小程的个人博客

使用工具美亚柏科取证大师试用版 案情：​ Eden有很多业余爱好，儿童色情、裸聊敲诈、制造炸弹、病毒木马、假币制造、线上拍卖平台欺诈。先有Eden电脑一台，找出相关证据。 准备将要用的镜像，导入取证大师中 比赛题目第一题：系统基本信息： ​ 1.操作系统版本号（xp sp1 5.1/xp sp2 5.2/xp sp3 5.1/xp sp2 5.2） 答案：5.1 ​ 2.系统所有者 答案：Administrator $ extcolor{red}{更正答案} $ ：Test ​ 3. 系统ID号 答案：产品ID ?= 系统ID ​ 4.系统安装时间 答案： 或者如下图标号1 ​ 5.最后一次登录时间 答案： ​ 6.最后一次正常关机时间 答案： 或如下图标号2 ​ 7. 系统时区设置 答案： ​ 8.系统IP地址 答案： ​ 9. MAC地址 答案： ​ 10.硬盘序列号 答案：4D36E972-E325-11CE-BFC1-08002BE10318 这是查看了很多硬件信息看 ...

1.已学习的两个思维模型 目前为止，我学习了两个思维模型，一个是机会成本，另一个是直觉思维 大概能够融会贯通，并且也尽力的用了起来。 在思考一个事情的时候，我开始学着先分析为什么会发生，她为什么这么做，如果是我，会考虑哪些因素，怎么样才能做到全面一点 如果是我要做一个事情，我也会先冷静下来，思考可能发生的事情以及应对方案，也会让自己多做有难度的事情（但是现在在家，没办法实现这一步） 因此更多的时间是在思考 2.行动前的全方位考虑和随机应变需要的智慧 这是我前几天看电视得到的领悟，也是对自己以前想法的改正。 以前的我，也知道全方位考虑，但是我一直以为所谓的全方位考虑，就是事事都要想周全，也就是会把准备工作时间拉的很长。看完那个电视，也就是实操以后，我发现我对之前学到的东西产生了误解。 全方位考虑这个观点是对的，但，就像我突然想到的“赚认知以内的钱”是一个道理，全方位考虑这个动作，应当是结合当下我们所了解和掌握的信息，比如人的性格和事情可能发生的变化，来做一些常识类的应对方案。而我错在想要把所有的情况都想全，这样就浪费了很多时间。而且，涉及到的人的性格，也只是需要做一个基础判断，没必要太深 ...

配置： 20% 债券型70% 股票型10% 现金/货币型/存银行 注： 根据市场行情进行调整比如政府要开始放水了，多配置一些股票型 具体实现： 1.基金经理：个人经验、业绩、业务量 一般：研究员 -> 基金经理助理 -> 基金经理 注意当投资经理的年限8-10年的经理最好，牛熊都经历过 投资风格 2.历史收益率2、3、5年表现为同类基金前1/4近一年表现为1/4近6个月表现为1/3近3个月表现为1/3 3.绝对收益率（基准，对应指数，比如标普500）、最大回撤（最低点与最高点） 4.业务量（体量） 5.基金公司AUM，管理规模。。。。 比如： 我的具体配置：（暂略） 1. 20% 债券型 我选择的是可转债 前海开源可转债债券 鹏华可转债债券A 汇添富可转换债券A 但前海开源的基金公司规模只有1300多亿 2. 70% 股票型 主要看消费、医疗、新能源 新能源：信澳新能源产业股票(001410)、汇丰晋信智造先锋股票A(001643) 医疗：工银前沿医疗股票A(001717)、招商国证生物医药指数(LOF)A(161726)、中欧医疗健康混合A(003095) ...

服务器取证溯源Windows 系统排查1.系统日志检查 Windows事件查看器 工具： LogonTracer：恶意登录日志工具 2.自启动检查 在注册表中将自启动文件导出:reg export HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run c:\autorun.reg 3.环境变量检查 4.注册表检查 5.系统服务项检查 修改服务路径，实现权限维持 6.计划任务检查 方法一：程序➜附件➜系统工具➜任务计划程序方法二：导出任务计划:schtasks /query /fo LIST /v > c:\schtasks.txt 7.系统账户检查 • 方法一：（可看到隐藏用户） • 运行➜compmgmt.msc➜本地用户和组• 方法二：（看不到隐藏用户） • net user 列出系统用户（注： 用户名以$结尾的是隐藏用户） • net user (username)查看该用户的详细信息 • net localgroup administrators查看 ...

有test 维度 什么是加壳再二进制的程序中植入一段代码，在运行时优先获得程序的控制权，做一些额外的工作。 DEX文件格式DEX文件他是Android系统的可执行文件，包含应用程序的全部操作指令以及运行时数据 由于dalvik是一种针对嵌入式设备而特殊设计的java虚拟机，所以dex文件与标准的class文件在结构设计上有着本质的区别 当java程序编译成class后，还需要使用dx工具将所有的class文件整合到一个dex文件，目的是其中各个类能够共享数据，在一定程度上降低了冗余，同时也是文件结构更加经凑，实验表明，dex文件是传统jar文件大小的50%左右 dex文件结构 文件整体结构说明： 数据名称 解释 dex_header dex文件头部记录整个dex文件的相关属性 string_table 字符串数据索引，记录了每个字符串在数据区的偏移量 type_table 类似数据索引，记录了每个类型的字符串索引 proto_table 原型数据索引，记录了方法声明的字符串，返回类型字符串，参数列表 field_table 字段数据索引，记录了所属类，类型以 ...

hookhook在Android的应用框架层分为：JAVA层和Native层 常见实现方式为： 框架层次 Hook手段 Java层 动态代理，代码、字节码织入（AspectJ、ASM等） Native层 GOT/PLT Hook，Trap Hook，Inline Hook 其中Native层的三种hook手段在应用范围、实现难度、性能等维度上有以下区别： 比较维度 GOT/PLT Hook Trap Hook Inline Hook 实现原理 修改延时绑定表 SIGTRAP断点信号 运行时指令替换 粒度 方法级 指令级 指令级 作用域 窄 广 广 性能 高 低 高 难度 中 中 极高 在实际环境中应用较多的是GOT/PLT Hook，这种方法知识在ELF动态链接的默认流程上稍作修改，入侵性低，但能保证性能，可以方便的对so库进行hook，缺点是只能作用于绑定表中存在的方法，作用域有一定限制。 Inline hook是终极hook手段，通过直接修改运行时内存的方式替换指令，完全手工的完成hook及跳回操作，理论上可以实现任意位置的hoo ...

深入理解类加载器和动态加载二者之间的关系和原理 类加载器JVM的双亲委派双亲委派模型 从 Java 虚拟机角度讲，只存在两种类加载器： 一种是启动类加载器（C++ 实现，是虚拟机的一部分）； 另一种是其他所有类的加载器（Java 实现，独立于虚拟机外部且全继承自 java.lang.ClassLoader） 启动类加载器 加载 lib 下或被 -Xbootclasspath 路径下的类 扩展类加载器 加载 lib/ext 或者被 java.ext.dirs 系统变量所指定的路径下的类 引用程序类加载器 ClassLoader负责，加载用户路径上所指定的类库。 除顶层启动类加载器之外，其他都有自己的父类加载器。 工作过程：如果一个类加载器收到一个类加载的请求，它首先不会自己加载，而是把这个请求委派给父类加载器。只有父类无法完成时子类才会尝试加载。 具体代码实现： 1234567891011121314151617181920212223242526protected Class<?> loadClass(String name, boolean resolve) ...

SmaliSmali是Android虚拟机的反汇编语言。在安卓逆向中是非常重要的，就类似于汇编语言。 推荐一个AS的插件，java2smali,可以将java代码转换为smali,可以让人更好的实践理解smali。 java 类型 smail 描述符 boolean Z byte B short S char C int I long J float F double D void V 数组 L 对象 [../../ Smali方法返回关键字和其后面可以跟的数据类型 return byte return short return int return char return boolean return float return-wide double return-wide long re ...

手机备份手机取证注意点：屏蔽信号 不要立即关机 保持电量充足 不要胡乱测试导致屏幕密码锁住 注意屏幕的提示 不可轻易更改手机中的硬件设备、软件设置、设置项 苹果手机IOS系统提取方法：提权提取：通过临时提权方式，免越狱对文件系统作全盘逻辑镜像进行数据提取。 备份提取：通过备份方式对IOS设备进行数据提取。 快速提取：通过临时提权方式，免越狱对选择的单项或者多项进行数据快速提取。 备份密码提取：通过临时提权方式，免越狱直接提取备份密码。 lOS提权全盘逻辑镜像比备份多了什么 系统应用/第三方应用不允许备份的目录(缓存目录/临时目录等)·自带浏览器缓存页面。已阅读的邮件内容及附件. Twitter等类似的应用(因为登陆后数据文件可以重新生成) 系统日志数据 数据库WAL文件·可能恢复删除的记录 系统记录的地理位置信息 应用程序本身·添加了外挂功能的微信等 使用了ThisDeviceOnly属性的Keychain内容·例如苹果很多核心的账号/密码/Token等数据 应用最后一屏的截图 文件系统新增/修改/删除的记录 iTunes备份：备份文件在电脑中的存储路径: C:\Users\Admi ...

说实话，最开始才读这本书的时候，我被震惊了，而且随着读到后边，我几乎不敢相信这里面发生的事情是真的，但是我还是相信是真的。要不是我读完查了一下网上的评价，我可能就像个傻子一样到处吹牛了。 索性还好，这本书是小说，里面的东西不全是事实。但是我认为，国际银行家们，确实是不在意国界的，但他们看重家庭。一切利益至上，这也是我赞成的观点，但总会留一个自己爱的人在心里。 而对于银行家们的智慧，我是真的佩服，不同于从小听的爱因斯坦、霍金等，这本书的一些事件，我相信是真的存在的，只是不被披露。因此，银行家们的智慧，是我十分向往的。虽然把世人耍得团团转，但本就该有绿叶衬托，有何不可呢。 对于中国的未来，我从来的未来，我从来都是自信的。就像我从来不敢开始怀疑我的做事能力。