文件分析 on 办公AI智能小助手

Windows PE文件版本信息解析的陷阱与思考

Wed, 03 Dec 2025 19:16:04 +0800

作为我研究Amcache（相关内容将另文详述）工作的一部分，我开始探究Windows PE文件的版本信息以及Windows系统如何解读它。起因是我以为在Velocidex的PE解析模块中发现了一个错误，但事实上，这更像是“Windows有时会做些奇怪的事情”。

移动数据泄露分析：Mobile Me与Amazon S3公开文件对比

Fri, 19 Sep 2025 15:32:52 +0800

账户分析

类型	Amazon	Mobile Me 常见名称	Mobile Me Twitter 名称
不存在	1206	1186	3209
私有	848	241	39
公开	131	841	125

对于常见名称列表，与Amazon的结果类似，大多数名称不存在，但公开与私有的比例相反：在Mobile Me中，大多数存在的账户都有一些公开内容。对于Twitter名称，存在的账户很少，但同样，存在的账户中较高比例有公开内容。

Python助力数字取证：YARA规则快速筛选关键证据

Sat, 13 Sep 2025 05:53:05 +0800

筛选是关键！Python来救援！

当你需要快速分析大量数据时，有一个关键步骤需要执行：筛选（Triage）。在取证调查中，这一步至关重要，因为它使调查人员能够从海量数据中快速识别、优先排序和隔离最相关或高价值的证据，确保有限的时间和资源集中在最有可能揭示事件关键事实的工件上。有时，一个快速的脚本就足以加速这项任务。

移动数据安全分析：Mobile Me与Amazon S3公开文件对比研究

Thu, 11 Sep 2025 08:34:41 +0800

分析Mobile Me

本次分析通过我的Mobile Me Finder应用收集数据，并与之前使用Bucket Finder在Amazon存储桶中发现的数据进行对比。

我这次运行了两个单词列表：第一个与Bucket Finder使用的列表相同，即来自Packet Storm的2268个常见名称列表；第二个列表，我考虑到许多安全专业人士现在使用Mac，并好奇其中有多少人拥有账户并分享数据，因此我收集了所有Twitter关注者列表并使用它。虽然其中一些可能是垃圾邮件发送者和机器人，但我认为3373个账户中的大部分可以作为名称使用。