list:
  • incorruptibility of the partitions
  • incorruptibility of the swap spaces
  • linux Kernel 2.6.31
  • LXDE
  • apt-get system
  • vino
  • rdesktop
  • samba client
  • open SSH client & server
  • ntfs3g
  • lvm support
  • brasero
  • record my desktop
  • wicd network manager
  • speedcrunch
  • htop


工具畫面截圖:

Boot

Dhash 2 text mode

Desktop

Software list

Dhash 2

Autopsy

Mount manager



DEFT V5x下載

電腦啟動過程簡介

以下以Windows作業系統為例介紹電腦的啟動過程:


1. Power-On Self Test ,接上電源後自我檢測

(1) 當按下電源開關時,電源就開始向主機板及其他裝置供電,電壓穩定後,CPU就從特定的位置開始執行指令

(2) 之後系統BIOS的啟動程式碼進行POST(Power-On Self Test,接上電源後自我檢測)


2. BIOS 初始檢測

(1) 系統BIOS將開始尋找顯示卡及其他裝置的BIOS程式,找到之後呼叫這些BIOS內部的初始化程式碼來初始化相關的裝置。

(2) 尋找完所有其他裝置的BIOS後,系統BIOS將顯示出它自己的啟動畫面,其中包括有系統BIOS的類型、序號及版本號等內容。

(3) 接者系統BIOS將檢測和顯示CPU的類型和工作頻率,然後開始測試所有的RAM,並同時在螢幕上顯示記憶體測試的進度。


3. BIOS 硬體檢測

(1) 記憶體測試之後系統BIOS將開始檢測系統中安裝的一些標準硬體裝置,包括硬碟、CD-ROM、排序埠、平行怖、軟碟機等裝置,另外絕大多數較新版本的系統BIOS在這一過程中還要自動檢測和設置記憶體的定時參數,硬碟參數和存取模式等。

(2) 標準裝置檢測完畢後,系統BIOS內部的支援隨插即用程式碼將開始檢測和設定系統中安裝的隨插即用裝置,每找到一個裝置之後,系統BIOS都會在螢幕上顯示出裝置的名稱和型號等資訊,同時為該裝置分配中斷,DMA通道和I/O埠等資源。

(3) 所有硬體都已經檢測設定完畢後,多數系統BIOS會重新整理螢幕並在上方顯示出一個表格,其中概略的列出了系統中安裝的各種標準硬體裝置,以及它們使用的資源和一些相關的工作參數。


4. 更新ESCD(Extended system Configuration Data,擴充系統組態資料)

接下來系統BIOS將更新ESCD(Extended system Configuration Data,擴充系統組態資料。ESCD示系統BIOS用來與作業系統交換硬體設定資訊的一種手段,這些資料被存放在CMOS之中。


5. 選擇啟動順序

ESCD更新完畢後,系統BIOS的啟動程式碼將進行他的最終一項工作,即根據使用者指定的啟動順序從軟碟、硬碟或光碟機啟動。

以從C碟啟動為例,系統BIOS將讀取並執行硬碟上的主開機記錄,主開機記錄接者從分區表中找到第一個使用中的磁碟分割,然後讀取並執行這個使用中的磁碟分個的分區開機記錄,而分區開機記錄將負責讀取並執行IO.SYS,並進一步開機即啟動磁區。


參考文獻馬林著「資料重現」

WinHex 15.2 繁體中文版

這套就不用多說了吧,功能強到爆還免費,以下為官方簡介:


WinHex: Computer Forensics & Data Recovery Software,
Hex Editor & Disk Editor
Windows 2000/XP/2003/Vista*/2008*/7*






winhex

WinHex is in its core a universal hexadecimal editor, particularly helpful in the realm of computer forensics, data recovery, low-level data processing, and IT security. An advanced tool for everyday and emergency use: inspect and edit all kinds of files, recover deleted files or lost data from hard drives with corrupt file systems or from digital camera cards. Features include (depending on the license type):
  * Disk editor for hard disks, floppy disks, CD-ROM & DVD, ZIP, Smart Media, Compact Flash, ...
  * Native support for FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF
  * Built-in interpretation of RAID systems and dynamic disks
  * Various data recovery techniques
  * RAM editor, providing access to physical RAM and other processes' virtual memory
  * Data interpreter, knowing 20 data types
  * Editing data structures using templates (e.g. to repair partition table/boot sector)
  * Concatenating and splitting files, unifying and dividing odd and even bytes/words
  * Analyzing and comparing files
  * Particularly flexible search and replace functions
  * Disk cloning (under DOS with X-Ways Replica)
  * Drive images & backups (optionally compressed or split into 650 MB archives)
  * Programming interface (API) and scripting
  * 256-bit AES encryption, checksums, CRC32, hashes (MD5, SHA-1, ...)
  * Erase (wipe) confidential files securely, hard drive cleansing to protect your privacy
  * Import all clipboard formats, incl. ASCII hex values
  * Convert between binary, hex ASCII, Intel Hex, and Motorola S
  * Character sets: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)
  * Instant window switching. Printing. Random-number generator.
  * Supports files >4 GB. Very fast. Easy to use. Extensive online help. (more)
Having all the bits and bytes in a computer at your fingertips has become a reality. Try before you buy, as long as you need, for free. Computer forensics edition of WinHex with even more features: X-Ways Forensics.




官方最新的1.56版 下載
15.2繁體中文版     下載


如何重設MySQL的root密碼(5.1.42)


針對Windows版本的MySQL(5.1.42),解密步驟:


1.登入windows系統(系統管理員身份)。


2.如果MySQL是啟動的,先將它關閉。


3.打開命令列視窗cmd。如果在上一步驟,沒有關閉MySQL,可以用 net start 查看MySQL是否還在啟動狀態。在啟動狀態的話,就用net stop mysql的指令將MySQL的服務停止。


4.切換到MySQL的安裝路徑的bin資料夾內,如果是預設路徑,應該在c:\Program Files\MySQL\MySQL Server XX\bin之下。


5.執行mysqld --skip-grant-tables,這個指令用以啟動MySQL,但會跳過權限檢查。


6.上個指令執行完後,命令視窗就停在MySQL的運行狀態,不能再輸入指令了,所以要重新打開一個新的cmd命令列視窗。 同樣切換到MySQL的安裝路徑的bin資料夾內,執行MySQL


7.在mysql>的模式下,執行


update mysql.user set password=PASSWORD('1111') where user='root';


flush privileges;


quit;

上面的步驟就可將忘記的密碼重設。


8.回到dos命令模式,執行 mysqladmin -u root -p shutdown,輸入剛改過的密碼1111。關掉目前MySQL無權限的模式。


9.再正常啟動MySQL。


Capture2010-1-25-下午 12.29.08.jpg


參考資料:


如果忘記mysql的root密碼(Windows)?


mysql忘記root密碼搞定方法(windows)


如何重設忘記的mysql密碼(mysql 5.1.42)


Process 解說網站

常常遇到作業系統中的Process(程序)不知道是什麼用途的話可以到這些網站查詢查詢~

1.ProcessLibrary: http://www.processlibrary.com/

ScreenShot00086.png

輸入所要查詢的程式名稱後會顯示正常或不正常程式的說明。

ScreenShot00087.png

2.Process info: http://process-info.org/

ScreenShot00088.png

查詢後一樣會列出查詢程式的相關資訊,但是資訊較為雜亂。

ScreenShot00089.png

另外如果你查的程式不是Process而是File的話可以到這邊~

What the file: http://whatisthatfile.com/index.php

ScreenShot00090.png

ScreenShot00091.png

F-response TACTICAL 簡介

F-Response 是一個在線取證工具,可以用於通過局域網絡獲取在線狀態下的數據,不會使原始數據發生改變。最近,F-Response最新發佈了TACTICAL版本。

同以往的版本不同,F-response最新發佈的TACTICAL 帶有兩個軟件狗。這些狗都是成對提供的。每個狗上都清晰地標記著"調查員專用 Examiner"和「嫌疑機專用 Subject」,以便區分在不同的計算機上插入。


當進行調查時,需要將「嫌疑機專用」狗插入需要檢查的計算機usb接口中。「調查員專用」狗需要插入調查員使用的分析計算機中。嫌疑機專用狗目前可以在Windows (包括Windows 7), OS X, 和 Linux系統下運行。調查員專用狗僅支持Windows系統。.

軟件

對嫌疑計算機的處理與原來的FK版本有些相似。

FK版本需要在嫌疑計算機中插入軟件狗,查找該機的IP地址,並在聯網的調查員計算機中輸入得到的IP地址,同時輸入用戶名和口令以繼續連接。

而使用TACTICAL,可以將「嫌疑機專用」狗插入局域網中的任何一台需要調查的計算機中,運行軟件。

軟件會通過網絡發送一個"信號", 當你在調查員計算機中插入「調查員專用」狗,運行軟件,點擊「自動連接」,調查員計算機會自動發現「信號」並與「嫌疑計算機」自動連接。無需輸入用戶名和密碼進行校驗。

當嫌疑計算機與調查員計算機之間的連接被成功建立,調查員可以看到嫌疑計算機中所包含的存儲設備列表。這包括內置硬盤、RAID陣列,外接的usb存儲設備等。

F-Response 嫌疑機專用狗也同時被列在存儲設備列表中。這可以防止在調查中因疏忽造成差錯。需要連接或加載磁盤/卷,用戶僅需右鍵點擊相應的磁盤選擇Login to F-Response Disk即可。

連接成功後,調查員可以隨意使用各自熟悉使用的工具進行分析。筆者測試了 X-Ways, EnCase, FTK Imager等工具, 每種工具都能夠象分析本地硬盤一樣地分析遠程嫌疑計算機中的硬盤。

這個版本的推出,使在線取證變得更加簡單了。過去的FK版本使用相對比較繁瑣,需要連接、設置,並輸入用戶名、口令用於驗證。現在,僅需插入軟件狗,分別運行客戶端、服務端軟件,即可成功加載遠程存儲設備,非常簡便。

轉自計算機取證

Windows 7 快速鍵整理


  Win+Up 最大化
  Win+Down 還原 / 最小化
  Win+Left 通過AeroSnap靠左顯示
  Win+Right 通過AeroSnap靠右顯示
  Win+Shift+Left 跳轉左邊的顯示器
  Win+Shift+Right 跳轉右邊的顯示器
  Win+Home 最小化 / 還原所有其他窗口
  Win+T 選中任務欄首個項目
  再次按下則會在任務欄上循環切換
  Win+Shift+T 則是後退
  Win+Space 使用Aero Peek顯示桌面
  Win+G 呼出桌面小工具
  Win+P 外界顯示器(擴展桌面等)
  Win+X 移動中心
  Win+#(# = 數字鍵) 運行任務欄上第N個程序  
  比如: Win+1 使用第一個程序, Win+2 使用第二個...  
  Win + +
  Win + -(plus or minus key) 放大/縮小   
  資源管理器 
  Alt+P 顯示/隱藏 預覽面板   
  任務欄  
  Shift + 左鍵單擊某程序圖標 運行
  中鍵單擊某程序圖標 運行
  Ctrl + Shift + 左鍵單擊某程序圖標 以管理員身份運行
  Shift + 右鍵擊某程序圖標 顯示窗口菜單(還原 / 最小化/ 移動 / 等)
  Note: 通常可以右鍵窗口的任務欄預覽呼出此菜單
  Shift + 右擊某程序圖標(分組顯示窗口模式下) 呼出還原所有窗口/ 最小化所有窗口/關閉所有窗口等菜單
  Ctrl + 左鍵單擊某程序圖標(分組顯示窗口模式下) 在窗口或標籤中循環切換

Windows 7 GodMode


據國外媒體報導,近來炒得沸沸揚揚的上帝模式(GodMode)不僅適用於Windows 7和Windows Vista系統,而且適用於未來的Windows 8系統。

據悉,Windows 7上帝模式首先由國外的一個博客發現。該博客感嘆於此項隱藏功能的神奇,遂將其命名為「GodMode」。你可以用任何名稱創造新的文件夾,再加上特定的字串,就能直接進入各種設定的控制面板。

例如,在桌面新建一個文件夾,命名為 GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}。你會發現:圖標變成了「控制面板」,文件夾裡面有相當豐富的內容。

微軟公司技術專家帕特里克·羅傑斯(Patrick Rogers)透露:「請放心使用這種系統技巧。這只是一種可以使文件系統文件夾進入控制面板的簡便方法。事實上,用戶可以通過各種上帝模式完整地設置Windows系統。從Windows Vista時代開始,每個控制面板項目都有一個便於開發者訪問Windows核心功能的規範名(Canonical Name)。當你創建一個文件夾,並且給予它一個規範名,那麼它的圖標就會變為指向某一任務的控制面板項目。」

Windows部門總裁史蒂文-辛諾夫斯基(Steven Sinofsky)已經公開聲明,Windows 7系統中還存在數個類似存取各種設置的隱藏功能,包括選擇電源設置和指紋識別傳感器。

羅傑斯還公佈了一份完整的控制面板規範名(Control Panel Canonical Name)列表。有趣的是,某些控制面板規範名僅適用於「Windows 7及其以後版本」(Windows 7 and later),這就意味著Windows 8系統也將存在類似的系統設置技巧。

羅傑斯還表示:「微軟MSDN網站已經面向Windows Vista和Windows 7用戶提供規範名列表,你可以隨時享受在文件系統創建控制面板的樂趣。」
下面節選的一些控制面板規範名:

- 行動中心(Windows 7及其以後版本) {BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
- 備份和存儲(Windows 7及其以後版本) {B98A2BEA-7D42-4558-8BD1-832F41BAC6FD}
- 識別設備 (Windows 7及其以後版本) {0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
-憑證管理(Windows 7及其以後版本) {1206F5F1-0569-412C-8FEC-3204630DFB70}
- 桌面工具 (Windows 7及其以後版本) {37efd44d-ef8d-41b1-940d-96973a50e9e0}
- 設備和打印機 (Windows 7及其以後版本) {A8A91A66-3A7D-4424-8D24-04E180695C7A}
- 展示 (Windows 7及其以後版本) {C555438B-3C23-4769-A71F-B6D3D9B6053A}
- 入門 (Windows 7及其以後版本) {CB1B7F8C-C50A-4176-B604-9E24DEE8D4D1}
- 家庭組 (Windows 7及其以後版本) {67CA7650-96E6-4FDD-BB43-A8E774F73A57}
- 紅外線 (Windows 7及其以後版本) {A0275511-0E86-4ECA-97C2-ECD8F1221D08}
- 通知圖標 (Windows 7及其以後版本) {05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
-多點觸摸手繪板(Windows 7及其以後版本) {F82DF8F7-8B9F-442E-A48C-818EA735FF9B}
- 調製調解器 (Windows 7及其以後版本) {40419485-C444-4567-851A-2DD7BFA1684D}
- 還原 (Windows 7及其以後版本) {9FE63AFD-59CF-4419-9775-ABCC3849F861}
- 地區和語言 (Windows 7及其以後版本) {62D8ED13-C9D0-4CE8-A914-47DD628FB1B0}
- 遠程桌面 Microsoft.RemoteAppAndDesktopConnections (Windows 7 and later only) {241D7C96-F8BF-4F85-B01F-E2B043341A4B}
- 聲音 (Windows 7及其以後版本) {F2DDFC82-8F12-4CDD-B7DC-D4FE1425AA4D}
- 語音識別 (Windows 7及其以後版本) {58E3C745-D971-4081-9034-86E34B30836A}
- 疑難解決 (Windows 7及其以後版本) {C58C4893-3BE0-4B45-ABB5-A63E4B8C8651}