問題タブ [computer-forensics]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
python - Python 実行スクリプトからの出力の読み取り
現在、ドライブからファイルを抽出するプログラムを作成しています。Python シェルを使用して表示される出力をどのように読み取るかをお聞きしたいと思いますか? 例えば:
print os.path.join(root,file)input thisの出力を別のコマンドに読みたいと思います。これは可能ですか?
windows - ハンドルの所有者はどのドライバーですか?
どのドライバーがハンドルの所有者であるかを判別する方法はありますか? つまり、Windows オブジェクトはどこに保存されているのでしょうか? Volatilty 経由でハンドルを確認できますが、すべてのカーネル ハンドルが System.exe pid:4 に割り当てられています。このシステム ハンドルを使用しているドライバーを正確に知る必要がありますか?
ありがとう
fat32 - fat32 ファイル システムのトラバース
サムドライブを Fat32 でフォーマットし、sampleFile.txt という名前のルート ディレクトリにファイルを置き、その内容は「oblique」です。Disk Investigator でドライブを調べたところ、RootDirSector: セクター 4096 で次のことがわかりました。
ファイルの実際のデータが配置されているセクター クラスターの場所を見つけるにはどうすればよいですか? ここにいくつかの追加情報があります:
java - Android ファイルシステムのビットごとのイメージの取得
Androidファイルシステムの完全なコピーを取得することは可能ですか. SD カードは取り外し可能であり、従来の手法を使用できるため、ここでは SD カードについて話しているわけではないことに注意してください。USB経由でPCに接続する必要があるAndroidファイルシステム自体について話しています。
GoogleがOS OOBの完全な公開を許可していると確信していないため、デバイスをルート化する必要があると思います。
デバイス上で実行するアプリケーションを開発し、データを収集してから、さらにデスクトップ アプリケーションを作成してすべての情報を取得する必要がありますか? それとも、DD と同等のことをプログラムで行うだけでよいでしょうか?
どの言語でも POC として機能しますが、最終製品はおそらく JAVA で作成されます。
linux - フォレンジック分析 - プロセス ログ
ホストベースの証拠に対してフォレンジック分析を実行しています - サーバーのハードドライブのパーティションを調べています。
システムが停止/再起動する前にすべての「ユーザー」が実行したプロセスを見つけることに興味があります。
これはライブ分析ではないため、実行中のプロセスを確認するために ps または top を使用することはできません。
そのため、ユーザーが実行したプロセスを示す /var/log/messages のようなログがあるかどうか疑問に思っていました。
/var/log/* で多くのログを確認しました。ログイン、パッケージの更新、承認に関する情報は得られますが、プロセスに関する情報はありません。
java - 行に一致する文字列の一部が含まれている場合、スキャナーを使用して行全体を表示する (Java)
そのため、特定のファイル署名の 16 進ダンプを分析するプロジェクトに取り組んでいます。私が抱えている問題は、サイズが 16 GB 以上の大きなダンプを分析しようとすると、OutOfMemoryError: Java ヒープ スペース エラーが発生することです。だから私の考えは、私が使用しているアルゴリズムを再設計することです.
現在、私のコードは次のようになります。
そのため、ファイル全体を wholeTextFile ArrayList に追加し、その ArrayList で特定のファイル ヘッダーとトレーラーを検索します。
典型的な 16 進ダンプがどのように見えるかを知らない方のために説明すると、次のようなものです。
JPEG のヘッダーは「ffd8 ffe0」であるため、JPGHeaders ArrayList に追加する唯一の行は次のとおりです。
これが Linux の grep に似ていることはわかっていますが、Windows プラットフォームの Eclipse で行われた Java プロジェクトに対してこれを行っています。最初のスキャン中にファイルの各行を検索し、それらの特定の行を対応する配列リストに追加する簡単な方法はありますか? または、ファイル全体を ArrayList にスキャンしてから、その ArrayList を検索して文字列リテラルを探していますか?
c++ - ESE CPP API を使用して ESE データベース ファイルから文字列値を読み取る方法は?
ESE データベース ファイル、つまり WebCacheV01.dat を解析しています。これは、IE 10 がすべての閲覧履歴とその他の情報の保存を開始したファイルです。このファイルを解析するために JET Blue CPP API を使用しています。
整数型または長整数型の列値を読み取ることはできますが、文字列型の列値を読み取ることはできません。
たとえば、「MSysObjects」テーブルを開いて、「Name」列の値を取得したいとします。
サンプルコードはこちら
JetRetrieveColumn の戻り値は -1507 で、これは JET_errColumnNotFound に他なりません。ESEDatabaseViewer ツールを使用して、MSysObjects テーブルに 25 列が含まれていることを確認しました。つまり、列 18 は無効ではありません。
ESE データベースから文字列値を取得する方法を知っている人がいたら教えてください。
よろしくお願いします。