當兩個物件接觸時,物質會在這兩個物件之間產生交換或者傳送。
保證資料的真實性
保證資料的完整性
固定易丟失的證據固定硬碟部分檔案的固定
概念檔案系統是作業系統用於明確儲存裝置或分割槽上的檔案的方法和資料結構,即在儲存裝置上組織檔案的方法。
常見的檔案系統
fat檔案系統
ntfs檔案系統
exfat
ext重要性
windows初始響應在收集易丟失的證據之後,可以繼續進行一些調查。兩個關鍵的證據**是事件日誌和目標系統上的登錄檔。這樣,在大多數調查中,就需要對這兩個目標進行徹底的調查。
深入獲取的途徑
事件日誌
登錄檔系統密碼轉儲易失性資料
日誌三個核心日誌:
systemsecurity
日誌事件型別
資訊(information):資訊事件指應用程式、驅動程式或服務的成功操作的事件。
警告(warning):警告事件指不是直接的、主要的,但是會導致將來問題發生的問題。例如,當磁碟空間不足或未找到印表機時,都會記錄乙個「警告」事件。
錯誤(error):錯誤事件指使用者應該知道的重要的問題。錯誤事件通常指功能和資料的丟失。例如,如果乙個服務不能作為系統引導被載入,那麼它會產生乙個錯誤事件。
成功審核(success audit):成功的審核安全訪問嘗試,主要是指安全性日誌,這裡記錄著使用者登入/登出、物件訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登入等事件,例如所有的成功登入系統都會被記錄為「 成功審核」事件。
失敗審核(failure audit):失敗的審核安全登入嘗試,例如使用者試圖訪問網路驅動器失敗,則該嘗試會被作為失敗審核事件記錄下來。
檢視日誌
windows自帶的事件檢視器
登錄檔概念:登錄檔由鍵、子鍵和值項構成,乙個鍵就是分支中的乙個資料夾,而子鍵就是這個資料夾中的子資料夾,子鍵同樣是乙個鍵。乙個值項則是乙個鍵的當前定義,由名稱、資料型別以及分配的值組成。乙個鍵可以有乙個或多個值,每個值的名稱各不相同,如果乙個值的名稱為空,則該值為該鍵的預設值。通常,值是0或1,意味著開或關,也可以包含通常以十六進製制顯示的更複雜的資訊。
訪問登錄檔
windows中帶的regedit
收集線索資料
開啟的檔案程序列表:1 系統程序2 使用者程序3 開始執行處的程序4 程序分析(操作檔案、登錄檔或者訪問網路的情況)
程序到埠的對映剪貼簿內容服務/驅動資訊命令列歷史對映的驅動器共享:獲取系統中共享給網路的資源。
非易變資訊:登錄檔設定 事件日誌 裝置和其他資訊
檔案和目錄概念
入侵者獲得訪問許可權後,有時想要知道網路中還有哪些其他系統可以通過被入侵的系統訪問。
網路資訊有哪些
網路連線:一旦發生了安全事件,就應該收集針對被影響系統的網路連線資訊。隨著時間的流逝,連線資訊會慢慢過期,時間越久,丟失的資訊越多。
網路軌跡:所謂網路軌跡,是指系統訪問網路之後留下來的一些記錄。犯罪嫌疑人在利用網路進行犯罪,或因為犯罪嫌疑人對計算機不是很了解,或因為犯罪嫌疑人的疏忽大意,會在windows系統上留下一些記錄。
系統服務:計畫任務服務 共享服務 遠端控制和遠端訪問服務
攻擊者通常會在他得到控制權的系統上新增乙個管理員帳號,或者將轉殖管理員帳戶(administrator)許可權到來賓帳戶(guest)
encase
md5校驗值計算工具: md5sum
程序工具:pslist
登錄檔工具:autoruns
網路檢視工具: fport
網路檢視工具: netstat
服務工具:psservice
第六章 電子採購
對採購職能而言,網際網路提供的好處 採購過程自動化除了降低成本外,還有下列好處 定義 使用網際網路對如何以及從 獲得服務或產品進行決策和制定戰略。電子 源搜尋工具 使用網際網路識別潛在 商的優缺點 優點 缺點 全球的 全天候的可用資訊源 資訊量過於龐大 低成本 快遞 方便的資訊查詢 資訊可能不可靠 ...
mysql第六章 第六章 mysql日誌
第六章 mysql日誌 一 錯誤日誌 錯誤日誌的預設存放路徑是 mysql 存放資料的地方 hostname.err 1.修改錯誤日誌存放路徑 mysqld log error data mysql mysql.log 2.檢視配置命令 show variables like log error 3...
第六章 指標
1.多位元組資料的位址是在最左邊還是最右邊的位置,不同的機器有不同的規定,這也正是大端和小端的區別,位址也要遵從邊界對齊 2.高階語言的乙個特性就是通過名字而不是位址來訪問記憶體的位置,但是硬體仍然通過位址訪問記憶體位置 3.記憶體中的變數都是義序列的0或1的位,他們可以被解釋為整數或者其他,這取決...