跳到主要內容

發表文章

目前顯示的是 11月, 2011的文章

[矯正]開始矯正了

在拔完四顆牙後我終於裝上矯正器了 我裝的是透明的戴蒙矯正器 現在沒事經過鏡子都想照一下XD 戴上牙套其實也還好 牙齒痠軟個三四天也就不痛了 最麻煩的還是吃飯的問題 每次到吃飯的時候就好痛苦 因為完全咬不動QQ 另外嘴刮的問題也很麻煩 鐵線和矯正器一直刮我的嘴 只好先用軟蠟檔著 連吃飯的時候也懶得拿下軟蠟了 因為吃飯會刮更痛QQ 只好吃飯->刷牙->順便連軟蠟也刷掉->黏上新的軟蠟->吃飯這樣的循環 希望適應期趕快結束 我好懷念咀嚼的感覺阿阿阿~~

鑑識常用sysinternal suite工具介紹

Accesschk.exe command line interface, 用來檢察檔案的權限 AccessEnum Gui interface, 針對特定檔案, 資料夾或registry去掃描哪個帳號有權限讀或寫 Autoruns 有GUI和command line interface, 可掃描開機自動開啟項目, 惡意程式被植入後常常 會設定自己於開機項目中, 通常這是檢查惡意程式的第一步 whois command line, 用來查詢domain name的工具, 但似乎nslookup比較好用, 在分析網路封包時會常常用到 strings command line, 可用來dump binary file中的unicode或ASCII字串, 常常用來檢視惡意程式 或檔案中是否有寫死字串, 例如惡意網址等, 若要在files中搜尋特定字串, 可用以下命令 strings * | findstr /i TextToSearchFor Sigcheck command line, 用來驗證檔案之簽章及其版本, 可用以下命令來搜尋/WINDOWS/system32未簽章的檔案 sigcheck -u -e c:\windows\system32 TCPview GUI介面, 列出所有TCP與UDP連結的local和remote位址與狀態、process ID等, 常用來檢視 正在運行電腦的網路狀況, 是否有怪異process一直有TCP或UDP連結等, 可能是惡意程式所建立 的process, TCPvcon與TCPview功能相似, 但為command line介面較不方便 ShareEnum GUI介面, 可列出網路共享資訊, 網路共享也可能是惡意程式的進入管道, 故檢查共享也是必要的 RookitRevealer GUI介面, 可列出硬碟與registry中可能的rootkit, 但我每此都執行失敗囧 不知道是甚麼原因

Email鑑識必看網路標頭

Office Outlook 2003可在檢視->選項->網路標頭中看到標頭資訊 2007只要在mail按右鍵->郵件選項->網際網路標頭 即可看到 解讀方法 http://office.microsoft.com/en-us/outlook-help/view-e-mail-message-headers-HA001230300.aspx

有用的鑑識網站

Invisible Man http://jay-fva.blogspot.com/ Forensic Wiki http://www.forensicswiki.org/wiki/Main_Page int for(ensic){blog;} http://computer.forensikblog.de/en/2006/03/converting-virtual-into-physical-addresses.html 持續增加中