問題タブ [computer-forensics]

SQLite データベース .db ファイルを ascii テキスト エディタで開くと、レコードが存在することが示されます。しかし、sqlite ブラウザまたはクライアント ドライバを使用して開くと、レコードが 0 です。テーブル定義はまだあります。pragma integrity_check を実行すると、結果は問題ありません。

注: そのテーブルはメイン データベースの下に作成されます。

このような問題に直面したことがありますか?

昨日はコードが正常に動作していましたが、今日は Oracle データベースで SQL クエリが失敗したためにコードが失敗することがわかりました。クエリで使用されるテーブルが存在しないため、クエリは失敗します。私はオラクルの専門家ではないので、オラクルの専門家に連絡しています。ログ ファイルまたはログ テーブルで、テーブルがいつ消えて、誰がテーブルを削除したかを確認する方法はありますか?

ありがとう

TSK API を調べると、ファイル システムのブロック/セクターあたりのサイズを返す関数を見つけました。pytsk3 を使用して Python で試してみます。

ただし、出力は「セグメンテーション違反」です。次に何をすべきかわかりません。pytsk3 のGitHub wikiでは、この例ではpytsk3.FS_Info()ファイル システムを開くために使用されていますが、このクラスにはブロック サイズを返す関数がないようです。

私はPython Webクローラーを作成しています。これは、Web履歴を閲覧し、情報を解析し、法医学/学術目的のためにデータベース内に重要な情報を保存する機能を備えています. Web サイトを閲覧する機能は理解していますが、苦労している部分は、Web 履歴をクロールできることです。シナリオを示します。

フォレンジック調査中。

容疑者のコンピューターの完全なフォレンジック イメージが提供された後、フォーム情報、資格情報、Web 履歴など、容疑者に関するすべての情報が保存されている Google Chrome の AppData フォルダーを見つけます。

容疑者の Web 履歴のデータのみを検索するように Web クローラーを設定するにはどうすればよいですか。

また、Google Chrome ユーザー データ内に保存されている情報にアクセスして、ここに保存されている個人情報を表示しようとすると問題が発生します。現在、DB ブラウザーを使用してファイルを表示し、自分の Web 履歴を表示しようとしていますが、私はこれであまり運がありません。助言がありますか

私のこのプロジェクトに興味がある人は、このスレッドを更新しながら Web クローラーの進行状況を確認できます名前、住所、生年月日をデータベースに登録して、後で人名辞書として使用できます。

これはすべて管理された環境での学術目的のためであり、テスト/偽のアカウントで使用されるため、もう一度強調します

デバイスから画像を取得するために adb pull を使用しました。下の写真のように表示されます。（でも全く問題ありませんでした。割合がおかしいだけです。）

adb pull -p DeviceImage なぜこれが起こったのか誰にも分かりますか??

SANS SIFT ワークステーションを使用して、USB ドライブまたは SD カードを法医学的に適切に取得する方法はありますか? つまり、書き込みブロッカーが組み込まれていますか?

ファイルスラックスから読み書きするフォレンジックツールを構築しています。現時点では、JNI を使用して C 関数read()およびwrite()を呼び出し、バッファを FAT SD カードに書き込みます (EXT4 内部メモリもいいでしょう)。長さを読み取り/書き込みに渡すことができ、EOFを無視できるため、これらを使用します。私はすでに標準書き込みを使用して書き込みを試みてから切り捨てましたこれは、ubuntu 14.04 では動作しますが、Android (API 21) では動作しません。実際のファイル サイズよりも多くのファイルを読み取っても、SD カードのフライ スラックは反映されません。ファイル slack へのアクセスを管理する "bmap" や "slacker.exe" (NTFS 用) などのツールがあります。EOF を無視するか、自分で処理する方法が必要です。既存のファイル システム ドライバーを変更したくありません。提案をいただければ幸いです。

ここにいくつかのサンプルコードがあります (まだ動作しません):

「Cyber​​ Forensics Challenges」の私の論文のために、任意の PCAP ファイルを取り、IP ルックアップを検索する API と組み合わせて、可能な限り多くの情報を含む HTML 分析ファイルをレンダリングできるアプリケーションを作成したいと考えています。私は Python や C++ の知識がほとんどないので、libpcap の Java ライブラリである jNetPcap から始めることにしました。このライブラリの制限と、1 週間以内にソフトウェアを作成するためのアドバイスを知りたいです。実際、私は TCP ストリームを再構築しようとしてきましたが、惨めに失敗しました。これは、そのようなアプリケーションを作成するのに最適な言語ですか? 似たようなプロジェクトを知っている人はいますか？

現在、プログラムにホット パッチを適用しようとしています (リリースされたパッチに従って、プログラム メモリ内のコードとデータを更新します)。

実行中のプログラムを停止して、パッチを適用できるとします。パッチが一部のデータの初期化または代入値を変更した場合、スタックやヒープなどの変数がどこにあるかをどのように知ることができますか?

例：

パッチ適用前:

パッチ後:

aパッチを適用するとき、スタック内の (またはスタック内にない)の場所をどのように知ることができますか?