3-5 Investigating Windows Systems-2

2022 iThome 鐵人賽

Security

14th鐵人賽

767 瀏覽

實作

到Velociraptor搜尋主機，點ntfs後要再點一下資料夾那個按鈕才會收集資料夾路徑

在Client主機上下 dir /a
只看的到Recycle.Bin 這個檔案

在$Recycle.Bin中找到已經被丟到資源回收桶后又刪除的檔案
Properties部分保留的fn_btime及mtime，甚至是檔案的MD5

刪除後的檔案名稱會被更改，從HexView中找回原本名稱

系列文

none 共 36 篇

5 人訂閱

完整目錄

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22198 篇

完賽人數

602 人

IT邦幫忙