X-Ways Forensics 21.0预览版发布
X-Ways Forensics 21.0预览版今天已发布,快来看看更新了哪些内容。
取证杂谈
在前几天发布的20.9 Beta版中,X-Ways添加了一项个人认为比较重要的功能——E01镜像的现代压缩功能。启用此选项后,X-Ways制作的镜像将使用新的压缩算法对原始数据进行压缩,镜像速度更快,得到的镜像文件更小,后续的数据随机读取速度更快。经过测试,启用此选项得到的E01镜像体积确实要小于之前的版本X-Ways制作的镜像。新的镜像格式只有20.9及后续版本的X-Ways才能识别,且EnCase、FTK等其他软件暂时也无法识别。如果制作镜像后续不需要与他人进行交换,X-Ways…
电子数据取证时间问题之filetime时间戳手工解析
filetime时间戳是Windows中使用最广泛的时间格式,回收站中记录的文件删除时间,快捷方式文件中记录的文档打开时间,都是这种格式。
电子数据取证时间问题之时间是怎么存储的?
取证要解决的无非是弄清楚什么人在什么时间在什么地方做了什么事,也就是4W(Who,When,Where,What)问题。
X-Ways Forensics处理Linux软RAID
第八届全国取证赛马上就要开始了,不少人都在摩拳擦掌积极备赛。今天突然有人问我Linux 软RAID的相关问题
分享图片
分享图片
电子数据取证怎么学?以第七届美亚杯资格赛第10题为例
以第七届美亚杯资格赛中某题为例,分享电子数据取证的发散思维。
发现每年的美亚杯出题团队都挺喜欢用X-Ways的[呲牙]今年的检材中,出现了两个xmet文件,说明出题人自己用X-Ways加载镜像验证过[调皮]为了提高E01文件的加载速度,X-Ways会自动在镜像文件所在目录或案例目录(取决于设置)中生成xmet格式的文件保存E01镜像的元数据
发现每年的美亚杯出题团队都挺喜欢用X-Ways的[呲牙]今年的检材中,出现了两个xmet文件,说明出题人自己用X-Ways加载镜像验证过[调皮]为了提高E01文件的加载速度,X-Ways会自动在镜像文件所在目录或案例目录(取决于设置)中生成xmet格式的文件保存E01镜像的元数据
压缩包炸弹
这个例子让我再次意识到取证工作中软件不是万能的,如果条件允许最好使用多种工具进行交叉验证,必要的话,直接手工分析!
Windows11要求硬件必须有TPM2.0,以后Windows很可能也会和Android、iOS、macOS一样全盘加密。对普通用户来说,系统更安全了,对取证工作者来说,却喜忧参半。
取证小知识102
取证小知识102
2021年度司法鉴定能力验证报名即将截止
2021年度司法鉴定能力验证报名即将截止
取证小知识-100
取证小知识-100
取证小知识-99
取证小知识-99
取证小知识-98
取证小知识-98
取证小知识-97 volatility与Windows10
取证小知识-97
volatility与Windows10
取证小知识-96
取证小知识-96
取证小知识-95 知识点:电子数据司法鉴定分类
取证小知识-95
知识点:电子数据司法鉴定分类
取证小知识-94 新书推荐
取证小知识-94
新书推荐
分享电子取证及司法鉴定相关知识
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)