MikannseのSekai

Introduction介绍我们在 上一个房间 中学习了 Windows 取证，并练习了从 Windows 注册表中提取取证工件。我们学习了如何从 Windows 注册表中收集系统信息、用户信息、访问的文件和文件夹、运行的程序以及连接到系统的外部设备。 但是，注册表并不是取证工件存在的唯一地方。在这个房间里，我们将了解其他地方的取证工件。我们将了解 Windows 常用的不同文件系统，以及在查找工件时在这些文件系统中查找的位置。我们将确定位置和工件以证明执行、文件/文件夹使用或知识以及外部设备使用的证据。我们还将介绍恢复已删除文件的基础知识。对于这个房间的大部分内容，我们将使用 Eric Zimmerman 的工具 来解析工件中存在的信息。我们已经在上一个房间里使用了 Registry Explorer 和 ShellBags Explorer。对于某些任务，我们将使用 Autopsy。 The FAT file systems计算机系统中的存储设备（例如硬盘驱动器或 USB 设备）只是一组位。要将这些位转换为有意义的信息，需要对它们进行组织。为此，计算机科学家和工程师创建了不同的文件 ...

Introduction to Windows ForensicsWindows 计算机取证简介： 计算机取证是网络安全的一个重要领域，涉及收集计算机上执行的活动的证据。它是更广泛的数字取证领域的一部分，涉及所有类型数字设备的取证分析，包括恢复、检查和分析数字设备中的数据。数字和计算机取证的应用范围很广，从法律领域（用于支持或反驳民事或刑事案件中的假设）到私人领域（用于帮助公司内部调查以及事件和入侵分析）。 数字取证解决刑事案件的一个完美例子是 BTK 连环杀手 案。当凶手开始通过寄信来嘲弄警方时，这个案件已经搁置了十多年。当他向当地一家新闻台寄出一张软盘时，案件发生了重大转折，后来被警方作为证据带走。警方成功恢复了驱动器上已删除的 Word 文档，并使用元数据和其他一些证据锁定并逮捕了他。 Microsoft Windows 是目前使用最广泛的桌面操作系统。私人用户和企业更喜欢它，它目前占据了大约 80% 的桌面市场份额。这意味着，对于对数字取证感兴趣的人来说，了解如何在 Microsoft Windows 上执行取证分析非常重要。在本模块中，我们将了解从 Windows 注册表收集 ...

Introduction在这个房间里，我们将介绍使用 Wireshark 进行流量分析和检测可疑活动的技术和要点。请注意，这是 Wireshark 三室中的第三个也是最后一个房间，建议在开始这个房间之前先访问下面列出的前两个房间，练习和复习您的 Wireshark 技能。 Wireshark：基础知识 Wireshark：数据包操作 在前两个房间里，我们介绍了如何使用 Wireshark 并进行数据包级搜索。现在，是时候调查和关联数据包级信息以查看网络流量中的大局，例如检测异常和恶意活动。对于安全分析师来说，通过应用分析师的知识和工具功能来阻止和理解数据包中传播的信息至关重要。这个房间将通过综合分析师知识和 Wireshark 功能来调查数据包级别的详细信息，以检测特定情况下的异常和奇怪情况。 Nmap ScansNmap Scans Nmap 是一种行业标准工具，用于映射网络、识别活动主机和发现服务。由于它是最常用的网络扫描工具之一，安全分析师应该识别用它创建的网络模式。本节将介绍如何识别最常见的 Nmap 扫描类型。 TCP 连接扫描 SYN 扫描 UDP 扫描 了解 Nm ...

Introduction在这个房间里，我们将介绍使用 Wireshark 进行数据包分析的基础知识，并在数据包级别调查感兴趣的事件。请注意，这是 Wireshark 房间三重奏中的第二个房间，建议在开始这个房间之前先访问第一个房间 (Wireshark：基础知识) 来练习和刷新您的 Wireshark 技能。 在第一个房间里，我们介绍了 Wireshark 的基础知识，重点介绍了它的运行方式以及如何使用它来调查流量捕获。在这个房间里，我们将介绍 Wireshark 的高级功能，重点介绍数据包级别的详细信息，包括 Wireshark 统计信息、过滤器、运算符和函数。 Statistics | Summary统计信息 此菜单提供多个可供调查的统计信息选项，帮助用户了解流量范围、可用协议、端点和对话以及某些特定于协议的详细信息（如 DHCP、DNS 和 HTTP/2）的总体情况。对于安全分析师来说，了解如何利用静态信息至关重要。本节简要介绍了已处理的 pcap，这将有助于分析师为调查创建假设。您可以使用“统计信息”菜单查看所有可用选项。现在启动给定的 VM，打开 Wireshark，加载“E ...

IntroductionWireshark 是一款开源、跨平台的网络数据包分析工具，能够嗅探和调查实时流量并检查数据包捕获 (PCAP)。它通常被用作最好的数据包分析工具之一。在本课程中，我们将了解 Wireshark 的基础知识并使用它来执行基本的数据包分析。 Tool OverviewUse Cases Wireshark 是目前最强大的流量分析工具之一。它有多种用途： 检测和排除网络问题，例如网络负载故障点和拥塞。 检测安全异常，例如恶意主机、异常端口使用和可疑流量。 调查和了解协议详细信息，例如响应代码和有效负载数据。 注意：Wireshark 不是入侵检测系统 (IDS)。它只允许分析师发现和深入调查数据包。它也不会修改数据包；它会读取数据包。因此，检测任何异常或网络问题高度依赖于分析师的知识和调查技能。 GUI 和数据 Wireshark GUI 打开时会显示一个一体化页面，可帮助用户以多种方式调查流量。乍一看，有五个部分非常突出。 工具栏 主工具栏包含多个菜单和快捷方式，用于数据包嗅探和处理，包括过滤、排序、汇总、导出和合并。 显示过滤栏 主要查询和过滤 ...

IntroductionWireshark 是一种用于创建和分析 PCAP（网络数据包捕获文件）的工具，通常被用作最佳数据包分析工具之一。在本课程中，我们将介绍安装 Wireshark 的基础知识以及使用它进行基本数据包分析，并深入了解每种常见的网络协议。 InstallationWireshark 的安装非常简单，通常附带一个打包的 GUI 向导。幸运的是，如果您使用的是 Kali Linux（或 TryHackMe AttackBox），那么它已经安装在您的机器上。Wireshark 可以在 Windows、macOS 和 Linux 上运行。要开始在 Windows 或 macOS 设备上安装 Wireshark，您需要先从 Wireshark 网站 获取安装程序。下载安装程序后，只需运行它并按照 GUI 向导操作即可。 如果您使用的是 Linux，则可以使用 apt install wireshark 或类似的包管理器安装 Wireshark。 注意：Wireshark 可能附带其他软件包和工具；您可以决定是否要与 Wireshark 一起安装它们。 有关 Wireshar ...

System Configuration系统配置实用程序 (MSConfig) 用于高级故障排除，其主要目的是帮助诊断启动问题。 有关系统配置实用程序的更多信息，请参阅以下文档 此处 。 有几种方法可以启动系统配置。一种方法是从“开始”菜单启动。 注意：您需要本地管理员权限才能打开此实用程序。 该实用程序顶部有五个选项卡。以下是每个选项卡的名称。我们将在此任务中简要介绍每个选项卡。 General Boot Services Startup Tools 在 General 选项卡中，我们可以选择 Windows 在启动时要加载哪些设备和服务。选项包括：Normal、Diagnostic 或 Selective。 在 Boot 选项卡中，我们可以为操作系统定义各种启动选项。 服务 选项卡列出了系统配置的所有服务，无论其状态如何（正在运行或已停止）。服务是一种在后台运行的特殊类型的应用程序。 在 启动 选项卡中，您不会在附加的 VM 中看到任何有趣的内容。下面是我本地计算机上 MSConfig 的启动选项卡的屏幕截图。 如您所见，Microsoft 建议使用 任务管理器 (t ...

System Configuration系统配置实用程序 (MSConfig) 用于高级故障排除，其主要目的是帮助诊断启动问题。 有关系统配置实用程序的更多信息，请参阅以下文档 此处 。 有几种方法可以启动系统配置。一种方法是从“开始”菜单启动。 注意：您需要本地管理员权限才能打开此实用程序。 该实用程序顶部有五个选项卡。以下是每个选项卡的名称。我们将在此任务中简要介绍每个选项卡。 General Boot Services Startup Tools 在 General 选项卡中，我们可以选择 Windows 在启动时要加载哪些设备和服务。选项包括：Normal、Diagnostic 或 Selective。 在 Boot 选项卡中，我们可以为操作系统定义各种启动选项。 服务 选项卡列出了系统配置的所有服务，无论其状态如何（正在运行或已停止）。服务是一种在后台运行的特殊类型的应用程序。 在 启动 选项卡中，您不会在附加的 VM 中看到任何有趣的内容。下面是我本地计算机上 MSConfig 的启动选项卡的屏幕截图。 如您所见，Microsoft 建议使用 任务管理器 (t ...

IntroductionAutopsy 是什么？ Autopsy 是一个开源且功能强大的数字取证平台。Autopsy 中的多项功能由国土安全部科技资助开发。您可以在此处阅读更多相关信息。 官方描述：“Autopsy 是首屈一指的开源取证平台，它速度快、易于使用，能够分析所有类型的移动设备和数字媒体。其插件架构支持从社区开发或定制模块进行扩展。Autopsy 不断发展，以满足执法、国家安全、诉讼支持和公司调查领域数十万专业人士的需求。” Workflow Overview and Case AnalysisWorkflow Overview 在深入研究 Autopsy 并分析数据之前，需要执行几个步骤；例如识别数据源以及对数据源执行哪些 Autopsy 操作。 基本工作流程： 为要调查的数据源创建/打开案例 选择要分析的数据源 配置摄取模块以从数据源中提取特定工件 查看摄取模块提取的工件 创建报告 案例分析 | 创建新案例 要准备新的案例调查，您需要从数据源创建案例文件。启动 Autopsy 时，将有三个选项。您可以使用“新案例”选项创建新的案例文件。单击“新案例”选项后，将打开案例 ...

Introduction to WindowsWindows 操作系统 (OS) 是一个复杂的产品，包含许多系统文件、实用程序、设置、功能等。 本模块将尝试提供 Windows 操作系统的一小部分组成、导航用户界面、对系统进行更改等的一般概述。内容面向那些希望更轻松地理解和使用 Windows 操作系统的人。 Windows EditionsWindows 操作系统的历史可以追溯到 1985 年，目前，它是家庭使用和企业网络中的主导操作系统。正因为如此，Windows 一直都是黑客和恶意软件编写者的目标。 Windows XP 是 Windows 的一个流行版本，运行时间很长。微软宣布推出 Windows Vista，这是对 Windows 操作系统的一次彻底改造。Windows Vista 存在许多问题。它没有受到 Windows 用户的欢迎，很快就被淘汰了。 当微软宣布 Windows XP 的终止日期时，许多客户感到恐慌。公司、医院等争先恐后地在许多其他硬件和设备上测试下一个可行的 Windows 版本，即 Windows 7。供应商必须争分夺秒地确保他们的产品能够与 Windo ...

Level1您可以使用命令“start”来启动程序，并在“main”上设置断点。您可以使用命令“starti”来启动程序，并在“_start”上设置断点。您可以使用命令“run”来启动程序，而无需设置断点。您可以使用命令“attach ”附加到其他已在运行的程序。您可以使用命令“core ”来分析已运行程序的核心转储。 启动或运行程序时，您可以以几乎与在 shell 上完全相同的方式指定参数。例如，您可以使用 start <ARGV1> <ARGV2> <ARGVN> < <STDIN_PATH>。 使用命令 continue，或简称 c，以继续执行程序。 “Start”之后”C”继续执行得到flag Level2您可以使用“info registers”查看所有寄存器的值。或者，您也可以使用“print”命令（简称为“p”）打印特定寄存器的值。例如，“p $rdi”将以十进制打印 $rdi 的值。您还可以使用“p/x $rdi”以十六进制打印其值。 为了解决这一关，您必须找出寄存器 r12 的当前十六进制随机值。 (gdb) p/ ...

端口扫描┌──(mikannse㉿kali)-[~/vulnhub/beelzhub]└─$ sudo nmap --min-rate=10000 -p- 192.168.56.105Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-13 20:21 HKTNmap scan report for 192.168.56.105Host is up (0.00061s latency).Not shown: 65533 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open httpMAC Address: 08:00:27:8C:C2:E1 (Oracle VirtualBox virtual NIC)Nmap done: 1 IP address (1 host up) scanned in 2.63 seconds ┌──(mikannse㉿kali)-[~/vulnhub/beelzhub]└─$ sudo nmap -sT -sC ...