forensics

Вопрос или проблема Недавно я сломал свою систему, изменив файл конфигурации так, что пользователь root больше не мог войти в систему из-за сбоя PAM. Я не хотел выключать систему и вместо этого хотел перевести её в спящий режим, изменить файл конфигурации

Вопрос или проблема ОС – Ubuntu 17.10, и я пытался восстановить (удалить) с помощью extundelete. (Файловая система – ext4.) Это не сработало. Поэтому я попробовал extundelete /dev/mapper/ubuntu--vg-root --restore-file /home/chan/origol/routes/user.

Вопрос или проблема Прочитав эту статью, одна строка привлекла мое внимание: AFP провела обыск в доме семьи мальчика в прошлом году и обнаружила два ноутбука Apple с серийными номерами, совпадающими с номерами устройств, использовавшихся в хакерской атаке.

Вопрос или проблема Учитывая метаданные, такие как даты создания и изменения файлов в контексте компьютерной судебной экспертизы. Если предполагается подделка информации о дате этих метаданных, можно ли использовать закон Бенфорда для доказательства или

Вопрос или проблема У меня есть вопрос о IP-адресе отправителя, который записан в заголовках электронного письма. Если мы знаем, что этот IP-адрес неверный и недействительный (это означает, что электронное письмо было отправлено с использованием VPN)

Вопрос или проблема Есть база данных под названием herrevad, которую можно найти по адресу /data/data/com.google.android.gms/databases. Эта база данных содержит записи с временными метками о (некоторой) активности приложений на телефоне.

Вопрос или проблема Я изучал волатильность, и в этой комнате на tryhackme использовали psxview для нахождения скрытых процессов. Задание заключалось в следующем: Довольно часто вредоносное ПО пытается скрыть себя и связанный с ним процесс.

Вопрос или проблема Adobe Photoshop создает временные файлы *.psb для аварийного восстановления по этому пути: ~/Library/Application Support/Adobe/Adobe Photoshop CS6/AutoRecover Созданные файлы имеют названия, такие как _Untitled-10FDB62ECBABBFF5C8EAD958EBC9CFAE2E.

Вопрос или проблема Похоже, что опции Volatility изменились. Как я могу извлечь память процесса с помощью Volatility 3? “Старый способ”, похоже, не работает: При желании можно использовать плагин для выгрузки содержимого памяти процесса.