当前文档 《TH-Nebula 技术文档》 由 进击的皇虫 使用 书栈(BookStack.CN) 进行构建， 生成于 2019-05-25。 书栈(BookStack.CN) 仅提供文档编写、整理、归类等功能，以及对文档内容的生成和导出工 具。文档内容由网友们编写和整理，书栈(BookStack.CN) 难以确认文档内容知识点是否错漏。如果 您在阅读文档获取知识的时候，发现文档内容有不恰当的地方，请向我们反馈，让我们共同携手，将知 识准确、高效且有效地传递给每一个人。 同时，如果您在日常工作、生活和学习中遇到有价值有营养的知识文档，欢迎分享到 书栈 (BookStack.CN) ，为知识的传承献上您的一份力量！ 如果当前文档生成时间太久，请到 书栈(BookStack.CN) 获取最新的文档，以跟上知识更新换 代的步伐。 内容来源：threathunter.cn https://www.threathunter.cn/nebula.html 文档地址：http://www.bookstack.cn/books/TH-Nebula 书栈官网：http://www.bookstack.cn 书栈开源：https://github.com/TruthHun 分享，让知识传承更久远！ 感谢知识的创造者，感谢知识的分享者，也感谢每一位阅读到此处的 读者，因为我们都将成为知识的传承者。

主流CTF工具合集包括：隐写、文件分析、取证、流量分析、编码密码工具、常用的AWD比赛中的一些脚本等

一、实验项目名称 案例分析练习题1 二、实验目的 1、熟悉取证大师的使用 2、使用取证大师加载磁盘镜像“案例分析练习.E01”，并对该镜像进行分析。 要求寻找下列问题： 1)新建案例，命名为“计算机取证实验案例分析”，并填写调查人员姓名，添加设备镜像“案例分析练习.E01” 。 2)分析该案例中相关操作系统信息操作系统版本？ 3)系统安装时间？ 4)最后一次正常关机时间？ 5)嫌疑人登录Windows 的用户名为？ 6)网卡的IP 地址为？ 7)该对象曾在IE 浏览器输入哪些网址？ 8)该案例中Windows 最近运行记录包括哪些？ 9)该对象最近访问过哪些文档？ 10)在现场勘查中搜查到里对象的一个U 盘，设备名称为“SMI USB DISK USB Device”，请确认对象是否在该计算机中使用过，如果有，请找出其最后一次使用该设备的时间？ 11)通过取证分析，请确认对象是否删除过“201005210.jpg”图片，如果有请找出其具体的删除时间？ 12)该案例中网络映射的地址为？ 13)快速找出案例中被删除的jpg 和txt 文件数？ 14)该对象曾经使用了什么邮件客户端进行收发邮件？ 15)通过技术分析，可以得知对象计算机曾经用过哪些类型的反取证技术手段？ 16)分析出案例中对象恶意修改过扩展名的jpg 图片有几张？分别为？ 17)该案例镜像文件的md5 值为？ 18)该案例中文件“4.JPG”的md5 值为？

磁盘镜像加载工具

重获取图像是原始或篡改后的图像经过中间媒介的映射后再次拍摄获取的图像，一张高质量的重获取伪造图像很难通过人眼判别真伪。针对JPEG格式的重获取图像篡改操作，提出了一种重压缩块效应网格偏移的检测方法。重获取图像由于再获取过程会引入与原图不相关的背景信息，该图像进行多次压缩会产生块效应网格偏移，即重压缩产生的块效应网格会与原始的网格错匹配，利用图像的平均信息损失量进行块效应网格是否发生偏移来检测图像的原始性。实验表明，该方法比已有的重获取图像检测方法准确率更高，且平均检测时间更短。

内存取证神器Volatility的windows下可视化窗口版本

取证神器X-Ways最新完整版，免加密狗

计算机取证技术可以在案件发生以后，采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析，从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一，本文件包含各类取证工具及其简单使用与分析文档。

高速公路事件检测违章取证系统建设方案

《数据恢复与电子取证》课程综合实训指导书