批量查询IP归属地工具

通过本地IP库查询,全程不联网
支持用户手动更新数据库(使用纯真IP库:http://www.cz88.net/)

使用简单:

1、选择“要检索的IP文件”的路径,这个文件的格式是每行1个IP
2、选择“检索后输出文件”的路径,转换后会在每个IP后追加IP归属地址
3、点击开始按钮,等待查询完成

提示:用户如果需要更新IP库的话,可以去纯真IP库网站下载IP库文件,然后替换本程序目录下的QQWry.dat文件即可。

解压缩密码:2634.net

下载链接: https://pan.baidu.com/s/1kV7UrJL 密码: zi1a

QQ聊天记录MHT转HTML工具(支持批量转换)

在取证工作中,经常会遇到处理QQ聊天记录的情况,网上的mht2html工具要么不支持大文件,要么就不支持批量转换,于是琳迪软件(2634.net)对其中一个网上的工具做了一些处理,使之支持了批量处理功能,实测2个G的mht文件都没有问题。

软件使用也非常简单,首先,点击“添加MHT”(这里是支持批量添加的),然后选择输出目录(比如:桌面\转换测试),然后点击开始转换就会开始转换了,转换后,程序会根据每个mht文件的名称生成一个目录,这个目录中会生成html文件和聊天的图片,用任意浏览器直接打开html就可以浏览了(推荐Chrome浏览器或者火狐,这样很快)。

提示:如果转换[……]

[阅读全部]

反取证技术:内核模式下的进程隐蔽

反取证技术:内核模式下的进程隐蔽

介绍

本文是介绍恶意软件的持久性及传播性技术这一系列的第一次迭代,这些技术中大部分是研究人员几年前发现并披露的,在此介绍的目的是建立这些技术和取证方面的知识框架。

用于证明概念的代码可以在CERT的GitHub上查看。由于CERT分析师Devoteam在这个领域的经验,知识框架会不断完善。

第一篇文章将讨论DKOM(直接内核对象操纵)进程隐藏的以下几个方面:

Windows进程

隐藏直接内核对象的修改

概念性证明(PoC)

使用Volatility进行内存检测

这个概念在2004年的美国黑帽大会上被介绍,不过到现在还被用于几个内核工具,比如介绍者本人所开[……]

[阅读全部]

利用Volatility进行Windows内存取证分析(二):内核对象、内核池学习小记

简介

windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来达到隐藏自身的目的.安全研究员要想在内存取证中做到游刃有余,就需要对windows各种内存对象相关概念进行深入的了解。

windows执行体对象

大量的内存取证涉及到查找定位和分析执行体对象.Windows绝大多数代码是由C语言编写,其中大量使用了C语言的结构体来组织相关数据和属性.这里面有些结[……]

[阅读全部]

利用Volatility进行Windows内存取证分析(一):初体验

简介

承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证,下面一起来体验一下吧.

安装

最新版框架下载地址:

1.png

windows版可执行程序:http://downloads.vol[……]

[阅读全部]

布谷鸟沙箱初体验

简介

安全研究员平时在进行恶意代码分析的时候,为了避免过多重复繁杂的人工分析,首先会使用沙箱进行自动化分析,如果碰到比较新颖的样本,再考虑进一步人工分析。最近笔者体验了一下布谷鸟这款开源的沙箱即cuckoo sandbox,按照官方文档搭建环境的时候遇到了各种各样安装报错的情况,所以笔者将成功搭建流程以及自动化分析样本的流程记录了下来。

在Ubuntu中部署沙箱环境

由于笔者的物理机是windows 7 x64,所以首先安装VMware,然后使用VMware创建Ubuntu虚拟机环境.

VMware下载地址:https://download3.vmware.com/softwa[……]

[阅读全部]

Cellebrite公司专访:为FBI破解手机的以色列移动设备取证公司

今年早些时候,FBI和苹果公司因枪击案凶手的IPhone手机解锁问题大打嘴仗,而当这场旷日持久的扯皮走向精彩时,名不见经传的以色列移动取证公司Cellebrite却成为了公众焦点。

猜测

在强制要求苹果公司协助FBI解锁手机的数周后,美国司法部透露,FBI已经通过第三方成功破解并获取了涉案手机数据,无需苹果公司协助。一时间,围绕这个神秘第三方的猜测层出不穷,直到Cellebrite公司被以色列媒体披露报道

但是,也有传言认为Cellebrite公司并不是帮助FBI解锁的第三方,就连今年四月参加明尼苏达高科技犯罪论坛的Cellebrite代表也这么说,另据华盛顿邮报援引消息人[……]

[阅读全部]

详解Windows注册表分析取证

大多数都知道windows系统中有个叫注册表的东西,但却很少有人会去深入的了解它的作用以及如何对它进行操作。然而对于计算机取证人员来说注册表无疑是块巨大的宝藏。通过注册表取证人员能分析出系统发生了什么,发生的时间以及如何发生的等。在本文中我将为大家详细介绍Windows注册表的工作原理,以及如何对收集用户留下的各类指纹信息。

什么是注册表?

注册表是用于存储Windows系统用户,硬件和软件的存储配置信息的数据库。虽然注册表是为了配置系统而设计的,但它可以跟踪用户的活动,连接到系统的设备,什么时间什么软件被使用过等都将被记录在案。所有这些都可用于取证人员,分析溯源用户的恶意或非恶意[……]

[阅读全部]

22款受欢迎的计算机取证工具

计算机取证是与计算机和网络犯罪有关的,一门非常重要的计算机学科分支。在早前,计算机只用于生成数据,但现在已扩展到与数字数据相关的所有设备。计算机取证的目标是通过使用数字资料的证据来进行犯罪调查,以找出网络相关罪行的主要责任人。

为了更好的用于研究和调查,开发人员创建了多样的计算机取证工具。公安部门和调查机构可以根据自身情况,如预算和现有专家队伍等因素,来选取合适的取证工具。

这些电脑取证工具,也被分为了不同的类别:

  • 磁盘和数据捕获工具
  • 文件查看器
  • 文件分析工具
  • 注册表分析工具
  • 互联网分析工具
  • 电子邮件分析工具
  • 移动设备分析工[……]

[阅读全部]

基于文件系统的磁盘数据取证分析

0×1 简介

随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证。NSTRT也曾协助进行过电子取证的工作,本期NSTRT将以一个假定的案例对基于磁盘的电子取证的过程进行一次讲解。

在一般的数据取证工作中,为了证据保全,确保取证工作造成数据丢失,在获取到证据介质后,首先要做的就是对介质数据进行全盘镜像备份。在制作完镜像备份后,接下来要做的就是对镜像进行数据提取了。

本文按照数据提取的常规思路,来介绍如何利用磁盘存储和文件系统的知识来进行磁盘数据提取。

对磁盘[……]

[阅读全部]