精华内容
下载资源
问答
  • 服务器取证方法

    2021-02-24 09:13:37
    服务器取证步骤: 1.打开屏幕录像 2.通过提供的ip、用户名、密码、端口使用弘连网探连接服务器 3.一键提证 4.下载服务器镜像 5.压缩下载文件并计算哈希值 6.关闭屏幕录像 这边如果是阿里云并且是linux系统,...

    前言:这边使用上海弘连产品-网探和仿真。

    服务器取证步骤:

                 1.打开屏幕录像
                 2.通过提供的ip、用户名、密码、端口使用弘连网探连接服务器
                 3.一键提证
                 4.下载服务器镜像
                 5.压缩下载文件并计算哈希值
                 6.关闭屏幕录像

    这边如果是阿里云并且是linux系统,可以参考我前面写的https://blog.csdn.net/xddtrue/article/details/111470145,通过OSS存储来下载镜像,速度较快。

    服务器分析步骤:


               1.使用弘连火眼仿真软件进行仿真
               2.查看系统相关信息:
                   历史命令:history
                   所有分区:fdisk -l
                   空间使用情况:df -H
                   所有监听端口:netstat -lntp 
                   所有已经建立的连接:netstat -antp 
               3.查看日志
                   /var/log/message 系统启动后的信息和错误日志
             /var/log/secure 与安全相关的日志信息
             /var/log/maillog 与邮件相关的日志信息
             /var/log/cron 与定时任务相关的日志信息
             /var/log/spooler 与UUCP和news设备相关的日志信息
             /var/log/boot.log 守护进程启动和停止相关的日志消息
              4.根据客户要求查找数据库数据和源码数据

     

    展开全文
  • 网站-服务器取证实践与挑战 漏洞分析 web安全 渗透测试 身份与访问管理 应急响应
  • [安全运营]网站-服务器取证实践与挑战 基础架构安全安全威胁 安全体系 web安全 应急响应
  • 阅读提醒:本文共计:1178字,预计阅读时长:6分钟PH功能更新概览介质取证分析软件CS6100▪ 新增Linux Container容器信息解析;...服务器取证随着互联网技术的不断发展,近年来,人工智能、大数据、云计算、物联...

    阅读提醒:

    本文共计:1178字,预计阅读时长:6分钟  

    P

    H

    功能更新概览

    介质取证分析软件CS6100

    ▪ 新增Linux Container容器信息解析;

    新增Linux系统Nginx配置与日志解析;

    ▪ 新增Windows系统phpStudy解析;

    ▪ 新增向日葵连接工具解析;

    ▪ 强化印象笔记、Xshell解析能力;

    服务器取证

    随着互联网技术的不断发展,近年来,人工智能、大数据、云计算、物联网等新型科技信息技术不断涌现,给人们的生产生活带来不小的便利。

    但同时也出现了许多借高新技术,实施违法犯罪行为,影响和谐社会的发展的情况。

    其中,作为网络资源管理维护、数据信息处理的重要节点,服务器取证在涉网类案件中是非常有必要的。

    PH

    CS6100 服务器取证模块

    平航介质取证分析软件CS6100于3.0.4版本首次加入了服务器取证模块(>>>了解详情),并在近两次版本更新中,不断实现更广、更深维度的服务器取证技术突破,成为涉网案件中,计算机和服务器数据取证、检验鉴定的重要工具。

    36bee8cf6771eff9682993e813e902ab.png

    服务器取证模块小结

    ▪ 支持Ubuntu/Centos痕迹信息解析;

    ▪ 支持Linux宝塔解析;

    ▪ 支持Xshell远程连接工具解析;

    (Xshell常用于远程连接服务器)

    (>>>了解详情)

    ▪ 支持Navicat数据库与服务器连接工具解析;

    (>>>了解详情)

    ▪ 支持Linux Container容器信息解析;

    ▪ 支持Linux系统Nginx配置与日志解析;

    ▪ 支持Windows系统phpStudy解析;

    (>>>详见下文更新介绍)

    本次主要更新内容

    平航介质取证分析软件CS6100最新版本号为V3.0.7,主要更新内容如下:

    1. Linux Container容器信息解析

    Linux Container(LXC)容器信息解析,支持获取Centos系统(Linux操作系统中的一种)中的LXC信息,包括容器名称、类型、位置等信息;

    72a4758ac984e86261f486d7ef5e58d7.png

    2. Linux系统Nginx配置与日志解析

    Nginx是一个常见的高性能网站Web服务器。

    本次更新支持解析包括Linux系统Nginx的配置信息、访问日志以及错误日志信息等。

    cad2723e3d8d2ee7e8223a4ae825bca4.png 6b496e6b8c57217dcc6468b7679c2a7d.png 0fb455e701cd99bd0fde517c649e9403.png

    3. Windows系统phpStudy解析

    phpStudy常用于配置服务器与运行维护。

    在Windows系统下,phpStudy解析现可获取包括FTP用户名、目录、文件权限,以及phpStudy配置的Apache与Nginx的网页服务器的域名、端口、根目录、网站首页等信息。

    8c72861fda4905924db406d38b17bef0.png 9782c481f00ce83f792995d024d95c72.png

    4. 向日葵连接工具解析

    作为一款可以实现PC和移动端互通的远程连接工具,向日葵和TeamViewer等远程连接工具一样,都可以实现远程控制的功能。

    CS6100本次更新在Xshell、TeamViewer的基础上,增加了对向日葵的解析。

    支持获取本机电脑被操控记录,包括开始/结束时间,以及IP地址等信息。

    85f15c02a0aa47c76f5d008daa65d066.png

    5. 强化印象笔记、Xshell解析能力

    1. 印象笔记增加了对清单任务的解析功能;

    2. Xshell6增加了Telnet用户名提示、Telnet密码提示、RLOGIN远程登陆密码提示等功能;

    ed88831ec6040b3c78be3f5a8a02b389.png ca7b16b3bf98ba570c691c4811714cf6.png

    还没有更新的用户,赶紧联系区域销售,或通过微信公众号联系平航官方,更新软件吧~

    平航取证技术简报

    adc40b0a19cb9162218a8999c7258c26.png ee1cb992fa4206deefee773f71f2182d.png

    平航科技第八期(2020第二期)技术简报已为一线执法领域用户开放订阅服务。

    本期共分为两个部分。

    一、【应用篇】:通过实战,总结出的应用技术积累分享;

    二、【功能篇】:分享平航取证软件中的一些重要且常用的功能,帮助大家更好地将平航取证软件结合实战应用。

    大家可以通过微信后台,留言给航哥,获取平航科技全套(8套)技术简报哦~

    - END -

    编辑/排版:航哥

    产品/更新:平航产品研发部

    4a83bb51c0a8171001659cd0819cff70.png

    你“更新”了吗?

    8640559c17fd838c1b182689d5fa850e.png
    展开全文
  • 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的...

    转载自:网卫大学堂 http://www.wwdxt.com/

    日志文件默认位置:

    应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%/system32/config,

    默认文件大小512KB,管理员都会改变这个默认大小。

    安全日志文件:%systemroot%/system32/config/SecEvent.EVT

    系统日志文件:%systemroot%/system32/config/SysEvent.EVT

    应用程序日志文件:%systemroot%/system32/config/AppEvent.EVT

    Internet信息服务FTP日志默认位置:%systemroot%/system32/logfiles/msftpsvc1/,默认每天一个日志

    Internet信息服务WWW日志默认位置:%systemroot%/system32/logfiles/w3svc1/,默认每天一个日志

    Scheduler服务日志默认位置:%systemroot%/schedlgu.txt

    以上日志在注册表里的键:

    应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:

    HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog

    有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。

    Schedluler服务日志在注册表中

    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent

    FTP和WWW日志详解:

    FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例:

    #Software: Microsoft Internet Information Services 5.0  (微软IIS5.0)

    #Version: 1.0 (版本1.0)

    #Date: 20001023 0315 (服务启动时间日期)

    #Fields: time cip csmethod csuristem scstatus

    0315 127.0.0.1 [1]USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录)

    0318 127.0.0.1 [1]PASS – 530 (登录失败)

    032:04 127.0.0.1 [1]USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录)

    032:06 127.0.0.1 [1]PASS – 530 (登录失败)

    032:09 127.0.0.1 [1]USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录)

    0322 127.0.0.1 [1]PASS – 530 (登录失败)

    0322 127.0.0.1 [1]USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录)

    0324 127.0.0.1 [1]PASS – 230 (登录成功)

    0321 127.0.0.1 [1]MKD nt 550 (新建目录失败)

    0325 127.0.0.1 [1]QUIT – 550 (退出FTP程序)

    从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。

    WWW日志:

    WWW服务同FTP服务一样,产生的日志也是在%systemroot%/System32/LogFiles/W3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件

    #Software: Microsoft Internet Information Services 5.0

    #Version: 1.0

    #Date: 20001023 03:091

    #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

    20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

    20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

    通过分析第六行,可以看出2000年10月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。

    人打赏

    0人 点赞

    主帖获得的天涯分:0

    举报 |

    楼主

    |

    楼主发言:1次 发图:0张 | 添加到话题 |

    展开全文
  • 如 who、w、users、finger等就需要访问这个文件cat /var/log/utmp 应用服务日志: Apache日志/var/log/httpd(apache2)/access.log # 其中包含Apache服务器的客户系统访问记录/var/log/httpd(apache2)/error.log...

    1、查看系统信息

    [root@server02 ~]# uname -a      #查看内核

    Linux server02 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

    [root@server02 ~]# cat /etc/redhat-release     #查看操作系统版本

    CentOS Linux release 7.6.1810 (Core)

    [root@server02 ~]# cat/proc/cpuinfo      #查看cpu信息-bash: cat/proc/cpuinfo: 没有那个文件或目录

    [root@server02 ~]# cat /proc/cpuinfo

    processor       : 0vendor_id       : GenuineIntel

    cpu family      : 6model           : 42model name      : Intel(R) Core(TM) i3-2348M CPU @ 2.30GHz

    stepping        : 7microcode       : 0x26cpu MHz         : 2292.589cache size      : 3072 KB

    physical id     : 0siblings        : 1core id         : 0cpu cores       : 1apicid          : 0initial apicid  : 0fpu             : yes

    fpu_exception   : yes

    cpuid level     : 13wp              : yes

    flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx rdtscp lm constant_tsc arch_perfmon nopl xtopology tsc_reliable nonstop_tsc eagerfpu pni pclmulqdq ssse3 cx16 pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer xsave avx hypervisor lahf_lm tsc_adjust arat

    bogomips        : 4585.17clflush size    : 64cache_alignment : 64address sizes   : 43 bits physical, 48 bits virtual

    power management:[root@server02 ~]# env    #查看系统环境变量

    XDG_SESSION_ID=2HOSTNAME=server02

    SELINUX_ROLE_REQUESTED=TERM=xterm

    SHELL=/bin/bash

    HISTSIZE=1000SSH_CLIENT=192.168.0.105 52085 22SELINUX_USE_CURRENT_RANGE=SSH_TTY=/dev/pts/0USER=root

    二、用户及组信息

    [root@server02 ~]# w    #查看活动用户 12:55:50 up  4:06,  1 user,  load average: 0.07, 0.04, 0.05USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT

    root     pts/0    192.168.0.105    09:14    6.00s  0.27s  0.05s w[root@server02 ~]# cut -d: -f1 /etc/passwd    #查看系统所有用户

    root

    bin

    daemon

    admlpsyncshutdown

    halt

    mail

    operator

    gamesftpnobody

    systemd-network

    dbus

    polkitd

    sshd

    postfix

    chrony

    ntp

    tss

    kube

    [root@server02 ~]# cut -d: -f1 /etc/group    #查看系统所有组

    root

    bin

    daemon

    sys

    adm

    tty

    disklpmem

    三、防火墙及路由信息[root@server02 ~]# iptables -L    #查看防火墙信息

    [root@server02 ~]# route -n    #查看路由信息

    Kernel IP routing table

    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 ens330.0.0.0         192.168.88.2    0.0.0.0         UG    101    0        0 ens37172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 ens33192.168.88.0    0.0.0.0         255.255.255.0   U     101    0        0 ens37

    四、查看网络、端口信息

    [root@server02 ~]# netstat -an    #查看开放端口

    Active Internet connections (servers and established)

    Proto Recv-Q Send-Q Local Address           Foreign Address         State

    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN

    tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN

    tcp        0      0 192.168.0.221:22        192.168.0.105:52089     ESTABLISHED

    tcp        0      0 192.168.0.221:22        192.168.0.105:52085     ESTABLISHED

    tcp6       0      0 :::22                   :::*                    LISTEN

    tcp6       0      0 ::1:25                  :::*                    LISTEN

    udp        0      0 0.0.0.0:68              0.0.0.0:*udp        0      0 127.0.0.1:323           0.0.0.0:*udp6       0      0 ::1:323                 :::*raw6       0      0 :::58                   :::*                    7raw6       0      0 :::58                   :::*          [root@server02 ~]# ifconfig   #查看网络接口信息

    [root@server02 ~]# netstat -lntp    #查看所有监听端口

    Active Internet connections (only servers)

    Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      6943/sshd

    tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      7039/master

    tcp6       0      0 :::22                   :::*                    LISTEN      6943/sshd

    tcp6       0      0 ::1:25   [root@server02 ~]# netstat -anpt    #查看已建立的连接

    Active Internet connections (servers and established)

    Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      6943/sshd

    tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      7039/master

    tcp        0      0 192.168.0.221:22        192.168.0.105:52089     ESTABLISHED 7489/sshd: root@not

    tcp        0     64 192.168.0.221:22        192.168.0.105:52085     ESTABLISHED 7485/sshd: root@pts

    tcp6       0      0 :::22                   :::*                    LISTEN      6943/sshd

    tcp6       0      0 ::1:25                  :::*                    LISTEN      7039/master

    五、系统运行信息查看

    [root@server02 ~]# cat /etc/crontab   #系统cronr任务查看

    SHELL=/bin/bash

    PATH=/sbin:/bin:/usr/sbin:/usr/bin

    MAILTO=root

    # For details see man 4 crontabs

    # Example of job definition:

    # .---------------- minute (0 - 59)

    # |  .------------- hour (0 - 23)

    # |  |  .---------- day of month (1 - 31)

    # |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...

    # |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

    # |  |  |  |  |# *  *  *  *  * user-name  command to be executed

    [root@server02 ~]# cd /var/spool/cron/   #查看用户的cron任务

    [root@server02 cron]# ll

    总用量 0

    [root@server02 ~]# ps -ef   #查看所有进程

    [root@server02 ~]# netstat -s   #查看网络统计信息进程

    [root@server02 ~]# top   #实时显示进程的用户信息

    六、日志查看分析Linux常用日志/var/log/boot.log #录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息cat /var/log/boot.log

    var/log/lastlog #记录最后一次用户成功登陆的时间、登陆IP等信息cat /var/log/lastlog/var/log/messages #记录Linux操作系统常见的系统和服务错误信息cat /var/log/messages/var/log/secure #Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况cat /var/log/secure/var/log/btmp#记录Linux登陆失败的用户、时间以及远程IP地址cat /var/log/btmp/var/log/syslog #只记录警告信息,常常是系统出问题的信息,使用lastlog查看cat /var/log/syslog/var/log/wtmp #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看cat /var/log/wtmp/var/run/utmp #该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件cat /var/log/utmp

    应用服务日志:

    Apache日志/var/log/httpd(apache2)/access.log # 其中包含Apache服务器的客户系统访问记录/var/log/httpd(apache2)/error.log # 其中包含Apache服务器的所有出错记录

    展开全文
  • Web服务器日志取证分析的方法和工具技巧,入侵检测和证据固定的方法
  • 当办案人员从阿里云公司获取涉案网站服务器的镜像后,将面对如何对服务器的镜像进行取证的难题。 本文将给大家分享一个关于阿里云网站服务器镜像文件的取证思路,希望能给大家一些灵感和参考。 取证思路 从上文...
  • 前言: 大家日常早就对Windows中的病毒习惯了,对付Windows中的病毒,有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。...1)服务器出去的带宽会跑高这个是中毒的一个特征。 ..
  • 不久前,我们遇到了一个取证案例,一个Linux服务器被攻破,一个修改过的OpenSSH二进制文件被加载到一个web服务器的内存中。修改后的OpenSSH二进制文件被攻击者用作系统的后门。在系统遭到破坏时,客户拥有pcap和系统...
  • 墨者学院-远程电子数据取证-服务器分析(第1题) 根据题目意思,先上网查找了recycler相关知识 然后链接远程,搜索c盘recycler文件夹 打开文件夹,看到key ...
  • 一天,小Z接到运维同事的反映,一台tomcat 的web服务器虽然安装了杀软,但是还是三天两头会出现杀软病毒报警,希望他能查下原因。 小Z首先设想了三种可能性: 1.存在系统漏洞 2.由于前期运维在服务器上装了一些...
  • 下面我们就来看看对这个服务器被入侵后的调查取证过程吧。 1、受攻击现象 这是一台客户的app网站服务器,托管在电信机房,客户接到电信的通知:由于此服务器持续对外发送数据包,导致100M带宽耗尽,于是电信就切断
  • (第1题) mstsc C盘-搜索recycler (第2题) 开始-->管理工具-->事件查看器-->系统-->选择administrator用户操作的事件(ID:1074)-->...C:\txtkey_1.txt......
  • 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有...
  • 靶场地址: https://www.mozhe.cn/bug/detail/U1prK3FzNjAydzF1bUpxKzVrUWsvQT09bW96aGUmozhe 根据题意 远程桌面连接,登录,显示系统隐藏文件,找到所在分区的Recycler文件夹 ...
  • 靶场地址: https://www.mozhe.cn/bug/detail/MTgwalFZcyt4RkhuSGR5cnJ4RHV6UT09bW96aGUmozhe 根据题意 远程桌面连接,登录,直接搜索得到key
  • 靶场地址: https://www.mozhe.cn/bug/detail/aW83b012TW1ySWxKY1Qyc1BOTmxvdz09bW96aGUmozhe 根据题意 远程桌面连接,登录,发现key
  • 靶场地址: https://www.mozhe.cn/bug/detail/V3lpVHBBK3l6cHdIOWVhSllWQ1MrZz09bW96aGUmozhe...根据题意 在本机选择远程桌面连接 输入地址:端口 ... 开始–>...选择administrator用户操作的事件(ID:1074)–>......
  • 靶场地址: https://www.mozhe.cn/bug/detail/QmMwQlY5L1hva3N5UmZHUmQrdUh1QT09bW96aGUmozhe 根据题意 远程桌面连接,登录,找到temp文件夹发现key
  • 靶场地址: https://www.mozhe.cn/bug/detail/dW9mRDNDSXBTQkZYSjRXVENSTXp6UT09bW96aGUmozhe 根据题意 远程桌面连接,登录,工具–查看–(取消勾选)隐藏受保护的操作系统文件 C:–拿到key ...
  • 通常用作黑客攻击网站拿到服务器Webshell提升站点服务器权限后,对站点和数据库服务器两台服务器分离的情况,延申权限到数据库服务器。开启数据库服务器的3389远程连接。 1、程序信息 MD5值:58946C2FE49563591EBE0...
  • 于是我们打开远程桌面连接,连接进去。 根据解题方向,显示隐藏文件。找到所在分区的Recycler文件夹。 ...使用搜索功能,搜索Recycler文件夹。搜索出来后,点进去看到key文本文件,打开即可获得key。...
  • 打开靶场环境,使用远程桌面连接。 方法一:进入主机后开始找寻key,最终发现key文本文件在C:WINDOWS路径下。 ...搜索>输入key进行搜索>搜索出来一个key文本文档,点开就是本题的key。......
  • 开启靶场环境,得到ip地址,用户名和... 在远程主机上(连接远程桌面时,需要加上端口号)。 ...管理工具>事件查看器>系统>选择administrator用户操作的事件(ID:1074)>可以看到是事件描述是关机和注释>......
  • 靶场地址: https://www.mozhe.cn/bug/detail/a0xMcXN4NXIwOXBPSHJDc21jY0YrZz09bW96aGUmozhe 根据题意 远程桌面连接,登录,直接搜key。。。
  • 连接完毕后,找到桌面上我的电脑图标,鼠标点击右键,选择管理功能,再选择里面的事件查看器,然后筛选出用户administrator的操作 ,一共有四个,依次寻找,在其中一个里面发现有key ...
  • 先显示隐藏文件夹,就在工具那一块 找到Windows操作系统的临时目录位置(百度) 不过这个题目是在c:\windows\temp下 最快的方式是在C盘下直接搜索key

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 5,058
精华内容 2,023
关键字:

服务器取证