Windows操作系统注册表检验

对于计算机取证人员来说,知道如何从注册表中浏览特定信息是一项非常有用的技能。本文将介绍如何发现相关信息。注册表是Windows操作系统的核心。它实质上是一个庞大的数据库,存放有计算机硬件和全部配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备说明以及各种网络状态信息和数据。     

Windows系统存储区DPAPI的解密技术研究

目的在电子数据取证过程中,数据的加解密经常是取证人员关注的重点。数据保护接口(DPAPI)作为Windows系统提供的数据保护接口被广泛使用,目前主要用于保护加密的数据。其特性主要表现在加密和解密必须在同一台计算机上操作,密钥的生成、使用和管理由Windows系统内部完成,如果更换计算机则无法解开DPAPI加密数据。通过对DPAPI加密机制的分析,以达到对Windows系统存储区的DPAPI加密数据进行离线解密的目的。方法通过深入研究分析Windows XP、Windows 7、Windows 10等多款操作系统的DPAPI加密流程和解密流程,确定系统存储区数据离线解密主要依赖于系统的注册表文件和主密钥文件。结果利用还原后的解密流程和算法,以及系统的注册表文件和主密钥文件,可以正常解开DPAPI加密数据。结论该方法可达到对Windows系统存储区的DPAPI加密数据进行离线解密的目的。     

欧委会vs．微软反垄断案：一个败笔还是新里程碑

欧盟委员会(欧委会)于2004年3月就微软公司垄断一案作出决定,认定其违反欧盟法反垄断条款,包括拒绝向竞争厂商提供Windows操作系统和网络服务器之间的界面兼容信息,以及将MediaPlayer与Windows操作系统(下称Windows OS)捆绑销售。据此责令微软向竞争厂家公布特定界面兼容信息,同时推出包含和不包含Media Player的两款Windows OS供市场选择,并支付近5亿欧元的罚款。     

Win2000系统的安全配置

安全是一个广泛的概念,它涉及到许多不同的区域(包括物理安全、网络边缘、内部网络、系统平台、应用程序、数据等),每个区域都有其相关的风险、威胁及解决方法。目前,山东省检察系统专线网建设已接近尾声,各项网络应用将大规模展开,随着信息化建设的迅猛发展和数据量的不断增加,信息安全显得日益突出。山东省检察机关办公自动化系统基于Windows2000server的系统平台构建,客户端也全部采用Windows操作系统。笔者现就Windows2000和WindowsXp的安全配置简单谈一下自己的看法。Windows安全部署可以从以下几个方面考虑:1.系统更新注意更新自己…     

WINDOWS系统中常见的电子证据的提取

上个世纪90年代初期,个人计算机在国内开始大dows\recent\*.lnk,在windows98/me注册表中的位置是HKEY USERS\.Default\Software\Mi-crosoft\Windows\current-Version\explorer\Recent-Docs,Windows2k/nt/xp中注册表分支HKEYCURRENT USER\Software\Microsoft\Windows\Current-Version\Explorer\RecentDocs保存最近使用的15个(数目是可以修改的)文档的快捷方式,清除文档菜单时将被清空。Windows 2000/nt/xp的事件记录会时刻记录事刑事技术2006年第5期件活动情况。记录文件的位置在C:\Windows\SYS-TEM32\Config中。1·5运…     

巧用电脑鉴定手印

硬件设施及软件配置多媒体计算机(建议内存在256 MB RAM以上)、图像扫描仪、数码照相机、彩色打印机等。 Windows 2000、Windows XP等操作系统常用设备的驱动程序都已预先装入,基本上可以即插即用。Windows98操作系统, 需要对所接入的每一个硬件设备逐一安装驱动程序,然后才能使用。Adobe Photoshop图像处理软件。Office集成办公软件。检材与样本图像的导入建立专用文件夹在硬盘上新建文件夹,以该案名称命名,     

组策略在网络安全中的应用

组策略作为Windows操作系统自带的强大的设置管理工具,其基本原理是通过修改注册表中相应的配置项目来管理计算机。组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。本文主要介绍组策略的运行方式和设置方法,并从网络安全这个方面对组策略的实际应用进行了重点介绍。     

Windows系统中文件时间属性的变化及影响因素

目的分析Windows系统中不同因素对文件时间属性的影响,总结文件时间属性的变化规律。方法在FAT32和NTFS两种文件系统中,对文件和文件夹进行各种操作,记录其时间属性的变化情况,总结其规律并分析各种因素的影响。结果文件时间属性的更新与系统环境、操作方法、文件类型等因素有关,而且文件时间属性更新有特定的周期。结论Windows系统中文件时间属性的变化既有特定的规律,又受其它因素影响,在检验中应加以注意。     

Linux环境下利用i节点收集电子证据的方法

1引言所谓电子证据,是指以数字的形式保存在计算机存储器或外部存储介质中、能够证明案件真实情况的数据或信息。作为一种新的诉讼证据,电子证据的收集与获取过程必须保证合法、确实、充分,只有这样才能准确的认定案件事实,才能正确的使用法律追究犯罪嫌疑人的法律责任。所以,电子证据的收集与获取工作是计算机案件侦破过程中一个十分重要的环节。电子证据收集通常包括寻找文件系统中的所有相关数据,利用磁盘分析技术进行数据恢复,检查磁盘文件被增、删、改的痕迹等工作。在Windows系列操作系统中能够用于电子证据收集的系统工具与应用软件…     

电脑2000年问题的法律风险责任

计算机2000年问题,又称电脑“千年虫”、“Y2K”问题,是指在计算机软件、硬件系统中以及使用了数字化程序控制芯片的各种应用程序中,由于只采用了两位十进制数记录年份的最后两位,因此当时间跨入2000年时,计算机计时系统会将2000年错误地解释为1900年的问题。这一问题会造成计算机系统工作紊乱,给以年份日期进行计算的系统带来破坏,影响计算机的正常运行,并引发经济、军事、     

Windows Phone 7智能手机的取证

作为新兴的智能手机,Windows Phone手机呈稳步发展趋势,并越来越受到人们的关注.在介绍了WindowsPhone 7手机的系统架构和安全模型后,就取证遇到的问题详细地描述了取证方式,探讨了如何对Windows Phone 7智能手机进行取证.通过使用原生级方法和Windows Phone SDK访问Window Phone 7内核和其他数据来获得手机的有价值信息,同时通过一系列工具来分析手机上的文件.结果表明,能够从Windows Phone 7手机中有效寻找到短信、电子邮件、社交活动等证据资料.     

世界知名软件产品简介

DOS：DiskOperatingSystem，磁盘操作系统。提到DOS，只要稍有电脑知识的人对它都会有所了解。DOS的主要功能是管理电脑的硬件和软件资源，方便用户对电脑进行操作。使用DOS操作电脑，需要用户记住大量命令及其正确格式，比较难学。Windows（微软视窗操作系统）的出现，标志着DOS时代的结束，图形操作电脑时代的到来。Windows：在一般英文字典中查到Windows的意思为“窗户”。Window指微软公司（Microsoft）著名的新一代电脑主流“视窗操作系统”。它通过一些图形图标（Icon）、窗口（Window）和菜单（Menu）等的选择来实现对计…     

Windows操作系统环境下的在线调查

在计算机犯罪现场勘查过程中,如发现现场中主机处于开机状态,除极特殊情况(如系统正在删除文件、格式化、系统自毁等)须立即拔掉电源线外,在关闭主机前一般都要进行在线调查操作。在线调查的主要目的是获取那些关机或重新启动系统后就立即消失的数据,一般指系统时间/日期、当前登录用户、当前运行进程、套接字列表及相应监听程序等信息。正确执行在线调查操作通常需要有以下方面的保证:可信且完善的工具、规范的操作步骤以及数据签名。下文将从工具盘创建、具体步骤以及注意事项等方面详细说明Windows系统环境下的在线调查。1 Windows操作…     

谷歌机器人:现实与科幻的边界

谷歌的移动设备操作系统安卓的绿色小机器人已经占据了移动端各种屏幕.谷歌前设计师伊丽娜·勃洛克在201 3年接受采访时说,谷歌让她为移动操作系统设计一个标识,并且告诉她,要“包含机器人的要素”. 为何一定要包含一个“机器人的要素”不得而知,这可能跟谷歌作为互联网公司所特有的“高科技气质”有关. 不过谷歌显然对“机器人”非常感兴趣.2013年底,谷歌一举收购了8家机器人公司,顿时吸引了业界的瞩目.最近一个月,谷歌又有两件与机器人有关的授权专利引发热议.每个专利都向人们栩栩如生地展示了如何将科幻电影变成现实.     

“行动办案系统“使用初探

“行动办案系统”主要由数码相机、笔记本电脑、打印机、投影仪等硬件设备和名捕刑侦用计算机痕检/文检图像处理系统等软件组成.建立起“行动办案系统”后,就如同把侦破指挥部搬到了现场,可以将现场痕迹和物证用数码相机拍摄后,经笔记本电脑处理,进行现场打印或有线、无线的远程传输、比对.同时还可以利用网络信息,及时了解、查询案件资料,即使是在没有固定电话的野外,也可以通过手机卡拨号上网,收集资料.     

数据加密原理分析及解密工具开发在一起案件中的应用

由于违法犯罪嫌疑人反侦查意识的增强,涉案的TF卡、U盘等存储介质内往往含有加密文件。在这些加密数据中往往包含着对侦查、起诉更有价值的信息。在这种情况下,对其中的数据进行解密成为数据能否成功提取的关键。本文针对一起涉及邪教案件中的加密解密原理进行研究,详细分析了基于异或运算的加密原理、解密原理及其方法,从而根据原理设计可以快速获取密钥的解密软件。在本案中,检验人员从检材中提取出加密程序,进行加密实验,通过对比加密前和加密后的数据,分析加密原理,研究解密方法。为了提高解密效率,检验人员通过C#语言开发Windows窗体应用程序,设计出了解密工具TFCrack。通过TFCrack可以方便快速获取密码,通过获取的密码可以快速解析出隐藏的数据。     

应用程序界面(API)的版权侵权问题研究——兼评甲骨文诉谷歌Java版权案

计算机应用程序界面(API)是指软件与其他系统的交接部分,在计算机系统的兼容互联中起到了重要作用.复杂的应用程序界面代码本身属于具有独创性的表达,但大部分应用程序界面代码是由界面编程规则、标准、功能需求等因素来决定的常规表达或者有限表达,根据混同原则、场景原则在一般情况下应用程序界面代码不受著作权法保护.特殊情况下应用程序界面代码受著作权法保护,但以软件兼容为目的使用应用程序界面信息属于合理使用,不构成著作权侵权.     

现场指纹比对中细节特征的运用

在指纹自动识别系统中,指纹的数据文件由指纹原图文件和指纹特征点文件组成,而参与比对的只有特征点文件。特征点文件包含指纹的纹型、指位、中心点、中心半径、中心角度、细节特征、稀疏特征区域等项信息内容。在实际应用过程中,重点在反映指纹特点的基本信息上。     

一种嵌入式可信安全中间件

针对当前可信终端系统的建立面临的许多严重的安全问题,如缺乏足够的透明性和可扩展性;无法适应海量并发用户、高吞吐量要求;难以保证系统的协同性和可移植性。本文在分析可信中间件的整体架构基础之上,结合可信计算技术和中间件技术,设计了一种嵌入式可信安全中间件,从用户、硬件操作系统、中间件、应用程序软件到网络服务创建了一条完整的信任链。在信任传递机制的作用下,安全性能得到了整体提升。     

计算机犯罪案件的取证

计算机犯罪案件的现场勘验信息现场勘验所需的主要工具硬件工具笔记本电脑或移动PC、移动硬盘、优盘、打印机、光盘刻录机、USB连接线、其他必要的通信传输电缆, 以及机器的拆卸工具。软件工具包括用于分析被勘验系统的运行情况、信息资料的完整情况等的操作系统软件、工具软件和应用软件,比如:killsvr(键盘杀手配置查看器,用于查看是否被人安装了键