利用工具一鍵對FRM文件進行(xíng)表結構解析

作(zuò)者：許文豪

最近遇到了很(hěn)多(duō)數(shù)據庫還(hái)原的問題，借此機會(huì)我們來(lái)利用兩種工具來(lái)解析Mysql數(shù)據庫的“.frm”文件中的表結構內(nèi)容。當我們在取證過程中，恢複嫌疑人(rén)删除的數(shù)據庫文件，或因其他情況導緻Mysql無法啓動的時(shí)候，我們就要使用新的實例（一般在本地創建）來(lái)恢複結構數(shù)據。

USDT（泰達币）如何實時(shí)監控

作(zuò)者：許文豪

前段時(shí)間(jiān)參與了一個(gè)黑(hēi)客盜取資金然後通(tōng)過USDT（泰達币）洗錢(qián)的案件支援，當時(shí)寫了一個(gè)腳本監控虛拟币的交易動向。一般來(lái)說，必須首先以某種名義和(hé)形式把錢(qián)儲存起來(lái)，然後通(tōng)過一系列的交易或轉賬，将其變為(wèi)合法形式。因此，洗錢(qián)的手法和(hé)步驟千變萬化，名目繁多(duō)。洗錢(qián)和(hé)虛拟币詐騙在暗網已經屢見不鮮了，但(dàn)因電(diàn)子數(shù)據的特殊性，取證工作(zuò)仍然存在一定的困難。

VMware虛拟機配置文件取證

作(zuò)者：黎先傑

虛拟機指通(tōng)過軟件模拟的具有(yǒu)完整硬件系統功能的、運行(xíng)在一個(gè)完全隔離環境中的完整計(jì)算(suàn)機系統。在現在的常見網絡技(jì)術(shù)中，虛拟機的技(jì)術(shù)取證我們也越來(lái)越常見，因此我們在這方面的數(shù)據取證技(jì)術(shù)有(yǒu)哪一些(xiē)呢？

而在虛拟機裏面的數(shù)據都是以文件的形式存儲在計(jì)算(suàn)機上(shàng)的，所以我們在針對于虛拟機的數(shù)據就是對存儲在計(jì)算(suàn)機的虛拟機文件進取證。

RAID服務器(qì)鏡像方法及簡介

作(zuò)者：劉迦南

在平時(shí)我們進行(xíng)現場(chǎng)勘查取證工作(zuò)中，經常會(huì)遇到需要固定服務器(qì)的情況，服務器(qì)固定不僅僅需要遠勘，還(hái)需要遠勘結束後将整一個(gè)服務器(qì)扣押回去。那(nà)我們如何将服務器(qì)扣押回去呢？下面我們将簡單了解一下一般RAID服務器(qì)的組成方式以及RAID服務器(qì)固定步驟以及取證流程。

電(diàn)子取證清除“攔路虎”之Win11混合複雜開(kāi)機密碼

作(zuò)者：易磊

（江西省南昌市西湖(hú)區(qū)網絡安全保衛大(dà)隊）

如何清除或者繞過設置了開(kāi)機密碼的電(diàn)腦(nǎo)是取證過程中的一個(gè)重要環節。我們近期遇到國內(nèi)西部地區(qū)某省的一個(gè)侵公案件，在犯罪現場(chǎng)執法機關繳獲大(dà)量筆記本電(diàn)腦(nǎo)，都設置了開(kāi)機密碼，操作(zuò)系統版本是 Window11專業版，犯罪嫌疑人(rén)拒絕交代密碼，使案件偵查和(hé)取證陷入僵局。最後經過龍信技(jì)術(shù)工程師(shī)的操作(zuò)，成功清除複雜的開(kāi)機密碼，使案件的調查取證工作(zuò)進展由“山(shān)重水(shuǐ)複疑無路”變為(wèi)“柳暗花(huā)明(míng)又一村”。

通(tōng)過Wireshark網絡取證

作(zuò)者：張瑞文

Wireshark既然可(kě)以解析網絡中的各種數(shù)據流量，那(nà)麽通(tōng)過網絡傳輸協議，例如ftp協議傳輸的文件數(shù)據wireshark也可(kě)以對其解析。本質上(shàng)FTP協議是基于傳輸層TCP協議的，一個(gè)完整的文件會(huì)分割為(wèi)多(duō)個(gè)tcp數(shù)據包傳輸（這些(xiē)TCP數(shù)據包被稱為(wèi)TCP流），wireshark工具提供了一個(gè)“流跟蹤（TCP Stream）”功能可(kě)以分析TCP流。