取证

本文主要介绍Powershell取证技术,如何从内存中恢复已经执行过的Powershell脚本。
作为应急响应和风险评估任务的一部分,FireEye顾问在对计算机网络进行取证分析时经常使用Windows注册表数据。这对于发现恶意活动和确定哪些数据可能被窃取很有帮助。
本文章将深入讲解Bitlocker的加密机制,并提供实战的思路供读者操作,基于的是windows7下未全盘加密的NTFS文件系统。