https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/index.html0x03取证分析 恶意样本分析 样本分析基础 恶意样本分析-12-使用内存取证检测高级恶意软件 11. 使用内存取证检测高级恶意软件 在前一章中，我们研究了不同的 … 0x06取证辅助工具 EmergencyRocketPackage EmergencyRocketPackage Emergency Rocket Package 应急响应火箭包 … 0x02电子取证 3文件恢复 R-studio network(win) 近期在应急数据恢复场景，客户使用Hyper-V运行业务系统，由于没有设置快照，在误操作下恢复了虚拟机， … 0x00电子取证标准 2.0电子取证标准 第一部分：国内的相关标准规范 原文：微信公众号“cnforensics”，微信公众号“取证杂谈” 国家标准（4） GB/T … 0x01现场勘查 现场勘查 1. 现场勘查 一般包括询问、访问、观察情况记录，用于前期记录已知安全事件发生到发现后过程的细节。需要根据问答根据专业的角度判断哪些可以采纳哪些不可 …Hugozh-CNWed, 01 Feb 2023 12:03:49 +0800https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x03%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90/index.htmlWed, 01 Feb 2023 12:03:49 +0800https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x03%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90/index.html恶意样本分析 样本分析基础 恶意样本分析-12-使用内存取证检测高级恶意软件 11. 使用内存取证检测高级恶意软件 在前一章中，我们研究了不同的Volatility插件，它 … 【译】取证调查：虚拟内存pagefile.sys 【译】取证调查：虚拟内存pagefile.sys 原文 … 页面篡改分析 页面篡改分析-服务器端重定向跳转 在本样本实例中，我们发现篡改的页面出现的情况与以往的都不同，原因在于不同ua服务器返回的信息不同，甚至出现了疑似流量转发的少 … 系统入侵对抗研究 windows计划任务隐藏-检查方式 计划任务隐藏 这里我们参考AnonySec的文章创建隐藏计划任务 … CS X86 payload分析混淆加密 …https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x06%E5%8F%96%E8%AF%81%E8%BE%85%E5%8A%A9%E5%B7%A5%E5%85%B7/index.htmlThu, 24 Mar 2022 12:03:49 +0800https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x06%E5%8F%96%E8%AF%81%E8%BE%85%E5%8A%A9%E5%B7%A5%E5%85%B7/index.htmlEmergencyRocketPackage EmergencyRocketPackage Emergency Rocket Package 应急响应火箭包 项目目标： 收集和汇总应急响应实用的工具包，作为 …https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x02%E7%94%B5%E5%AD%90%E5%8F%96%E8%AF%81/index.htmlWed, 13 Oct 2021 23:00:00 +0800https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x02%E7%94%B5%E5%AD%90%E5%8F%96%E8%AF%81/index.html3文件恢复 R-studio network(win) 近期在应急数据恢复场景，客户使用Hyper-V运行业务系统，由于没有设置快照，在误操作下恢复了虚拟机，导致数据丢失 … 4系统信息收集 应急响应关键证据检索提取 安全策略检测 安全策略的检测更倾向与合规检测，这里我们希望的是根据合规的标准发现尽可能多的非合规问题。 Windows安全策略检查 … 2磁盘挂载 GetData Mount Image Pro 分子实验室 https://molecule-labs.com/ **官网 … … 1磁盘镜像 Clonezilla Clonezilla：https://clonezilla.org/ 多平台的分区和磁盘克隆程序。 Clonezilla是一个分区和磁盘 …https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x00%E7%94%B5%E5%AD%90%E5%8F%96%E8%AF%81%E6%A0%87%E5%87%86/index.htmlMon, 01 Jan 0001 00:00:00 +0000https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x00%E7%94%B5%E5%AD%90%E5%8F%96%E8%AF%81%E6%A0%87%E5%87%86/index.html2.0电子取证标准 第一部分：国内的相关标准规范 原文：微信公众号“cnforensics”，微信公众号“取证杂谈” 国家标准（4） GB/T 29360-2012 《电子物证数据 …https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x01%E7%8E%B0%E5%9C%BA%E5%8B%98%E6%9F%A5/index.htmlMon, 01 Jan 0001 00:00:00 +0000https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x01%E7%8E%B0%E5%9C%BA%E5%8B%98%E6%9F%A5/index.html现场勘查 1. 现场勘查 一般包括询问、访问、观察情况记录，用于前期记录已知安全事件发生到发现后过程的细节。需要根据问答根据专业的角度判断哪些可以采纳哪些不可采纳哪些存在 …