计算机取证 on 办公AI智能小助手

利用分区/诊断事件日志追踪USB设备 - 第二部分 - 数字取证流

Sat, 06 Dec 2025 12:23:53 +0800

USB Device Tracking using the Partition/Diagnostic Event Log - Part 2 - Digital Forensics Stream

…

Home Tools USB Detective Contact Me

…

WordPress › Error

There has been a critical error on this website.Learn more about troubleshooting WordPress.

Autopsy数字取证工具下载与安装指南

Thu, 20 Nov 2025 13:18:35 +0800

Autopsy - 下载

下载Autopsy

Windows版本 4.22.1

下载64位版本
下载32位版本（通过高级选项获取）

Linux和macOS版本

Autopsy 4可在Linux和macOS系统上运行，安装步骤：

下载Autopsy ZIP文件
Linux系统需要安装The Sleuth Kit Java .deb Debian包
按照说明安装其他依赖项

第三方模块

第三方附加模块可在模块GitHub仓库中找到。用户可下载全部模块或仅选择所需模块。

数字取证自动化：当实验室永不眠的技术革新

Wed, 19 Nov 2025 06:51:03 +0800

当实验室永不眠

几年前，我在纳什维尔警察局的实验室达到了临界点。我们的积压案件不断增加，侦探们要等待数月才能拿回设备，我发现自己和许多调查人员一样想着：我们可以通过加班来解决这个问题。

WSL与Docker取证分析：容器与主机交互痕迹追踪

Wed, 05 Nov 2025 21:26:21 +0800

Daily Blog #806: Solution Saturday 4/12/25

作者：David Cowen

2025年4月12日

每日博客

解决方案星期六

周日狂欢

WSL

评论：0

读者您好，

本周Chris Eng再次带着他在WSL方面的研究成果回归他的每日博客。虽然我们都很欣赏Chris的连胜纪录，但我期待大家在下周全力以赴，向他发起挑战！

Windows 11数字取证新视角：关键取证特征变化解析

Wed, 05 Nov 2025 13:49:00 +0800

Windows 11数字取证新视角

引言

Windows 11虽已发布数年，但企业采用率相对较低。根据我们的全球应急响应团队（GERT）调查统计数据，截至2025年初，Windows 7（已于2020年终止支持）的出现频率仅略低于最新操作系统。大多数系统仍运行Windows 10。

KAPE：数字取证神器全面解析

Wed, 05 Nov 2025 12:47:34 +0800

介绍 KAPE！

（来自手册内容，建议阅读完整手册…）

什么是 KAPE？

Kroll Artifact Parser and Extractor（KAPE）主要是一个分类程序，能够针对设备或存储位置，根据需求找到最相关的取证工件，并在几分钟内完成解析。由于其高速特性，KAPE使调查人员能够找到并优先处理案件中更关键的系统。此外，KAPE可以在成像过程开始前收集最关键的工作。在成像完成期间，KAPE生成的数据可以用于审查线索、构建时间线等。

Windows 11数字取证视角下的关键技术与取证变化

Wed, 05 Nov 2025 12:25:23 +0800

Windows 11数字取证视角下的关键技术与取证变化

引言

Windows 11已于几年前发布，但企业采用率相对较低。根据我们全球应急响应团队（GERT）调查的统计数据，直到2025年初，我们发现已于2020年终止支持的Windows 7的出现频率仅略低于最新的操作系统。大多数系统仍在运行Windows 10。

KAPE 0.8.6.1发布：数字取证工具的重大更新

Tue, 04 Nov 2025 00:54:21 +0800

KAPE 0.8.6.1发布

此版本的变化包括：

使用传输选项时，当使用–zm true时，将模块输出传输到目标位置。这将模块的输出作为zip文件推送到目标服务器。您仍然可以选择性地传输目标收集内容
对于批处理模式，添加–ul开关。这代表"使用线性"，当在条目上设置时（理想情况下应该是第一个条目），KAPE将一次运行一个_kape.cli实例，而不是同时启动所有实例。对于细粒度控制批处理模式非常有用
在gkape中，通过双击查看配置时记住选定的目标和模块。这使得检查配置成为可能，而不必重新选择之前选择的所有内容
将–mvars分隔符更改为^，因为逗号经常在变量定义中使用。还调整了包含:的变量的处理方式（现在它们可以正常工作，而不是被截断）
当KAPE更新模块的输出文件以避免覆盖现有文件时，将新输出文件的名称报告给控制台，以便知道哪个输入文件对应哪个输出文件
修复模块处理中标准输出和标准错误同时写入的罕见问题
将模块中重定向StandardError到输出文件改为将其写入控制台。这防止在StdErr上混合正常输出的程序破坏输出文件
在模块的处理器部分添加了"Append"属性（可选）。如果为true，数据将附加到ExportFile的值。如果append为false，将生成新的唯一文件名以防止文件被覆盖
将日志文件、文件名等中使用的所有时间戳标准化为相同的时间戳（当KAPE执行时）而不是文件创建时。这使得将相关事物分组更容易
通过–s3*开关添加了AWS S3传输支持
通过–asu开关添加了Azure存储传输（SAS Uri）
更新了gkape以支持最新功能

亮点

文档已更新以包含所有这些功能。

.NET在数字取证中的技术优势与实践

Mon, 03 Nov 2025 14:49:50 +0800

与Eric Zimmerman畅谈.NET技术

我认为数字取证领域没有人会否认Python是当今取证编程中最常用的语言。事实上，它的许多狂热追随者经常向我们炫耀它表面上冗长的优越特性列表。以至于有时人们可能会忘记还有其他编程语言存在。认识到这一点，我知道我想写一篇讨论我最喜欢的技术——C#和整个.NET框架——但我想不出比Eric Zimmerman更好的特邀撰稿人来参与这场对话，他是取证编码中最家喻户晓的名字之一，也是该技术的坚定支持者。

Amcache与USB设备追踪数字取证技术解析

Mon, 03 Nov 2025 12:00:13 +0800

Amcache与USB设备追踪 - 数字取证分析

工具介绍

USB Detective

联系方式

Contact Me

导航菜单

Home
Tools
USB Detective
Contact Me

自动化分析简化媒体鉴证：让技术结果更易懂

Mon, 03 Nov 2025 02:48:00 +0800

让媒体鉴证更易理解的自动化分析

照片、视频和其他媒体文件已成为调查工作的关键证据。它们能建立时间线、佐证证人陈述，并揭示容易被忽略的细节。但媒体也是最容易被篡改的证据形式之一。编辑工具广泛可用且操作简单，元数据只需少量技术知识即可修改，深度伪造和AI生成内容不断发展，使得区分真实媒体与篡改媒体变得更加困难。

数字取证专家的一天：当坚持遇到小插曲

Sun, 02 Nov 2025 18:29:40 +0800

每日博客 #815：我错过了一天

作者：David Cowen
日期：2025年4月22日
分类：每日博客

内容

大家好，

这种情况发生在每个人身上，而昨天它发生在我身上。我在旅行中忘记了时间，意识到昨天没有发布博客。我想承认这一点，让你们知道几件事：

Magnet Axiom秋季更新：ChatGPT支持、Chromium浏览器解析与私密消息应用增强

Fri, 31 Oct 2025 11:00:19 +0800

Magnet Axiom秋季更新：ChatGPT、Chromium、私密消息支持等

在我们推出Magnet Axiom和Magnet Axiom Cyber 9系列的中期，我们持续构建其功能，推出了新的和更新的功能，帮助您更高效地工作。

开源数字取证工具：The Sleuth Kit 与 Autopsy 深度解析

Fri, 31 Oct 2025 08:16:25 +0800

The Sleuth Kit (TSK) 与 Autopsy：开源数字取证工具

关于我们

开源数字取证

Autopsy® 是一款易于使用的基于图形界面的程序，可让您高效分析硬盘驱动器和智能手机。它具有插件架构，允许您查找附加模块或使用 Java 或 Python 开发自定义模块。

数字取证技术工具与资源全解析

Sat, 25 Oct 2025 14:18:07 +0800

数字取证工具与资源全面指南

又到了一年一度的Forensic 4:Cast奖项季，提名现已开放。去年我赢得了4个奖项，我的团队还额外获得了2个！这真是令人惊喜又谦卑的经历。如果你曾投票支持我，再次表示感谢。

KAPE数字取证工具v0.8.1.0版本发布：新增UNC路径支持与安全检查

Fri, 24 Oct 2025 15:56:53 +0800

KAPE v0.8.1.0 发布！

TL;DR： 使用您收到邮件时相同的URL下载更新！

0.8.1.0版本变更：

为--tsource和--tdest参数添加UNC路径支持
改进目标存储空间不足的检测
当--mdest和--tdest相同时添加检查并禁止此操作
当--msource不等于--tdest时发出警告
澄清EULA第1.3节关于使用范围的内容

让我们探索一些重要变更

UNC路径支持

首先，让我们写入UNC路径：

Autopsy数字取证工具发展史与技术演进全解析

Thu, 23 Oct 2025 15:42:32 +0800

Autopsy发展历史

本文记录了Autopsy®每个主要版本（从2.20开始）的重大功能特性发展历史。

新版本发布

使用Github页面确定每个版本的具体变更内容。

历史版本数据

4.14.0（2020年1月24日）

专用界面：

Autopsy数字取证工具下载指南

Thu, 23 Oct 2025 13:30:30 +0800

Autopsy - 下载

下载Autopsy

Windows版 4.22.1版本

下载64位版本
下载Linux和OS X版本

Autopsy 4可在Linux和OS X系统上运行。安装步骤如下：

下载Autopsy ZIP文件
Linux系统需要安装The Sleuth Kit Java .deb Debian包
按照说明安装其他依赖项

第三方模块

第三方附加模块可在模块GitHub仓库中找到。从该仓库中，您可以下载所有模块或仅下载所需模块。

数字取证镜像技术全解析：从定义到实践

Sun, 05 Oct 2025 07:51:10 +0800

什么是取证镜像？

取证镜像（又称取证副本）是指对物理存储设备进行的逐位、逐扇区直接复制，包含所有文件、文件夹以及未分配空间、空闲空间和松弛空间。取证镜像不仅包含操作系统可见的所有文件，还包括已删除文件及残留在松弛空间和空闲空间中的文件片段。