Free Malicious PDF Analysis E-book

Malicious PDF Analysis E-book

轉自 http://blog.didierstevens.com/2010/09/26/free-malicious-pdf-analysis-e-book/

製作綠化版鑑識工具

如果可以選擇的話，我們在下載軟體時，通常都會比較偏愛下載「綠化」或「可攜式」的版本，因為這類型的軟體最大的優點當然就是不需要安裝，可以放在隨身碟 裡帶著走。不過，許多「綠化版」的軟體，看起來似乎都「不太乾淨」，與其忐忑用著這些來路不明的檔案，不如用「Cameyo」自己動手做綠化軟體。

在介紹怎麼綠化軟體前，還是得先幫大家名詞解釋一下，「綠色軟體、綠化」這底是怎麼一回事。

看到「綠色」，腦袋中自然會浮現「乾淨或環保」之類的概念，跟一般軟體比較之下，綠色軟體（Green Software）不需要安裝就可以執行，自然也不會留下什麼「汙染」本機的記錄，像是機碼、捷徑或資料夾等。

綠色就是可攜式

綠色軟體也被稱為可攜式軟體（Portable Application），因為如果想放在隨身碟直接執行，體積輕巧當然是一定要的，像7-zip portable、8start Launcher、foobar2000等都是常見的綠色軟體。

要注意的是，並非所有的軟體都原生提供綠化版，像許多地下論壇或網站所提供的「綠化版」，很多時候都是「綠化破解版」。這些被非法綠化的軟體，或許本身就是有限制的付費或共享軟體，而非自由軟體（Free software），至於真的有這麼多「好心」的人沒事會冒著風險幫你綠化軟體嗎？或許仔細用防毒軟體掃一掃會得到答案。另外，「綠色軟體」都常是在設計時就已經是免安裝的小軟體，但「綠化軟體」卻通常是後天加工而成。

要如何綠化？

接下來要介紹的Cameyo是一套蠻容易使用的軟體，它的運作原理是利用沙盒（Sandbox）的虛擬化技術，先把所有的動作都記錄起來並打包，當 執行這「一包程式」時，它會產生一個虛擬環境來執行，就不會去動用到原本的系統。這大概也能說明為什麼綠色軟體會強調「小軟體」，因為如果是複雜龐大的軟 體，勢必會跟系統有更緊密的結合，要複製出相同的執行環境，較困難也不適合，綠化時也容易造成失敗。

軟體資訊

• 軟體名稱：Cameyo 1.4
• 軟體性質：免費軟體
• 軟體大小：1.62MB
• 官方網站：http://www.cameyo.com/
• 下載網址：http://www.cameyo.com/download.aspx

▲要先聲明，不是所有的軟體一定都可以綠化成功哦！

讓軟體變綠

目前Cameyo最新的正式版本是1.4，也釋出1.5的Beta版本。因為綠化的過程會側錄執行程式時的程序，所以建議綠化的平台愈單純愈好，綠化的過程中也儘量不要再執行其他程序，這樣可以降低綠化失敗的機率。

▲安裝完畢後，直接從開始選單程式，點選「Capture installation」開始執行錄製。

▲右下角會出現側錄前的畫面，請耐心等待。

▲當畫面變身為「Proceed With installation」並看到紅色閃爍的按鈕，我們就可以開始安裝一遍要綠化的軟體。完畢後再按下「Install done」，Cameyo就會開始打包。

▲接下來就會出現一個視窗要我們填入軟體的名稱及路徑，並在最下方選擇軟體的執行檔，再按「OK」。

▲之後我們會在資料夾下看到一個可執行檔，這就是我們自已DIY的綠化軟體。

▲如果是用1.5的Beta版本，執行時會多出這個畫面，選取與程式有關的項目即可開啟。

轉自：T客邦

模擬實戰釣魚網站

這是 VeriSign 提供的一個測試網站。


可以測試自己對釣魚網站辨別能力的網站，雖然內容不夠豐富，玩到最後有點像大家來找碴，不過還是不錯的測驗唷...
總共有十題題目(雖然有五題有出跟沒出一樣)...


網址：https://www.phish-no-phish.com/

中文：https://www.phish-no-phish.com/tw/default.aspx








答題後還有解答，這點不錯，大家有空去玩玩吧~

只講究技術安全其實不夠安全

只有考慮「最」安全的想法，其實是一個錯誤的資安觀念。正確的作法是要思考，適當的安全保障是多少？


如果你家門口裝了10道鎖，每天上下班時都要上鎖或開鎖十次。不出2個禮拜，最後你每天只會鎖住最主要的那道鎖。為什麼不會使用全部的鎖，因為人性，太麻煩了反而窒礙難行。可是，你家裡若放了3億元現金，恐怕連鎖10道，你都不嫌麻煩。


很多人談到資安，多半會強調技術的必要性，認為要善用技術來解決各種安全問題，不斷鼓吹企業要採用更安全的資安技術，講究絕對安全。這就像是認為門上裝的鎖越多就會越安全，其實不然，企業要考慮的是風險和安全措施的對稱性。


只有考慮「最」安全的想法，其實是一個錯誤的資安觀念。正確的作法是要思考，適當的安全保障是多少？例如購買一輛摩托車要花5萬元，被偷的風險有多高？金 錢損失5萬元，再加上造成的不便，最多7、8萬元的風險。為了保證這8萬元的財產，每年應該支付多少錢才划算呢？這是可以估算出來的數字。如果，你每年花 10萬元做防盜措施，那就是太超過的作法。但你若是買了一臺價值上千萬元的法拉利跑車，卻捨不得花10萬元來安裝防盜設備，這也是很愚蠢的作法。


如果你居住的社區小偷猖獗，你太太建議在門口加裝新鎖。你到五金店找了你能負擔的最好鎖頭，但是，店家告訴你，這個鎖頭不能保證百分之百的安全，你買不 買？如果裝了新鎖頭後，可以比現在更安全，以前小偷開鎖要花5秒鐘，現在要花5分鐘。或者是裝了新鎖讓你家比鄰居更安全，開鄰居的鎖要10秒鐘，但開你家 的鎖要10分鐘，那就值得購買。安全措施的風險也是相對的。


一昧注重技術安全其實是不夠安全。很多實際的情況是，技術夠安全，但人員管理不當還是會發生問題，像是在今年初，連安全保護非常嚴謹的瑞士銀行業者，也都傳出了遭內賊竊取客戶帳戶資料的事件。


美國曾有機構統計洩密事件的發生原因，半數來自內賊的問題。但是，企業級的資安技術大多是用來防外人，比較少見防內賊的機制。基本上，除了技術以外，企業還是得搭配管理手法來解決資安問題。


尤其在工作場合中，常會有一些令人為難的資安情況發生，例如當你休假或出差時，你的主管要你交出個人的帳號密碼，你給不給？你能不能給？憑什麼不給？或者 是你擔任機房管理人員，總經理要帶朋友進去參觀，你應該放行嗎？要不要辦理登記手續？你能不能不放行？還有一種常見情況，你的部屬將密碼寫在黃紙條上，貼 在電腦上面，你該不該管？你憑什麼管？


儘管企業導入再好的技術產品，只要發生上面提到的這些行為，就會讓技術失效。即使先前我曾提過，IT系統必須落實責任分工，才能防錯除弊，但若無法有效阻止主管取得員工的帳號密碼，分工還是假的，有不少洩密案的內賊都是主管階層，交出密碼的基層員工只是代罪羔羊。


很多企業沒有明文規定這些安全要求，而是由員工自行判斷，通常員工最後多半還是會答應主管交出密碼。企業必須將這些要求明確地記錄下來，建立一套資訊安全 的SOP。基層員工才有理由來拒絕主管的不合理要求，或是交出密碼後立即通知稽核單位處理，避免成為究責對象，這樣才能保護基層、保障公司的安全。資安技 術必須加上管理配套才能真正發揮成效。口述⊙范錚強，整理⊙王宏仁


作者簡介：
范錚強－中央大學管理學院特聘教授
曾任國立中央大學資管系主任多年，任內創立資管所碩士班，曾應邀到北京大學光華管理學院任客座教授。學術方面，擔任過中華民國資訊管理學會第一、二屆常務 理事，以及第三、四屆理事長。范教授長期擔任多項政府專案審查人，包括經濟部軟五計畫、ABCDE計畫、企業體系電子化計畫、商業體系電子化計畫、物流運 籌業電子化計畫、行政院科技顧問組旗艦計畫等。


轉自ITHOME

MoonSols Windows Memory Toolkit

This version is free. All executables and drivers are NOT redistributable.
Reverse engineering is prohibited.

You are experiencing any problems contact us at : support@moonsols.com

This version contains :

- win32dd  (one executable + one driver) 1.3.1.20100405
- win64dd  (one executable + one driver) 1.3.1.20100405
- hibr2dmp (one executable)              1.0.20100405
- hibr2bin (one executable)              1.0.20100405
- dmp2bin  (one executable)              1.0.20100405
- bin2dmp  (one executable)              1.0.20100405

You are using Community Edition which means :

- win32dd works for Microsoft Windows XP, 2003, 2008, Vista, 2008 R2, 7 32-bits Edition.
- win64dd works for Microsoft Windows XP, 2003, 2008, Vista, 2008 R2, 7 64-bits (x64) Edition.

- hibr2dmp and hibr2bin only works with Microsoft Windows XP, 2003, 2008, Vista 32-bits Edition
Microsoft Windows hibernation files, including corrupted hibernation files.

- dmp2bin only works with Microsoft Windows XP, 2003, 2008, Vista, 2008 R2, 7 32-bits Edition
of Microsoft full memory crash dump files.

- bin2dmp works with Microsoft Windows XP, 2003, 2008, Vista 32-bits Edition raw memory snapshots
(windd, VMWare).

來源：http://moonsols.com/blog/9-moonsols-windows-memory-toolkit

Forensics wiki

http://www.forensicswiki.org/wiki/Main_Page

難以遏止的網路攻擊文化

作者：鍾慶豐 -08/30/2010

網路攻擊存在於各種網路應用領域，不管是主動式攻擊或是被動式 攻擊，其次數、範圍與危害程度已逐漸達到令人難以忍受的地步，美國軍方甚至提議將網路攻擊視為一種軍事挑釁，建議以軍事行動加以回應，未來此類的衝突只會 越來越加白熱化。

網路攻擊之所亦如此猖獗，其中原因之一在於目前IP網路對攻擊者身分驗證仍有困難所致。此特點乃當時IP網路迅速普及的誘因之一，但現在這項優點卻也成為未來網路應用方面的致命缺點。不管未來大家對網 路攻擊事件的看法如何，如果真要反擊，那反擊的方式將是筆者所好奇的。

畢竟以目前機制而言，要能精準定位到分散式攻擊之攻擊者，實在 有諸多困難，更不要談反擊能力的有效實施。

雲端應用仍暴露在傳統安全威脅

新技術使舊威脅變得較難以實施，因此大家不斷推出新版本的作業 系統、應用程式、防毒軟體…等，以為自己的電腦系統安全盡一份心力。然新技術只會導致舊威脅的進化，因為新技術一旦沒有將舊威脅斬草除根，不管再怎樣升級 系統，都只是延緩被攻擊成功的時間而已。

就以目前大家耳熟能詳的雲端運算(cloud computing)技術來說，先不談其與叢集運算(cluster computing)或網格運算(grid computing)之異同，其所遭遇到的網路安全威脅依舊存在。雲端技術將網路的應用與電腦技術加以結合，而形成所謂的「雲端運算」。

客戶可以將資料移到雲端，而不用再擔心資料硬體的儲存管理問 題，舉凡Amazon的簡易儲存服務(S3, simple storage service)或其彈性運算雲端(EC2, elastic compute cloud)便是此類最好的例證。

這些線上服務提供大量的儲存空間與客制化的運算，但缺點是將客 戶本身的服務可用性與資料整合性委託給雲端服務提供者，其間是否具有信任與穩定性頗值探討。

雖然雲端安全的設定好像是設定內部安全一樣，你日常所適用的安 全工具一樣可以保護那些位在雲端的資料。這裡唯一的差異，乃是雲端環境屬多承租環境(MTE, multi-tenant environment)，同時可能有多家公司承租而共享雲端服務。此外雲端環境所牽涉到的安全問題，雖然大多數都可以用 目前現有的安全工具加以定位，表面上客觀威脅性並未明顯增加，但人員道德威脅的主觀威脅性卻有所增加。

正如其他新興運算技術一樣，基於IT產業之原本特性，一旦有新技術被使用，在一定期間內他往往會發揮某種經濟上的使用價值，但這些價 值會隨著時間經過與更新技術的提出而改變，以持續提供企業的金融競爭力，雲端技術亦屬此類技術經濟價值。在其價值用盡之前，是否有值得攻擊的必要，往往必 需看雲端存放的資料隸屬何種資料而定。

不過假如各位選擇了一個有品質的雲端服務提供者，這個品質往往 也提供了相當的安全保證。一般而言，您所需要的安全等級，通常是依據您在雲端用戶端所可能遭遇之風險來決定。

但不可諱言的，傳統密碼學所能提供的資料保護，無法直接套用在 雲端運算中已非使用者能控制的資料上。因此要在沒有完整資料引導的情況下，去驗證雲端資料這便顯得有點困難。另外，使用者儲存在雲端的資料型態不盡相同， 其資料安全的保證亦難以統一。

此外，雲端運算並非只是協力廠商提供的資料倉儲，那些儲存在雲 端的資料，可能常被使用者更新或修改。因此如何在使用者動態操作中，仍能對資料的完整性予以確認，便顯的相當重要。另外，為使使用者資料整體性威脅降低， 其使用者資料往往經冗餘處理後被儲存在不同的實體位置，因此儲存資料使用的分佈協定(distributed protocols)所扮演的角色，對資料完整性來說便顯得非常重要。

以上這些影響雲端用戶資料安全的因素，都可進一步被發展成攻擊 雲端運算之武器。所以網路攻擊者要直接攻擊雲端運算服務提供者並非不可能之事，但要追蹤攻擊者卻不是件簡單的事情。因為追蹤的第一要務是必須在網路流量中先識別攻擊封包，這些攻擊封包可能來自攻擊跳躍環(stepping stone chain)中的反射電腦(reflector)或殭屍電腦。

此外這種IP追蹤技術無法協助我們預防或阻止（攔 截）攻擊者發動網路攻擊，其僅能提供被害電腦受攻擊時，可以去識別這些攻擊封包所在而重建攻擊者封包遞送可能路徑而已。

追蹤攻擊者IP十分困難

隨者網路攻擊案例的增加，許多人都想揪出幕後黑手。各先進國家 對IPTS(IP traceback system)亦已投入相當多的研究，而有關IPTS最近的研究目前也成為網路安全領 域一項很夯的議題，許多學者例如2005年RP. Laufer及P.B. Velloso等人的研究、2007年T. Korkmaz及C. Gong等人 的提議方法或2008年A.O. Castelucio及R.M. Salles等人的報告等等 均提出了IPTS相當不錯的看法，不過這些技術仍有很多待解決的問題，多數提議方法乃屬理論面之論述，實務上並未 完全被實作運用。換句話說，利用IP追蹤技術(IP traceback)或許可嘗試去鑑別 網路的IP封包，但要能追蹤到真正的攻擊者還需要很多努力。

追蹤技術實作需要考量因素有很多，如：記憶體需求、ISP業者的參與程 度、局部部署能力、要完成IP追蹤所需要的攻擊封包數、頻寬消耗成本、處理成本與該策略之保護能力等。

A. Rabkin（2008年）歸納了 最後幾個IP追蹤技術有待解決的干擾問題，包含：攻擊者可以產生各種型式的攻擊封包、攻擊的產生可經由多位攻 擊者協同為之、攻擊者非常瞭解攻擊機制與防禦方法、封包會遺失或重新排序、攻擊者可產生偽造封包、路由器必須是穩固耐用的、路由器的CPU與記憶體有 限、每個網路路由器並非都是相同的等問題。

目前IP網路位置追蹤技術的策略可概分為四種 類別，分別是：末端主機倉儲(end-host storage)、封包紀錄(packet logging)、特定路由(specialized routing)及網路推演狀態(state of the network inference)等四種。

使用末端主機倉儲技術者，有機率式封包標記(PPM, probabilistic packet marking)及iTrace(ICMP traceback)；使用封包記錄者，有赫序式IP追蹤(hash-based IP traceback)；使用特定路由方式者，有IPSec的IP追蹤技術與涵蓋網 路(overlay network)技術；使用網路推演狀態者，有控制流量(controlled flooding)方式。在此不另做詳述(註)。

另外，以目前許多IP追蹤技術來說，絕大多數乃以IPv4的IP網路環境研究為基 礎，而有關IPv6封包追蹤技術的研究則較少探討。不過令人遺憾的是，一些威脅IPv4的網路攻擊技術，在某些方面，一樣可以威嚇IPv6網路的使用，但是可用在IPv4網路的防禦 技術卻不見得可適用在IPv6裡面，正因為追蹤技術的實作不易，這使得許多網路攻擊者得更無顧忌的進行瘋狂的網路掃瞄或攻擊。

4G無線 網路的安全威脅

看過上面簡要的敘述，我們心裡都有底，要定位一位網路攻擊者通 常非一般使用者能力所及。然在未來大量使用網際網路技術之同時，這方面的威脅也逐漸開始引起多數人關心。

以4G無線網路而言，自從3GPP會議(3^rd generation partnership project consortium)建議3G IP網路多媒體子系統環境(IMS, IP multimedia subsystem)將SIP選為多媒體管理協定以來，SIP的重要性顯然有所提升。3GPP之所以選用SIP作為多媒體管理協定的原因之一，乃在於SIP除 了可以輕易的支援多域環境，並符合未來網路環境服務參與者多樣化趨勢。

另外在4G無線網路環境 中，資料的傳送與分享使用的是有線IP網路技術，其同樣涉及多域環境(multidomain environment)的安全問題。例如，在IMS控制架構中，呼叫區段控制功能(CSCF, call session control function)主要利用的是SIP發訊(SIP signaling)功能，此由數種型態的SIP伺 服器組成。不過最常見之SIP主機有三種，分別是質問主機(interrogating-CSCF)── 負責SIP訊號進入點；服務主機(serving-CSCF)── 管理所有的區段控制；與代理主機(proxy-CSCF)──最前線的認證機器，具有控制認證功 能。

當時發展第四代無線網路的考量之一，是為了與現有有線IP網路資源的接口方 便，所以全面採IP-based的設計。但當IMS嘗試簡化網路的核心設計時，其同時也造成網路管理與監控較以往更複雜。這之間主要原因還是因為IMS的設計使然，因為其基礎建設需要對網路流量作即時的安全監控，結果造成IMS網路需要更多安全的考量資訊可供參考，以杜絕可疑活動，例如：分散式阻絕服務攻擊、冒充呼叫者ID(caller ID spoofing), 潛在的SS7網 路侵害(potential SS7 network breaches)…等。

因此，未來如何對外部 無線網域進來的SIP-based區段訊息進行身分確認、整合性檢查與強化認證的程序將是非常重要 的。可惜的是大多數的SIP裝置並無強力的安全機制，欠缺足夠的安全保護，如同手機的SIM卡一樣，只用簡單的安全機制便算交差了事，這在未來或許會成為一個重要的安全問題。

雖然網路安全的問題重 重，一般民眾要抓到網路犯罪者常有某種困難，但也不是沒有明哲保身的方法。一般只需要注意幾項原則，通常就會幫您降低很多網路安全方面的威脅，例如：不利 用不信任的網路傳送機密資料、養成使用編碼訊息的習慣、不瀏覽或下載不明網站或資料、不使用不明軟體、安裝防毒軟體與定期掃瞄、注意更新系統版本…等諸如 此類，相信可以讓安全威脅對生活的不便降到最低才是。

註：這些技術的探討可參考A. Belenky及N. Ansari於2003年所發表的IP traceback研究報告或2007年X.H. Dang, E. Albright等人發表之Performance analysis of probabilistic packet marking in IPv6資料。

本文作者為自由作家， 數位多媒體暨網路安全顧問

本文出自於資安人雜誌70 期 Jul/Aug 2010

PDF Template

PDFTemplate.bt

This is a 010 Editor template for the PDF file format.

It’s particularly useful for malformed PDF files, like this example with PDFUnknown structures:



Download:
PDFTemplate.zip (https)
MD5: C124200C3317ACA9C17C2AE2579FCFEB
SHA256: 24C4FEAD2CABAD82EC336DDCFD404915E164D7B48FBA7BA1295E12BBAF8EB15D




轉自 Didier Stevens

富士通發表新偵測技術 防機密文件外流

檔案在送印或電郵前先轉換成EMF格式，系統就會對檔案中的文字與圖像進行分類，接著分析文字是否內含預先設定的機密語彙；富士通研指出，這種辨識方式比起將紙本文件掃描成圖檔，再透過OCR文字辨識軟體進行分析的檢測精準度更高。

富士通研究所宣布，已研發出業界唯一同時能偵測三種標記機密文件內容的技術，文字、浮水印與印章圖樣都能在檔案送印或電郵寄出前加以檢測，以防止機密資訊外洩。

這項技術支援目前最為普及的EMF印刷檔案格式，檔案在送印或電郵前先轉換成此種格式，系統就會對檔案中的文字與圖像進行分類，接著分析文字是否內含預先設定的機密語彙，圖像則經過重新描繪外框後執行文字辨識，藉此來分辨檔案是否為機密文件。

富士通研指出，這種辨識方式比起將紙本文件掃描成圖檔，再透過OCR文字辨識軟體進行分析的檢測精準度更高。

此技術預定2011年進入實用化階段。由於現階段在電郵寄出30頁左右的檔案時仍需要數十秒的檢測時間，精準度已達水準，但速度上仍有進步空間，因此未來研發課題將放在如何提升檢測速度上。


轉自ITHOME

惡意文件分析工具

1、Offvis

Offvis - 顯示微軟office文件的原始內容和結構, 並能鑑別一些常見的exploit。

微軟MSRC小組開發的可視化掃描工具，結合OLESS格式和office文檔格式做了詳細分析，

可以清楚地看清Office文檔的結構，並能識別一些常見的漏洞文檔。

覺得文件格式解析這部分功能比較有用。

下載 http://go.microsoft.com/fwlink/?LinkId=158791

參考文檔. OffVis 1.0 Beta: Office Visualization Tool article

2. OfficeCat

OfficeCat 根據一些已知的漏洞在微軟office文件中掃描嵌入的利用程序(exploit)。

能識別的漏洞編號較多。

3.OfficeMalScanner

OfficeMalScanner - 可以定位微軟office(DOC, XLS, and PPT) 文件中的shellcode和VBA

下載地址：http://www.reconstructer.org/code/OfficeMalScanner.zip

實際試用的結果發現並不好，大部分東西掃不出來。 

另外還有幾篇可以參考的文檔：

Analyzing MSOffice Malware with OfficeMalScanner (follow-up presentation)

Methods for Understanding and Analyzing Targeted Attacks with Office Documents (video)

4、Pdf tools

Pdf tools Didier Steven 發布的幾個工具python的集合。

pdf-parser用於對pdf做簡單分析用於對pdf做簡單分析。

make-Pdf可以用來構造出一個簡單的Pdf文件，特別是對於action script類型造成的溢出，可以用這個小工具構造。

pdfid 鑑別PDF文件的關鍵元素


5、PDF Dissector
著名的zynamics公司發布的工具。
  PDF Dissector是一款用於惡意PDF格式文件的分析工具。PDF Dissector 可以幫助理解惡意PDF文件的結構，報告PDF文件中包含的已知漏洞，利用重構 功能的使用，了解JavaScript代碼混淆，使用內置 的JavaScript解釋器來調試惡意JavaScript代碼，使用和擴展內置的Adobe Reader模擬器模擬惡意PDF文件的執行環境，在IDA的協助下從PDF文件中提取shellcode。 另外，PDF Dissector支持用腳本插件擴展，可開發符 合自身需求的插件。

可惜的是該工具不讓試用。

6、 opaf
Open PDF Analysis Framework可以解析、解壓縮、反混淆一個複雜的PDF文件為一 個清晰的XML文件。 另外，opaf使用了python語言的PLY解析模塊。
工具更多信息及下載地址：https://feliam.wordpress.com/2010/08/23/opaf/


轉自http://hi.baidu.com/lisl03/blog/item/3f803819f5b69f4b42a9ad32.html

數據重現 - 文件系統原理精解與數據恢復最佳實踐

內容簡介
本書是第一本全面介紹Windows及非Windows文件系統的數據恢復技術書籍，不僅涵蓋面廣，內容也達到了足夠深度。

本書不僅對常見的DOS分區體系及Windows的FAT文件系統系列、NTFS文件系統進行了詳細介紹，更涵蓋了蘋果機分區、BSD分區、SPRC平台 的Sun Solaris分區、GPT分區等分區方式，以及Linux的Ext2/Ext3、Unix的UFS1/UFS2、MAC的HFS+等文件系統佈局及詳細 數據結構的講解，多數資料的詳細程度是目前絕無僅有的。 同時對常見RAID類型及包括HP內外雙循環、RAID1E、RAID6及RAID DP在內的異種或新型RAID類型進行了詳細分析和介紹。

另外，本書不僅注重內容的深度及含金量，還兼顧了初學者剛接觸數據恢復實際工作時無從下手的感覺，從數據恢復前的準備到實際恢復工作的進行，從理論分析到數據恢復軟件的使用，一步步帶領讀者踏入數據恢復的殿堂。
本書適合文件系統研究人員、數據恢復從業人員，數據恢復教學人員，數據恢復編程人員，電子取證工作者，數據安全研究人員，系統管理員及一切數據安全存儲與災難恢復愛好者。

http://u.115.com/file/f7332c1d0f



這本有繁體中文版，實作的部分也需要DVD光碟練習，建議還是買書來看吧!!


來源：http://bbs.intohard.com/index.php

Registry: MUICache

Artifact Name
MUICache


Artifact/Program Version
Windows


Description
According to Nirsoft.net, “each time that you start using a new application, Windows operating system automatically extract the application name from the version resource of the exe file, and stores it for using it later, in Registry key known as the ‘MuiCache’.”
This key is similar to the UserAssist key in that it shows you programs that have been run on the system. This key is useful when looking for evidence of malware, virtualization, or “evidence cleaning” programs.
Please see the additional description from “Windows Forensic Analysis” in the first Research Link.


Registry Keys
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache


Research Links
- Google Book Preview – Windows Forensic Analysis
- http://windowsir.blogspot.com/2005/12/mystery-of-muicachesolved.html


Forensic Programs of Use
- http://www.nirsoft.net/utils/muicache_view.html
- http://regripper.net






轉自 http://forensicartifacts.com/2010/08/registry-muicache/

Skype Forensic

Description
Skype is a desktop application that enables voice and video calls, instant messaging, file transfers, and screen sharing between users.


Registry Keys
HKEY_CURRENT_USER\Software\Skype


File Locations
C:\Documents and Settings\[Profile Name]\Application Data\Skype\[Skype User]
C:\Documents and Settings\[Profile Name]\AppData\Roaming\Skype\[Skype User]


Research Links
https://docs.google.com/viewer?url=http://www.lpcforensic.it/public_html/yabbfiles/Attachments/SkypeLogFileAnalysis.pdf
http://nickfurneaux.blogspot.com/2010/03/skype-chat-carver-from-ram-skypeex.html
Subpoena Contact – http://search.org/programs/hightech/isp/default.asp#207


Forensic Programs of Use
Skype Log View - http://www.nirsoft.net/utils/skype_log_view.html
Skype Parser - http://redwolfcomputerforensics.com/index.php?option=com_content&task=view&id=42&Itemid=55
Skype Analyzer – http://belkasoft.com/bsa/en/Skype_Analyzer.asp
SkypeAlyzer – http://www.sandersonforensics.com/content.asp?page=440