問題タブ [computer-forensics]

以下は、IE9 の localStorage ファイルからのサンプル XML です。

ltime と htime の値を含む、これらの種類のレコードを解釈する方法を理解しようとしています。私は調査から、それが IE9 localStorage と関係があり、%userprofile%\AppData\Local\Microsoft\Internet Explorer\DOMStore\.

どんな助けでも大歓迎です。

これが可能かどうかはわかりませんが、正規表現を使用して16進数の電子メールアドレスを取得することを検討しています。基本的に、これは自動フォレンジックツールのいくつかを構築することですが、適切な正規表現アルゴリズムの作成に問題があります。

メールの正規表現：/^([a-z0-9_.-]+)@([\da-z.-]+).([az.]{2,6})$/

16進値：

これは私が現時点で得ているものです（小文字と.comのみが考慮されます）。しかし、それは機能しません！簡単なことを台無しにしたことがありますか？

[1]メールは小文字しか使用できないことは知っていますが、大文字も考慮する必要があります。

Python 2.x で、物理ドライブ (論理ドライブではなく物理ドライブ) をスキャンして、さまざまなサイズのテキストの特定の文字列 (チャット アーティファクト) を探すスクリプトを作成しようとしています。文字列のヘッダーとフッターを持っているので、ドライブをスキャンするにはどうすればよいのでしょうか? 私の懸念は、それをたとえば 250MB のチャンクに分割し、このデータを RAM に読み取ってからヘッダーとフッターを解析すると、ヘッダーはそこにあるが、フッターは 250MB の次のチャンクにある可能性があるということです。

要するに、たとえば「ABC」で始まり「XYZ」で終わる文字列の PhysicalDevice0 をスキャンし、その中からすべてのコンテンツをコピーしたいと考えています。データを ascii または Hex としてスキャンするかどうかもわかりません。

ドライブが大きくなるにつれて、可能な限り迅速にこれを行うことを目指しています。

助言がありますか？

私は、E01 ビットストリーム イメージを分析するソフトウェアに取り組んでいます。基本的に、これらはユーザーがディスク上のすべてのデータを単一のファイルに圧縮できるようにするフォレンジック データ ファイルです。E01 形式には、ソース データの MD5 ハッシュや結果データなど、元のデータに関するデータが埋め込まれます。私の問題に：

e01 ファイルには、実際のデータ チャンクが配置されている e01 ファイル内の他の場所へのオフセットである一連の 32 ビット数値である「テーブル」セクションが含まれています。このデータを次のようにしてリストに解析することに成功しました。

c_CHUNK_DATA_OFFSET_LENGTH は 4 バイト/「32 ビット」の数値です。

ewf/e01 仕様によると、「チャンク データ オフセットの最上位ビットは、チャンクが圧縮されているか (1) 圧縮されていないか (0) を示します」。これは、オフセットを int に変換すると、結果に大きな負の数が含まれるという事実によって証明されているように見えますが (圧縮されていないチャンクの場合は間違いありません)、他のほとんどのオフセットは正しくインクリメントされているように見えますが、すべてのたまにクレイジーなデータがあります。ChunkLocations のデータは次のようになります。

-2147071848 の場合、圧縮/圧縮の欠如を示すために MSB が反転したように見えます。

質問: MSB が圧縮の存在を示すために使用されている場合、実際には 31 ビット数で扱っていますよね?
1. オフセット値を計算する際に、MSB を無視して 31 ビット数を計算するにはどうすればよいですか?
2.これは奇妙な標準のようです。なぜなら、それはあなたが持つことができるオフセットのサイズを大幅に制限するように思われるからです。e01 ファイル内のこれらの場所に移動すると、これらのオフセットが正しいように見えます。

助けてくれてありがとう！

サーバ側：

• リスト項目:
• ...: x% の一致が見つかり、y% の誤検知 (opencv +10 行のコード)
• ...: x% の一致が見つかり、y% の誤検知(1995 年以降の大規模なカスタム コード)
• 別：

• 最小限の OpenCV C++ コード:

  /li>

ハッシュ リスト:

• ..: (公費で賄われており、現在はアクセスが制限されています...)
• ...: (オープンアクセス)
• ...: , y 百万件のエントリ, y % 昨年の新規(コマーシャル $y / 月)
• ...: , x 百万エントリ, x % 過去数年間の新規(コマーシャル $x / 月)

(サーバーサイド &) クラウドソーシング / クラウド検証済み:

• Google 画像のフィルター: ... (アクセスは制限されていますが、所有している Web サイトの webmastertools でもありません)

クライアント側：

• 別: ... (i5 2540 モバイルでは 50 ミリ秒あたり x メガピクセルをスキャンします)
• Nude.js (パトリック・ウィード): ...

私はこの質問を完全に書き直しました。これは常に閉じられており、具体的ではなく広範であり、代替手段ではなく「リンクを促進する」ように見えましたか?

ここでのタスクは次のとおりです。
「この開発固有の、しかし広く知られていないタスクに対するすべての世界の既存のアプローチの目録を作成する」。(= 上記の表のギャップを埋めるため、およびおそらくサンプル コード/実装)

一部の Windows ソフトウェアは、子供がネットサーフィンをしている親向けに販売されていますが、この想定は、開発の観点から、ウィキペディアの記事 「ヌード検出ソフトウェアの比較」にすぐには表示されません。(alternative.to/... にもありません)

また、これは具体的ですが、広く十分に活用されておらず、実践されていません。したがって、単一の回答/リンクが自己宣伝/スパムのようなものになることはありません。逆に、この質問は平均的な質問よりも少ない傾向があります. それでも、リンクはまったく必要ありません。また、個人的な意見を含む回答はありません。もしあれば、それは何の役にも立ちません.

null バイトではなく、メッセージで上書きしたいハード ドライブがあります。

48 69 64 64 65 6e 20 =「非表示」

これまでの私のコマンドは次のとおりです。

注: count や conv などのさまざまなパラメーターを試してみましたが、役に立ちませんでした

では、これでいいです。私が実行すると：

最初の数バイトが上書きされているのがわかりますが、残りは変更されていません。ドライブに「非表示」を再帰的に書き込みたいです。