一般都是在網(wǎng)頁上寫一段javascript腳本,校驗上傳文件的后綴名,有白名單形式也有黑名單形式。
查看源代碼可以看到有如下代碼對上傳文件類型進行了限制:
<script type="text/javascript"> function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("請選擇要上傳的文件!");
return false;
}
//定義允許上傳的文件類型
var allow_ext = ".jpg|.png|.gif";
//提取上傳文件的類型
var ext_name = file.substring(file.lastIndexOf("."));
//判斷上傳文件類型是否允許上傳
if (allow_ext.indexOf(ext_name) == -1) {
var errMsg = "該文件不允許上傳,請上傳" + allow_ext + "類型的文件,當前文件類型為:" + ext_name;
alert(errMsg);
return false;
}
} </script>我們可以看到對上傳文件類型進行了限制。
或者可以不加載所有js,還可以將html源碼copy一份到本地,然后對相應代碼進行修改,本地提交即可。
即可上傳成功:
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//刪除文件名末尾的點
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //轉(zhuǎn)換為小寫
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上傳出錯!';
}
} else {
$msg = '不允許上傳.asp,.aspx,.php,.jsp后綴文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夾不存在,請手工創(chuàng)建!';
}這里做了黑名單處理,我們可以通過特殊可解析后綴進行繞過。
之前在https://www.jianshu.com/p/1ccbab572974中總結(jié)過,這里不再贅述,可以使用php3,phtml等繞過。
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//刪除文件名末尾的點
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //轉(zhuǎn)換為小寫
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上傳出錯!';
}
} else {
$msg = '此文件不允許上傳!';
}
} else {
$msg = UPLOAD_PATH . '文件夾不存在,請手工創(chuàng)建!';
}
}
?>我們發(fā)現(xiàn)黑名單限制了很多后綴名,但是沒有限制.htaccess
.htaccess文件是Apache服務器中的一個配置文件,它負責相關目錄下的網(wǎng)頁配置.通過htaccess文件,可以實現(xiàn):網(wǎng)頁301重定向、自定義404頁面、改變文件擴展名、允許/阻止特定的用戶或者目錄的訪問、禁止目錄列表、配置默認文檔等功能。
我們需要上傳一個.htaccess文件,內(nèi)容為:
SetHandler application/x-httpd-php
這樣所有的文件都會解析為php,接下來上傳圖片馬即可
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//刪除文件名末尾的點
$file_ext = strrchr($file_name, '.');
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上傳出錯!';
}
} else {
$msg = '此文件類型不允許上傳!';
}
} else {
$msg = UPLOAD_PATH . '文件夾不存在,請手工創(chuàng)建!';
}
}我們發(fā)現(xiàn)對.htaccess也進行了檢測,但是沒有對大小寫進行統(tǒng)一。
后綴名改為PHP即可
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = $_FILES['upload_file']['name'];
$file_name = deldot($file_name);//刪除文件名末尾的點
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //轉(zhuǎn)換為小寫
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上傳出錯!';
}
} else {
$msg = '此文件不允許上傳';
}
} else {
$msg = UPLOAD_PATH . '文件夾不存在,請手工創(chuàng)建!';
}黑名單沒有對文件中的空格進行處理,可在后綴名中加空格繞過。
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //轉(zhuǎn)換為小寫
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上傳出錯!';
}
} else {
$msg = '此文件類型不允許上傳!';
}
} else {
$msg = UPLOAD_PATH . '文件夾不存在,請手工創(chuàng)建!';
}windows會對文件中的點進行自動去除,所以可以在文件末尾加點繞過,不再贅述
同windows特性,可在后綴名中加” ::$DATA”繞過,不再贅述
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//刪除文件名末尾的點
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //轉(zhuǎn)換為小寫
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上傳出錯!';
}
} else {
$msg = '此文件類型不允許上傳!';
}
} else {
$msg = UPLOAD_PATH . '文件夾不存在,請手工創(chuàng)建!';
}
}這里對文件名進行了處理,刪除了文件名末尾的點,并且把處理過的文件名拼接到路徑中。
這里我們可以構造文件名1.PHP. . (點+空格+點),經(jīng)過處理后,文件名變成1.PHP.,即可繞過。
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上傳出錯!';
}
} else {
$msg = UPLOAD_PATH . '文件夾不存在,請手工創(chuàng)建!';
}
}這里我們可以看到將文件名替換為空,我們可以采用雙寫繞過:1.pphphp
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'];
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上傳出錯!';
}
} else {
$msg = '文件類型不正確,請重新上傳!';
}
} else {
$msg = UPLOAD_PATH.'文件夾不存在,請手工創(chuàng)建!';
}這里檢查Content-type,我們burp抓包修改即可繞過:
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = '上傳出錯!';
}
} else{
$msg = "只允許上傳.jpg|.png|.gif類型文件!";
}
}$img_path直接拼接,因此可以利用%00截斷繞過
然后直接訪問/upload/1.php即可
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上傳失敗";
}
} else {
$msg = "只允許上傳.jpg|.png|.gif類型文件!";
}
}
?>save_path是通過post傳進來的,還是利用00截斷,但這次需要在二進制中進行修改,因為post不會像get對%00進行自動解碼。
接下來訪問1.php即可
主要是檢測文件內(nèi)容開始處的文件幻數(shù),比如圖片類型的文件幻數(shù)如下,
要繞過jpg 文件幻數(shù)檢測就要在文件開頭寫上下圖的值:
Value = FF D8 FF E0 00 10 4A 46 49 46
要繞過gif 文件幻數(shù)檢測就要在文件開頭寫上下圖的值
Value = 47 49 46 38 39 61
要繞過png 文件幻數(shù)檢測就要在文件開頭寫上下面的值
Value = 89 50 4E 47
然后在文件幻數(shù)后面加上自己的一句話木馬代碼就行了
圖像文件相關信息檢測常用的就是getimagesize()函數(shù)
只需要把文件頭部分偽造好就ok 了,就是在幻數(shù)的基礎上還加了一些文件信息
有點像下面的結(jié)構
GIF89a
(...some binary data for image...)
<?php phpinfo(); ?>
(... skipping the rest of binary data ...)
本次環(huán)境中的文件頭檢測,getimagesize,php_exif都可以用圖片馬繞過:
copy normal.jpg /b + shell.php /a webshell.jpg
一般是調(diào)用API 或函數(shù)去進行文件加載測試,常見的是圖像渲染測試,甚至是進行二次渲染(過濾效果幾乎最強)。對渲染/加載測試的攻擊方式是代碼注入繞過,對二次渲染的攻擊方式是攻擊文件加載器自身。
可以用圖像處理軟件對一張圖片進行代碼注入
用winhex 看數(shù)據(jù)可以分析出這類工具的原理是
在不破壞文件本身的渲染情況下找一個空白區(qū)進行填充代碼,一般會是圖片的注釋區(qū)
對于渲染測試基本上都能繞過,畢竟本身的文件結(jié)構是完整的
imagecreatefromjpeg二次渲染它相當于是把原本屬于圖像數(shù)據(jù)的部分抓了出來,再用自己的API 或函數(shù)進行重新渲染在這個過程中非圖像數(shù)據(jù)的部分直接就隔離開了
if (isset($_POST['submit'])){
// 獲得上傳文件的基本信息,文件名,類型,大小,臨時文件路徑
$filename = $_FILES['upload_file']['name'];
$filetype = $_FILES['upload_file']['type'];
$tmpname = $_FILES['upload_file']['tmp_name'];
$target_path=UPLOAD_PATH.basename($filename);
// 獲得上傳文件的擴展名
$fileext= substr(strrchr($filename,"."),1);
//判斷文件后綴與類型,合法才進行上傳操作
if(($fileext == "jpg") && ($filetype=="image/jpeg")){
if(move_uploaded_file($tmpname,$target_path))
{
//使用上傳的圖片生成新的圖片
$im = imagecreatefromjpeg($target_path);
if($im == false){
$msg = "該文件不是jpg格式的圖片!";
@unlink($target_path);
}else{
//給新圖片指定文件名
srand(time());
$newfilename = strval(rand()).".jpg";
$newimagepath = UPLOAD_PATH.$newfilename;
imagejpeg($im,$newimagepath);
//顯示二次渲染后的圖片(使用用戶上傳圖片生成的新圖片)
$img_path = UPLOAD_PATH.$newfilename;
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上傳出錯!";
}
}else if(($fileext == "png") && ($filetype=="image/png")){
if(move_uploaded_file($tmpname,$target_path))
{
//使用上傳的圖片生成新的圖片
$im = imagecreatefrompng($target_path);
if($im == false){
$msg = "該文件不是png格式的圖片!";
@unlink($target_path);
}else{
//給新圖片指定文件名
srand(time());
$newfilename = strval(rand()).".png";
$newimagepath = UPLOAD_PATH.$newfilename;
imagepng($im,$newimagepath);
//顯示二次渲染后的圖片(使用用戶上傳圖片生成的新圖片)
$img_path = UPLOAD_PATH.$newfilename;
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上傳出錯!";
}
}else if(($fileext == "gif") && ($filetype=="image/gif")){
if(move_uploaded_file($tmpname,$target_path))
{
//使用上傳的圖片生成新的圖片
$im = imagecreatefromgif($target_path);
if($im == false){
$msg = "該文件不是gif格式的圖片!";
@unlink($target_path);
}else{
//給新圖片指定文件名
srand(time());
$newfilename = strval(rand()).".gif";
$newimagepath = UPLOAD_PATH.$newfilename;
imagegif($im,$newimagepath);
//顯示二次渲染后的圖片(使用用戶上傳圖片生成的新圖片)
$img_path = UPLOAD_PATH.$newfilename;
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上傳出錯!";
}
}else{
$msg = "只允許上傳后綴為.jpg|.png|.gif的圖片文件!";
}
}本關綜合判斷了后綴名、content-type,以及利用imagecreatefromgif判斷是否為gif圖片,最后再做了一次二次渲染。
得去找圖片經(jīng)過GD庫轉(zhuǎn)化后沒有改變的部分,再將未改變的部分修改為相應的php代碼。
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_name = $_FILES['upload_file']['name'];
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_ext = substr($file_name,strrpos($file_name,".")+1);
$upload_file = UPLOAD_PATH . '/' . $file_name;
if(move_uploaded_file($temp_file, $upload_file)){
if(in_array($file_ext,$ext_arr)){
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
rename($upload_file, $img_path);
$is_upload = true;
}else{
$msg = "只允許上傳.jpg|.png|.gif類型文件!";
unlink($upload_file);
}
}else{
$msg = '上傳出錯!';
}
}這里先將文件上傳到服務器,然后通過rename修改名稱,再通過unlink刪除文件,因此可以通過條件競爭的方式在unlink之前,訪問webshell。
然后不斷訪問webshell:
上傳成功。
參考鏈接:
2人點贊
知識歸納
題 記
人們愛講天有“七星”“七宿”
人有“七情”: 喜怒憂思悲恐驚
色彩有“七色”
音樂有“七音”
詩歌有七言、七絕、七律詩
人有“七竅”
佛塔有七層
天上七仙女
世間有七珍
(金、銀、琉璃、碎磲、瑪瑙、琥珀、珊瑚)
源妹也是對7這個數(shù)字情有獨鐘,因為
源妹是第177個入職效率源喜歡健身的單身迷情小編
進入效率源后的這些年,體重穩(wěn)穩(wěn)的漲了7斤
最近小伙伴們又陸續(xù)給源妹介紹了7個優(yōu)質(zhì)單身男
然鵝,一心沉迷工作的源妹心里只有工作
這個七夕,源妹要以獨有的方式
向大家告白
15款取證工具集錦來襲
NO1:winhex
winhex 是一款通用的以16進制編輯器為核心,專門用來對付計算機取證、數(shù)據(jù)恢復、低級數(shù)據(jù)處理、檢查和修復各種文件、恢復刪除文件、硬盤損壞、數(shù)碼相機卡損壞造成的數(shù)據(jù)丟失等。總體來說是一款非常不錯的16進制編輯器。
上榜理由:winhex 是 X-Ways公司開發(fā)的,在全球擁有超過35000名注冊用戶,包括家庭計算機愛好者以及各類企業(yè)、公共管理、教育、美國聯(lián)邦執(zhí)法部門、政府和情報機構以及軍隊的專業(yè)人士(數(shù)據(jù)來源:X-Ways官方網(wǎng)站)。獲得ZDNetSoftwareLibrary 五星級最高評價。
NO2:R-Studio
R-Studio是功能超強的數(shù)據(jù)恢復、反刪除工具,采用全新恢復技術,為使FAT12/16/32、NTFS、NTFS5(Windows 2000系統(tǒng))和 Ext2FS(Linux系統(tǒng))分區(qū)的磁盤提供完整數(shù)據(jù)維護解決方案!同時提供對本地和網(wǎng)絡磁盤的支持,此外大量參數(shù)設置讓高級用戶獲得最佳恢復效果。
上榜理由:可支持重多平臺,windows,Linux,Mac都能用,非常好用。
NO3:webshell檢測工具
WebShellkiller作為一款web后門專殺工具,不僅支持webshell的掃描,同時還支持暗鏈的掃描。這是一款融合了多重檢測引擎的查殺工具。在傳統(tǒng)正則匹配的基礎上,采用模擬執(zhí)行、參數(shù)動態(tài)分析監(jiān)測技術、webshell語義分析技術、暗鏈隱藏特征分析技術,并根據(jù)webshell的行為模式構建了基于機器學習的智能檢測模型。傳統(tǒng)技術與人工智能技術相結(jié)合、靜態(tài)掃描和動態(tài)分析相結(jié)合,更精準地檢測出WEB網(wǎng)站已知和未知的后門文件。
上榜理由:“世界上沒有絕對安全的系統(tǒng)”,不論你對自己敲出的代碼或者網(wǎng)站的安全性有多么拍胸脯的把握,你都不得不認同這至理名言。而這款軟件可以協(xié)助我們進行取證素材收集與預測——講述已發(fā)生、正在發(fā)生的、將來會發(fā)生的攻擊事件。
NO4:clipbrd剪切板查看工具
當您從某個程序剪切或復制信息時,該信息會被移動到剪貼板并保留在那里,直到您清除剪貼板或者您剪切或復制了另一信息。“剪切板查看工具”可以在任何需要的時候?qū)⑿畔募糍N板粘貼到文件中。但是,信息僅暫時存儲在剪貼板上。
上榜理由:現(xiàn)場勘驗輔助小工具之一。該工具可快速查看過往復制過的內(nèi)容,并對關鍵內(nèi)容進行證據(jù)固定。
NO5:DRS6800數(shù)據(jù)恢復系統(tǒng)
DRS6800數(shù)據(jù)恢復系統(tǒng)廣泛支持硬盤、U盤、存儲卡、陣列、鏡像文件的數(shù)據(jù)恢復系統(tǒng)。更能對無法正確讀取的故障硬盤進行診斷、修復與數(shù)據(jù)提取。是司法取證領域廣受推崇的數(shù)據(jù)恢復專家。尤其擅長故障硬盤數(shù)據(jù)恢復。是電子數(shù)據(jù)取證分析人員必備的數(shù)據(jù)恢復系統(tǒng)。
上榜理由:效率源榜首產(chǎn)品。明明可以靠顏值,非要靠實力。經(jīng)久不衰的口碑積累,名副其實的實力派選手,服務過眾多公檢法機構,是司法取證領域廣受推崇的數(shù)據(jù)恢復專家。
NO6:Registry Workshop注冊表分析工具
Registry Workshop 是一款高級的注冊表編輯工具,能夠完全替代 Windows 系統(tǒng)自帶的 RegEdit 注冊表編輯器。Registry Workshop 提供許多其他功能,提高注冊表編輯操作效率。能夠剪切、復制和粘貼注冊項和鍵值名,還可以進行撤銷和重做操作;能夠快速地查找和替換所需注冊項,鍵值名和字符串;允許編輯注冊表文件同系統(tǒng)自帶的注冊表編輯器一樣;并且提供容易使用和靈活的收藏夾功能 。
上榜理由:小身材,大功能。對注冊表關鍵文件的改動、增刪、操作變化一覽無余。
NO7:SPF9139智能手機數(shù)據(jù)恢復取證系統(tǒng)
SPF9139智能手機數(shù)據(jù)恢復取證系統(tǒng)是一款面向?qū)I(yè)司法取證領域的實驗室或其它固定環(huán)境而設計的高性能手機數(shù)據(jù)取證產(chǎn)品。集手機鏡像、數(shù)據(jù)提取、刪除恢復、數(shù)據(jù)篩選及報告導出為一身。并能在取證過程中智能發(fā)現(xiàn)檢材中的敏感信息。
上榜理由:世界上公認的第一部智能手機IBM Simon(西蒙個人通訊設備)誕生于1993年,它由IBM與BellSouth合作制造。從誕生到至今,短短的二十幾年,智能手機的普及率成倍的增長。中國近14億人口大約有9億人口都在使用使用智能手機,因此,在現(xiàn)階段的電子取證過程中,手機取證占比非常大,業(yè)務量非常多。手機取證廠商及產(chǎn)品也在飛速更新迭代。效率源SPF9139根據(jù)手機的情況,智能匹配相應的提取方式,面對不同技術背景的取證人員來說,更容易理解,更具有可操作性,提高了取證效率,無疑是一種更好的選擇。
NO8:截屏精靈
極簡且便攜的專業(yè)取證過程固定工具。(這里源妹要打個廣告啦,效率源截屏精靈將于9月初跟大家正式見面,期待期待喲!)效率源截屏精靈搭載在U盤上直接運行,避免在目標主機產(chǎn)生數(shù)據(jù),最大限度的保證目標主機的原始性。操作簡單、小巧便攜。是取證過程中不可或缺的固定工具。
上榜理由:就好比未來大眾電影百花獎、中國電影金雞獎、中國電影華表獎上榜新秀。2018年最具創(chuàng)造力、影響力、關注度的年度大片,票房預估超越‘一出好戲’的取證界得力的不可或缺的明日之星。
NO9:WinLogOnView計算機登錄日志查看工具
WinLogOnView是一個用戶界面友好的應用程序。軟件可顯示的數(shù)據(jù)如:登錄ID、用戶名、當前登錄的帳戶、域名和計算機名以及電腦的正常運行時間。
上榜理由:完全開源和免費使用。該款工具小巧、方便、便攜、實用。當您想瀏覽本地計算機或遠程計算機的詳細信息時,就派上用場了。簡單易用沒商量。
NO10:哈希值計算工具
這里推薦HashCalculator小工具。該款小巧而實用的文件哈希值計算工具,通過文件和字符串輸入來計算哈希值,然后可以選擇導出到文本文件。軟件已漢化,使用簡單方便。
上榜理由:又一款免費小工具良心推薦。不僅如此,在取證過程中,可以用來協(xié)助確定數(shù)據(jù)的唯一性!僅此一條,足矣。
NO11:WFS6910網(wǎng)站勘驗取證系統(tǒng)
WFS6910網(wǎng)站勘驗取證系統(tǒng)是市面上最快的網(wǎng)站勘驗產(chǎn)品。它基于windows平臺開發(fā)的網(wǎng)站遠勘系統(tǒng)。可以方便、高效的對所有網(wǎng)站進行遠程固定。WFS能對數(shù)據(jù)量大、內(nèi)容多、信息更新快的網(wǎng)站進行自動化處理,快速生成網(wǎng)頁快照。勘驗過程同步截屏錄像,勘驗完成后生成哈希檢驗與取證報告,復合司法規(guī)范。
上榜理由:效率源新品首發(fā),以固定網(wǎng)頁速度飛快而一炮走紅。走紅速度堪比最近很火的網(wǎng)絡大片'延禧攻略'。不僅如此,極簡且專業(yè)的操作流程真是人見人愛,花見花開。
NO12:DumpIt內(nèi)存鏡像工具
DumpIt 是一款綠色免安裝的 windows 內(nèi)存鏡像取證工具。利用它我們可以輕松地將一個系統(tǒng)的完整內(nèi)存鏡像下來,并用于后續(xù)的調(diào)查取證工作。
上榜理由:利用內(nèi)存鏡像工具可以還原電腦當時的運行狀態(tài),防止因為關機造成的內(nèi)存數(shù)據(jù)的丟失。
NO13:TrueCrypt密碼破解工具
TrueCrypt密碼找回工具是一款隱私加密TrueCrypt密碼找回工具,簡單,明了。傻瓜式操作,能夠快速上手。
上榜理由:對于一些采用TC加密的數(shù)據(jù),無法直接解密,就需要借助密碼破解工具嘗試暴力破解。為加密數(shù)據(jù)的破解提供了更多的可能性。
NO14:Everything文件快速查找工具
Everything文件快速查找工具就如同它的名稱一樣,能夠輕松快速的查找到您想要的文件,在很短的時間內(nèi)做出一個非常準確的搜索定位。
上榜理由:大大提高了目標文件查找效率。在這個時間就是生命、時間就是金錢的時代,高效率解決問題無疑是任何單位或個人共同的目標導向。更不用說是對辦案或者取證過程中分秒必爭的各個環(huán)節(jié)。
NO15:volatity內(nèi)存分析工具
能直接查看和修改進程內(nèi)存數(shù)據(jù)的軟件。可用在破解軟件,修改軟件數(shù)據(jù)之用;適合電腦老鳥使用,新手必須學習必要的基本知識后方可使用。
上榜理由:專業(yè)級免費工具推薦。可借助該工具有效分析內(nèi)存鏡像文件,解析出所有正在內(nèi)存中運行的進程、所有的載入模塊和DLL進程、所有正在運行的設備驅(qū)動程序、每個進程打開的所有文件、每個進程打開的所有注冊表的鍵值等等。是一款專業(yè)的免費的功能全面的不可多得的工具軟件。