問題タブ [computer-forensics]

OSX for Yosemite のメモリ イメージをダンプしようとしています。ここまでは Macmemoryze ですが、10.10 には対応していません。Volatilityにロードできるイメージファイルにメモリをダンプする方法を知っている人はいますか? 少し調べてみましたが、すぐには何も見つかりませんでした。

ありがとう！

こんにちは、Java を使用して任意のファイルの最初の 4 バイトを読み取る方法が必要です。なぜ最初の 4 バイトなのですか? 実際のファイルタイプの法医学的な拇印なので（ファイル拡張子は改ざんされる可能性があるため信頼できません）

http://en.wikipedia.org/wiki/File_carving

さて、この方法でファイルを読み取ると（以下、Javaコード）、ファイル「コンテンツ」が読み取られますが、ファイルヘッダー情報がスキップされると思います...？マジック ナンバー(最初の 4 バイト) を取得できないため、特定の標本の実際のファイル タイプを識別/確認できません。

ファイルの最初の 4 バイトを読み取る

提案してください？

iText によって編集されている PDF ファイルのメタデータに関連して、どのような変更が見られるでしょうか。

Windows NT のシャットダウン時刻を日付と時刻に変換したい:

入力データは、この 64 ビットの 16 進数値 (8 バイト) です。この値は、Windows レジストリの にありますHKLM\SYSTEM\ControlSet001\Control\Windows --> Shutdown Time。この値には、前回のシャットダウンの日時が含まれます。値のタイプはFILETIME- 1601 年 1 月 1 日の午前 0 時 UTC からの 100 ナノ秒間隔の数を表す 64 ビットの時間値 (16 進値、リトル エンディアン) です。

これはシェル (bash) 経由で可能ですか? シェルスクリプトで実装したいと思います。

私は法医学の学習を行っており、.xsl ファイル全体を含む .str ファイルを取得しています。

.str ファイルからすべての .xsl ファイルを抽出する必要があります。私は次のようなものを使用しました：

問題は、ほとんどすべてのテキストを取得できますが、読み取り可能な形式ではないことです。私は内側から持っているものだけを手に入れていると思います。

<?xml version="1.0"?>からまでのテキストを取得するのを手伝ってもらえます</log>か?

わかりやすくするために編集: xml から /log までのすべてのテキストを取得したい。

.str ファイルは によって作成されstringsます。

これが私が使用している実際のファイルです: https://www.dropbox.com/s/j02elywhkhpbqvg/pc1.str?dl=0

行20893696から まで20919817。

感染している可能性のある Windows PC で侵害の痕跡 (IoC) を探したいと考えています。

分析に必要な情報を記録するバッチ スクリプトを作成しています。次の CMD コマンドが含まれます。

• 他に何を探すべきですか？

• 
  スクリプトは、「Network Artifacts」、「Processes & Services」、「Machine Info」などのディレクトリで区切られたコマンドごとに新しいファイルを作成する方法で記述されます
  。スクリプトを改善するにはどうすればよいですか?

• この段階でレジストリとメモリのダンプを取ることをお勧めしますか?

Windows BSOD (Windows 8.1 64 ビット) によって生成された大きな MEMORY.DMP ファイル内の文字列を検索するにはどうすればよいですか?

32 ビット Windows では、コマンド

動作するようです。

しかし、64 ビット Windows の場合、

MEMORY.DMP の合計サイズが約 400MB しかないにもかかわらず、ほぼ無限の時間がかかりますが、単純なgrep場合は数秒でパターンを見つけることができます。

私の目標は、文字列の仮想アドレスを見つけて、どのスタック/ヒープ/テキスト領域が上書きされるかを判断することです。

MEMORY.DMP のファイル形式の参照または仕様が利用可能であれば、最終的に手動でファイル形式を解釈することに頼ります。ヒントはありますか？