写在前面
- 程序性能优化的几个思路:
- 流水线(单核)
- 多线程(单核)
- SIMD指令集(单核)
- 单核 → 多核
计算机取证技术
计算机关键数据
定义
案件过程中形成的数字化数据,能证明案件事实。
特点
具有高度证明价值。
形式
文档、图片、音视频、日志、交易记录等。
获取
- 日志数据
- 配置数据(网络设置、安全策略、用户权限)
- 分析价值
- 加密数据
- 账密信息
软件
- 数据分析软件
- python
- R语言
- matlab
- 数据挖掘工具
- 网络取证工具
- 日志分析工具
非主流程序的定位技术
- 远程连接类程序
- 核心功能在于数据的远程传输与控制
- 系统自带:windows远程桌面(不能跨平台使用)、ssh客户端
LostMyPassword工具可用于Windows远程桌面解析密码(window11以外)- 注册表:连接过程中产生的日志和注册表信息。current_user/software/microsoft/terminal server client/servers/ + 第三方:teamviewer、向日葵、todesk。(支持跨平台)
- 连接过程中会产生日志信息,其中明文记录账号、IP地址、连接行为摘要和连接时间等。可以作为分析的对象。
todesk取证:取证大师-小程序-ToDesk连接日志解析工具+ 终端模拟软件:xshell、mobaXterm,通过多种协议和服务器通信Xshell取证.xsh文件:保存账号密码,也是解密的凭证星号查看器工具-
- 特定功能类远控软件:Navicat数据库工具
第三方加密容器
TrueCryptVeraCrypt工具,可以加密卷- 如何查询密钥:内存密钥解析工具、社会工程学、
