For some new data type , file and so on
you need to understand how to discover these type of file executable in a forensics methond
two helpful method is shown blow
Winalysis
SysTrace
2017年9月7日 星期四
2017年5月16日 星期二
用JAVA 改寫 時間紀錄之 code
如下 把 這個 改一改即可使用
import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
public class Main {
/**
* @param args
* @throws IOException
*/
public static void main(String[] args) throws IOException {
// TODO Auto-generated method stub
Calendar c=Calendar.getInstance();
long milliseconds=c.getTimeInMillis();
// milliseconds = 13136098205550L -11644473600000L;
long hexValue = 0x01D02EDA7439D600L;
System.out.println("vlaue is " + hexValue);
hexValue /=10000;
milliseconds = hexValue -11644473600000L;
// milliseconds = 13110964489226L -11644473600000L;
// milliseconds = -11644473600000L;
System.out.println("当前时间毫秒值:"+milliseconds);
//当前时间
SimpleDateFormat sdf=new SimpleDateFormat("yyyy-MM-dd kk:mm:ss");
System.out.println("直接格式化毫秒值输出:"+sdf.format(milliseconds));
//2011-08-20 04:27:16
Date d=new Date(milliseconds);
//转换成Date对象
System.out.println("Date对象输出时间:"+sdf.format(d));
Calendar c2=Calendar.getInstance();
System.out.println("Calendar设置前毫秒值:"+c2.getTimeInMillis());
c2.setTime(d);
//通过setTime方法转换回Calendar对象
System.out.println("Calendar设置后毫秒值:"+c2.getTimeInMillis());
}
}
import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
public class Main {
/**
* @param args
* @throws IOException
*/
public static void main(String[] args) throws IOException {
// TODO Auto-generated method stub
Calendar c=Calendar.getInstance();
long milliseconds=c.getTimeInMillis();
// milliseconds = 13136098205550L -11644473600000L;
long hexValue = 0x01D02EDA7439D600L;
System.out.println("vlaue is " + hexValue);
hexValue /=10000;
milliseconds = hexValue -11644473600000L;
// milliseconds = 13110964489226L -11644473600000L;
// milliseconds = -11644473600000L;
System.out.println("当前时间毫秒值:"+milliseconds);
//当前时间
SimpleDateFormat sdf=new SimpleDateFormat("yyyy-MM-dd kk:mm:ss");
System.out.println("直接格式化毫秒值输出:"+sdf.format(milliseconds));
//2011-08-20 04:27:16
Date d=new Date(milliseconds);
//转换成Date对象
System.out.println("Date对象输出时间:"+sdf.format(d));
Calendar c2=Calendar.getInstance();
System.out.println("Calendar设置前毫秒值:"+c2.getTimeInMillis());
c2.setTime(d);
//通过setTime方法转换回Calendar对象
System.out.println("Calendar设置后毫秒值:"+c2.getTimeInMillis());
}
}
2017年4月12日 星期三
win * 破密
如真的忘掉本機帳戶的密碼,除了重新安裝外,真的沒有另類的技巧嗎?答案是有的,就是利用net user指令來清空密碼並重設,不過如果你有在遺忘密碼的帳號下加密過的文件將會遺失,想要救回這些加密文件,說來話長,並非三言兩語能解釋清楚的。
雖然不需要重新安裝,但也需要一些技巧,就是要使用net指令必須進入「命令提示字元」視窗,問題沒辦法進入系統內,又要如何進入「命令提示字元」視窗呢?所以要借助原始Windows 10的光碟或USB碟的原片,原片哪裡找,請參考直接利用媒體工具升級或製作ISO格式文章。
想要清除密碼與重設並非滑鼠點一點就可完成,但只要依照步驟,還是可以輕易的進入破解密碼。所以要破解密碼之前先準備原始Windows 10光碟或USB開機碟,並進入BIOS內將開機順序設定以光碟機或USB碟開機,經過一陣子的讀寫動作後來下圖畫面,請不用緊張,挨踢路人甲不是要教你重新安裝,只是利用安裝的過程中來進入「命令提示字元」視窗,所以先依畫面上的要求按下〔下一步〕。
當出現如下畫面請勿直接點選【立即安裝】,此時按下〔SHIFT〕+〔F10〕會進入命令模式視窗。
過去Windows系統是使用「Fdisk」指令來處理磁碟管理,目前都是以Diskpart來取代Fdisk,Diskpart功能強大,最重要的是支持腳本運行,所以在命令列模式上輸入「diskpart」指令並按下〔Enter〕,此時會進入diskpart的命令程式模式。
執行「list vol」按下〔Enter〕來查看目前的磁碟機的分布狀況,因挨踢路人甲為了方便抓圖,所以使用了Vmware Workstation模擬測試,因此每個人的設備會因裝置的多寡有所不同。總之此動作就是讓你了解目前設備上的磁碟裝置配置的情況,由下圖可以得知Windows系統是安裝在「磁碟機 2」的E槽。
當系統開機到密碼登入的畫面時,其實系統都已經完全載入,只差在認證的機制動作而已,所以必須在登入畫面上找到可以利用滑鼠點擊的程式,然後利用此程式偽裝成cmd.exe,這樣即可在登入畫面上輕鬆進入「命令提示字元」(cmd.exe)。於是找到了「螢幕小鍵盤」(osk.exe),只要將「螢幕小鍵盤」修改成「命令提示字元」,即可方便進入重設密碼。所以請輸入以下一連串的指令,最後一個shutdown是重新開機,請在重新開機之前退出Windows 10光碟或USB開機碟,不然又會進入Windows 10系統安裝的程序。
e:
cd windows\system32
copy cmd.exe cmd.exe.ori
copy osk.exe osk.exe.ori
del osk.exe
ren cmd.exe osk.exe
shutdown –r –t 00
當重新開機後進入到Windows 10登入密碼的畫面上,請點選左下角的「輕鬆讀取」小圖示,此時彈出快顯功能表,有沒有看到「螢幕小鍵盤」選項,點選進入就是執行已經偽裝過的「螢幕小鍵盤」,其實就是執行「命令提示字元」程式啦!
進入了「命令提示字元」視窗,請先執行「net user」查看目前的帳號有哪些,Administrator與Guest兩個帳號是系統安裝時自動會建立,另外一個就是安裝系統時要求建立的,確定這個帳號名稱就是你遺忘密碼的帳號後,例如筆者的帳號是「itwalker」,所以輸入「net user itwalker *」並按下〔Enter〕,此時會要求輸入兩次密碼來重設,看到成功完成的訊息後輸入「exit」來離開。
略
請參考 這篇
http://walker-a.com/archives/3030
雖然不需要重新安裝,但也需要一些技巧,就是要使用net指令必須進入「命令提示字元」視窗,問題沒辦法進入系統內,又要如何進入「命令提示字元」視窗呢?所以要借助原始Windows 10的光碟或USB碟的原片,原片哪裡找,請參考直接利用媒體工具升級或製作ISO格式文章。
想要清除密碼與重設並非滑鼠點一點就可完成,但只要依照步驟,還是可以輕易的進入破解密碼。所以要破解密碼之前先準備原始Windows 10光碟或USB開機碟,並進入BIOS內將開機順序設定以光碟機或USB碟開機,經過一陣子的讀寫動作後來下圖畫面,請不用緊張,挨踢路人甲不是要教你重新安裝,只是利用安裝的過程中來進入「命令提示字元」視窗,所以先依畫面上的要求按下〔下一步〕。
當出現如下畫面請勿直接點選【立即安裝】,此時按下〔SHIFT〕+〔F10〕會進入命令模式視窗。
過去Windows系統是使用「Fdisk」指令來處理磁碟管理,目前都是以Diskpart來取代Fdisk,Diskpart功能強大,最重要的是支持腳本運行,所以在命令列模式上輸入「diskpart」指令並按下〔Enter〕,此時會進入diskpart的命令程式模式。
執行「list vol」按下〔Enter〕來查看目前的磁碟機的分布狀況,因挨踢路人甲為了方便抓圖,所以使用了Vmware Workstation模擬測試,因此每個人的設備會因裝置的多寡有所不同。總之此動作就是讓你了解目前設備上的磁碟裝置配置的情況,由下圖可以得知Windows系統是安裝在「磁碟機 2」的E槽。
當系統開機到密碼登入的畫面時,其實系統都已經完全載入,只差在認證的機制動作而已,所以必須在登入畫面上找到可以利用滑鼠點擊的程式,然後利用此程式偽裝成cmd.exe,這樣即可在登入畫面上輕鬆進入「命令提示字元」(cmd.exe)。於是找到了「螢幕小鍵盤」(osk.exe),只要將「螢幕小鍵盤」修改成「命令提示字元」,即可方便進入重設密碼。所以請輸入以下一連串的指令,最後一個shutdown是重新開機,請在重新開機之前退出Windows 10光碟或USB開機碟,不然又會進入Windows 10系統安裝的程序。
e:
cd windows\system32
copy cmd.exe cmd.exe.ori
copy osk.exe osk.exe.ori
del osk.exe
ren cmd.exe osk.exe
shutdown –r –t 00
當重新開機後進入到Windows 10登入密碼的畫面上,請點選左下角的「輕鬆讀取」小圖示,此時彈出快顯功能表,有沒有看到「螢幕小鍵盤」選項,點選進入就是執行已經偽裝過的「螢幕小鍵盤」,其實就是執行「命令提示字元」程式啦!
進入了「命令提示字元」視窗,請先執行「net user」查看目前的帳號有哪些,Administrator與Guest兩個帳號是系統安裝時自動會建立,另外一個就是安裝系統時要求建立的,確定這個帳號名稱就是你遺忘密碼的帳號後,例如筆者的帳號是「itwalker」,所以輸入「net user itwalker *」並按下〔Enter〕,此時會要求輸入兩次密碼來重設,看到成功完成的訊息後輸入「exit」來離開。
略
請參考 這篇
http://walker-a.com/archives/3030
2017年4月6日 星期四
如何查詢 檔案 遭刪除之時間
1.檔案 遭受刪除之後,進入了回收桶,會產生 $I 及 $R 兩個檔案。
At offset 0x10 is the hexadecimal value
D0 DD 76 3C 2B A9 C8 01
Machor explains that this is the time at which the file was deleted (represented as an offset from January 1,
1601, and expressed in 100 nanoseconds).6 Since this is a number in Little Endian format, one converts it to Big Endian and gets this result
01 C8 A9 2B 3C 76 DD D0
Converting this hexadecimal value to a decimal value (again, by using a conversion calculator) we get the number 128,538,592,543,170,000. Machor states that this number is the time the file was deleted, but expressed as the number of 100 nano-seconds from January 1, 1601. To convert this number to a more usable size, one multiplies the number by 100 (to convert it from 100 nano-seconds to nano-seconds) and then divides it by 1,000,000,000 to convert it from nano-seconds to seconds.
To calculate the exact time and date at which the file was deleted, one just needs to add the result of the calculation, 12,853,859,254.3170 seconds, to January 1, 1601. Fortunately, the WinHex tool does this calculation. The resulting date and time is 4/28/2008, 12:27:34 (in 24 hour notation), expressed in Universal Coordinated Time (UTC).
其中 $I 的文件中 的檔案格式 會記載著 檔案遭刪除的時間
詳細如 https://www.csee.umbc.edu/courses/undergraduate/FYS102D/Recycle.Bin.Forensics.for.Windows7.and.Windows.Vista.pdf
At offset 0x10 is the hexadecimal value
D0 DD 76 3C 2B A9 C8 01
Machor explains that this is the time at which the file was deleted (represented as an offset from January 1,
1601, and expressed in 100 nanoseconds).6 Since this is a number in Little Endian format, one converts it to Big Endian and gets this result
01 C8 A9 2B 3C 76 DD D0
Converting this hexadecimal value to a decimal value (again, by using a conversion calculator) we get the number 128,538,592,543,170,000. Machor states that this number is the time the file was deleted, but expressed as the number of 100 nano-seconds from January 1, 1601. To convert this number to a more usable size, one multiplies the number by 100 (to convert it from 100 nano-seconds to nano-seconds) and then divides it by 1,000,000,000 to convert it from nano-seconds to seconds.
To calculate the exact time and date at which the file was deleted, one just needs to add the result of the calculation, 12,853,859,254.3170 seconds, to January 1, 1601. Fortunately, the WinHex tool does this calculation. The resulting date and time is 4/28/2008, 12:27:34 (in 24 hour notation), expressed in Universal Coordinated Time (UTC).
2.萬一 很不幸的事情發生在於如果對方是使用 shift + delete 或是 $I 檔案已經遭到毀損,則需要查看 NTFS 下的 journal 檔案 詳細 如 :
3.如果使用奇怪的軟體刪除,如何查看刪除之方式,及 刪除之方法。
1.如何查看 是否有使用過奇怪的軟體
2.刪除軟體所留下來的足跡要如何查詢
3.軟體刪除後等等相關檔案。
2017年3月30日 星期四
訂閱:
文章 (Atom)