圖片搜尋比對軟體-AntiDupl.NET

轉自電腦玩物

我很喜歡到網路上尋找電影、遊戲、風景或獨特設計的桌布圖片檔案，下載後可以當做收藏，也可以拿到桌面隨時替換，只是長期下載而疏於整理的情況下 （其實還真的很難每次看到好看的圖片時，就先去找找之前有沒有下載過XD），硬碟中累積了大量重複的圖片檔案而不自知。加上平常移動管理時，也可能不小心 在不同資料夾保存了重複圖檔。這時候，要如何快速找出這些重複的圖片呢？

最近在「[分享] AntiDupl.Net - 支援 Unicode 的重複圖片搜尋器」一文中看到了「AntiDupl.NET」這款優秀的小工具，AntiDupl.NET不是去比對檔案名稱、大小、日期或屬性資料，而是真的去掃描比對「圖像內容的相似程度」，幫你找出那些看起來很像的圖片，還能自動提供適當的刪除建議，然後你就可以快速把自己硬碟裡的重複圖片檔案清理乾淨。

類似的工具還有很知名的「VisiPics」，後面這款工具雖然很久沒更新了，不過在穩定度、速度與支援度上仍然很優秀（VisiPics甚至可以比對RAW檔），下次有機會再和讀者介紹推薦。

• AntiDupl.NET：http://antidupl.narod.ru/english/index.html
• AntiDupl.NET下載點：http://antidupl.narod.ru/english/download.html
• 
  
• Windows XP以上作業系統用戶，請下載「AntiDupl.NET」系列，目前最新版本為1.4.0.0（下載頁面下方的其它檔案看起來版本號比較高，但那是給舊版Windows使用的）
• Windows XP用戶需要先安裝.NET Framework 2.0
• 
  
• 支援比對JPEG, GIF, TIFF, BMP,PNG。
• 支援Unicode，可以比對日文、簡體中文檔名的圖檔。
• 
  
• 特別說明：AntiDupl.NET一般使用下搜尋比對速度很快，但是如果遭遇大量檔案比對時，有可能因為記憶體不足而出錯。我在擁有2GB記憶體的XP系統測試，比對一萬多張圖檔，全部圖檔大小約8GB，這時候就發生在搜尋結束後出錯的情況。

• 01.自動解壓免安裝

下 載AntiDupl.NET（XP以上用戶請下載AntiDupl.NET系列，目前最新版本為1.4.0.0），這是一個自動解壓縮檔案，執行後將 AntiDupl.NET解壓到任何資料夾，接著你可以隨意移動、攜帶。要使用時直接執行裡面的AntiDupl.NET.exe即可（Windows XP用戶需要先安裝.NET Framework 2.0）。

• 02.簡單易用的操作介面

軟體的操作非常簡單直覺，啟動AntiDupl.NET後，可以在左上方工具列看到三個按鈕，分別是「執行搜索比對（Start Search）」、「設定比對資料夾（Paths）」、「選項設定（Options）」。

• 03.設定需要比對的資料夾

首先我們要「設定比對資料夾（Paths）」，你要在這邊決定哪些資料夾要加入搜索，預設檢索值會包含在內的子資料夾。我們可以透過：

• 「Search」頁面加入要搜尋比對的資料夾。
• 「Ignore」設定要忽略的資料夾或檔案。
• 「Valid」可以設定「直接讀取」前次已經檢查並記錄過的資料夾結果（AntiDupl.NET會自動記錄檢查結果），這樣可以節省搜尋比對時間。
• 「Delete」頁面讓你添加「優先刪除的資料夾」，AntiDupl.NET在搜尋比對後會自動建議你應該刪除哪個重複檔案，而如果你在這邊優先設定要刪除的資料夾，那麼在該資料夾裡的重複圖檔就會優先被自動建議刪除。

另 外特別再說明一次的是，AntiDupl.NET目前支援比對JPEG, GIF, TIFF, BMP,PNG等圖檔，雖然沒有像VisiPics還可以比對RAW，但是VisiPics不支援Unicode，而AntiDupl.NET可以支援 Unicode，讓你（針對繁體用戶來說的話）比對日文、簡體中文檔名的圖檔。

• 04.等待產生搜尋結果

決定這次要搜尋比對的資料夾後，回到主介面按下〔Start Search〕，就可以開始搜尋了，依據你的檔案數量和大小可能需要等待一段時間（如果你是多核心的CPU處理器，AntiDupl.NET可以自動幫你開啟多線程的檢查，讓結果更快產生）。

• 05.利用預覽視窗刪除重複圖片

搜尋比對結束後，會自動返回AntiDupl.NET主介面，這時候你可以在右方欄位看到所有的搜尋結果，選擇某一項結果後，就可以在左方欄位看到兩張重複圖片的對比預覽圖。

如果你確認兩張圖片確實是重複圖檔，這時候你就可以透過左方欄位中的功能按鈕進行相關移除動作，按鈕的圖示很直覺，打叉表示要刪除那個欄位的圖片，所以這裡由左到右的功能分別是：

刪除上方圖片、刪除下方圖片、刪除兩張圖片、用上方圖片取代下方圖片、用下方圖片取代上方圖片、將這項結果標示為錯誤判斷

如果你將該項結果標示為錯誤判斷，這個動作會被記錄下來，以後你進行其它搜尋比對時就不會再把這兩張圖片視為重複。

• 06.利用結果清單大量刪除重複圖片

我們也可以在右方結果清單欄位中，選取大量圖片進行一次性的刪除、取代動作（按住〔Shift〕或〔Ctrl〕後，用滑鼠同時選取多項結果）。這裡的按鈕功能和前面相同，我就不重複解釋了。

值得注意的是，在結果清單中有幾個很有幫助的說明欄位：

• group：這個欄位會把重複圖片編組，例如找到的重複圖片可能不只兩張，而是有3張，這時候這3張圖片就會被分成2組，每組2張重複圖片，你可以透過group分組來處理超過2張的重複圖檔。
• Different：顯示這項結果中兩張圖片的差異程度，數值愈低表示差異愈少。
• Transformation：因為AntiDupl.NET可以比對旋轉過的圖片，而這項說明欄位可以告訴你這兩張圖片是否有不同的旋轉角度（綠色打勾表示兩圖方向相同，沒有旋轉過）。
• Recommendation：推薦動作，AntiDupl.NET會自動推薦你應該刪除哪一張圖檔比較好。你還可以點選上方工具列的〔Process selected results automatically〕，將選取項目全部依據建議動作刪除。

• 07.儲存這次的搜尋結果

透過前面的預覽視窗、結果清單，你應該可以很清楚直覺的把自己硬碟中的重複圖檔好好清理一番。而如果你這次掃描過後暫時沒有時間馬上執行清理（可能找到的圖片數量很多，一項一項檢查很花時間，你又不想利用自動推薦功能大量清理），你可以透過左上方的【Save results】將這次搜尋結果儲存起來，下次可以重新【Load】以進行後續動作。

• 08.設定AntiDupl.NET的比對強度

上面幾個步驟，大概就是AntiDupl.NET的基本操作流程，基本上這個軟體不需要設定就能夠符合大多數人的需求，所以最後我們才稍微看看設定裡有哪些可以調整的項目。首先，在〔Check〕頁面我們保留預設勾選的項目，其它項目的功能分別是：

• 「search rotated and mirror image dupls」：搜尋旋轉過的重複圖檔，可以讓你把方向不同但內容相同的圖片找出來。
• 「Control image size」：大小不同（解析度，例如1024*768和800*600）的圖片視為不同圖片，預設值是大小不同但內容相同的圖片也視為重複圖片。
• 「Control image type」：格式不同（例如jpg、png、bmp’、gif）的圖片視為不同圖片，，預設值是格式不同但內容相同的圖片也視為重複圖片。
• 「Threshold difference」：多少程度以內的不同內容將會被忽略，並視兩者為重複圖片。例如預設值5%，那麼兩張圖片只要不同處少於5%，就會被視為重複圖檔。

• 09.設定AntiDupl.NET的搜尋範圍

最後再設定〔Search〕項目，你可以決定要掃描哪些格式的圖檔，以及掃描時是否要包含子資料夾等等。

• 小結：

AntiDupl.NET是一款簡單易用、免費免安裝的重複圖片搜索器，幫你快速掃描硬碟中的相似圖片，找出重複圖檔後讓你方便的進行移除和管理。AntiDupl.NET支援BMP、GIF、JPG、PNG、TIF等常見圖片格式，並且是真正的去比對兩張圖片的「圖像內容」，即使兩張圖片大小不同、格式不同，但是只要圖像內容相同，AntiDupl.NET就可以幫你抓出來！對於用戶整理硬碟圖檔來說是個實用的小工具，推薦給讀者們試用看看。

IE 7密碼破解

一篇有關IE 7密碼破解的文章

下載


轉自北京天宇宁

即時通歷史紀錄測試樣本

包含
digsby
ICQ6 lite
ICQ6.5
Mail.ru Agent 5.3
Mail.ru Agent 5.5
QIP2005
qip infinum
Rambler Virtus
Sim
可以測試各鑑識工具的實用性~
載點


轉自北京天宇宁

BackTrack 破解administrator密碼實作

話說一位朋友最近剛換工作，配到哩一台的notebook，到了一個有windows網域的環境之中，權限為一般使用者(不能改IP，不能安裝軟體)，好不容易有一台notebook可以把玩，帶回家不能更改IP的設定那不就沒搞頭哩，於是只好求助於我囉~

雖然是處於網域環境之中，本機的administrator也受到管制，那要直接把administrator密碼改掉嗎(Windows ERD工具光碟)??當然是不能啊!!改密碼可不是說著玩的啊，人家既然會管制密碼，若發現密碼遭竄改，我想朋友工作應該不保吧，那就需求一個算出密碼的方法囉。

以下介紹大家工具BackTrack，當然這不是鼓勵大家去逃脫網管人員的限制，這裡是要提醒各位網管人趕快檢視自己管轄內的電腦，密碼是否簡單易懂易猜測，而且易於這個工具破解??機密資訊的洩漏小則失去工作，大則讓你做幾年牢都可以(自己猜想的)，雖然說網管做得一切都只能防君子，防不住小人，所以能做多少就做多少吧，當然資訊安全相關漏洞實在是太多。

我的LAB如下，大家可以簡單做個參閱

我先假設環境內我重新設定一組密碼為2@Z_easyLIFE

1.重新開機並選擇光碟開機(光碟就是BackTrack啦，下載後自己燒錄，遇到鎖BIOS的不適用


2.開機後畫面應該是如此

3.帳號root，密碼toor，趕快登入吧!!


4.來檢視一下本機硬碟是否有被掛載起來，若檔案系統是NTFS就會很明顯囉

很明顯看出來被掛載到/mnt/hda1

5.需求的檔案是硬碟內的/mnt/hda1/WINDOWS/system32下的config資料夾，比對成windows下的環境就是C:\WINDOWS\system32下的config資料夾，把此資料夾複製到/tmp下去作業，接著我也跟著滾進去


6.利用bkhive指令將system這個重要密碼檔解開成wawalab(自取)的檔案，出來甚麼東西不重要，反正這都試過程而已


7.利用指令samdump2的指令配上參數(SAM為config資料夾內的檔案，wawalab為上一步驟產生的)，產生我需求的wawakeyfile(自取)

訊息是說Guest和SUPPORT_388945a0沒有密碼

8.來看看wawakeyfile內的內容吧，我們需求的是administrator整行，要把他抄下來唷，只是有點長啦，若能用存檔的方式帶走比較方便(不介紹)，摳完之後就重開機吧!


9.趕快來上網囉，要去的網站是http://plain-text.info，進去之後點選AddHashes


10.把剛剛抄下的administrator漏漏等都貼到文字框內吧，之後選擇演算法為IM，以及輸入驗證碼，之後就按下send囉

送出後就會如下


11.之後大家就可以看到剛剛丟出去的正在破解囉，ID59803正在cracking，要算多久我也不太確定，我之後還有測一組ID59806到現在都還沒算出來，反正一段時間後回來利用Search來去搜尋結果如何哩


12.Search就是再把administrator漏漏等貼到Hash欄位去搜，然後點選Search


13.Bingo~看到密碼囉，真的不知道該說朋友爽到哩，還是說網管頭大哩!!

大家可以去網站上驗證ID59803唷~我絕對不是造假唷!!



轉自綠色工廠

SID詳解

SID 也就是安全標識符（Security Identifiers），是標識用戶、組和計算機帳戶的唯一的號碼。在第一次創建該帳戶時，將給網絡上的每一個帳戶發佈一個唯一的 SID。Windows 2000 中的內部進程將引用帳戶的 SID 而不是帳戶的用戶或組名。如果創建帳戶，再刪除帳戶，然後使用相同的用戶名創建另一個帳戶，則新帳戶將不具有授權給前一個帳戶的權力或權限，原因是該帳戶 具有不同的 SID 號。安全標識符也被稱為安全 ID 或 SID。

SID的作用
用戶通過驗證後，登陸進程會給用戶一個 訪問令牌，該令牌相當於用戶訪問系統資源的票證，當用戶試圖訪問系統資源時，將訪問令牌提供給 Windows NT，然後 Windows NT 檢查用戶試圖訪問對像上的訪問控制列表。如果用戶被允許訪問該對象，Windows NT將會分配給用戶適當的訪問權限。
訪問令牌是用戶在通過驗證的時候有登陸進程所提供的，所以改變用戶的權限需要註銷後重新登陸，重新獲取訪問令牌。

SID號碼的組成
如果存在兩個同樣SID的用戶，這兩個帳戶將被鑒別為同一個帳戶，原理上如果帳戶無限制增加的時候，會產生同樣的SID，在通常的情況下SID是唯一的，他由計算機名、當前時間、當前用戶態線程的CPU耗費時間的總和三個參數決定以保證它的唯一性。

一個完整的SID包括：
‧ 用戶和組的安全描述
‧ 48-bit的ID authority
‧ 修訂版本
‧ 可變的驗證值Variable sub-authority values
例：S-1-5-21-310440588-250036847-580389505-500
我 們來先分析這個重要的SID。第一項S表示該字符串是SID；第二項是SID的版本號，對於2000來說，這個就是1；然後是標誌符的頒發機構 （identifier authority），對於2000內的帳戶，頒發機構就是NT，值是5。然後表示一系列的子頒發機構，前面幾項是標誌域的，最後一個標誌著域內的帳戶和 組。

SID的獲得
開始－運行－regedt32－HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliasesMembers，找到本地的域的代碼，展開後，得到的就是本地帳號的所有SID列表。
其中很多值都是固定的，比如第一個000001F4（16進制），換算成十進制是500，說明是系統建立的內置管理員帳號administrator，000001F5換算成10進制是501，也就是GUEST帳號了，詳細的參照後面的列表。
這一項默認是system可以完全控制，這也就是為什麼要獲得這個需要一個System的Cmd的Shell的原因了，當然如果權限足夠的話你可以把你要添加的帳號添加進去。
或者使用Support Tools的Reg工具：
reg query "HKEY_LOCAL_MACHINESOFTWARE_Microsoft_Windows NTCurrentVersionProfileList

還有一種方法可以獲得SID和用戶名稱的對應關係：
1. Regedt32:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion ProfileList
2. 這個時候可以在左側的窗口看到SID的值，可以在右側的窗口中ProfileImagePath看到不同的SID關聯的用戶名，
比如%SystemDrive%Documents and SettingsAdministrator.momo這個對應的就是本地機器的管理員SID
%SystemDrive%Documents and SettingsAdministrator.domain這個就是對應域的管理員的帳戶

另外微軟的ResourceKit裡面也提供了工具getsid，sysinternals的工具包裡面也有Psgetsid，其實感覺原理都是讀取註冊表的值罷了，就是省了一些事情。

SID重複問題的產生
安裝NT／2000系統的時候，產生了一個唯一的SID，但是當你使用類似Ghost的軟件克隆機器的時候，就會產生不同的機器使用一個SID的問題。產生了很嚴重的安全問題。
同樣，如果是重複的SID對於對等網來說也會產生很多安全方面的問題。在對等網中帳號的基礎是SID加上一個相關的標識符（RID），如果所有的工作站都擁有一樣的SID，每個工作站上產生的第一個帳號都是一樣的，這樣就對用戶本身的文件夾和文件的安全產生了隱患。
這個時候某個人在自己的NTFS分區建立了共享，並且設置了自己可以訪問，但是實際上另外一台機器的SID號碼和這個一樣的用戶此時也是可以訪問這個共享的。

SID重複問題的解決
下面的幾個試驗帶有高危險性，慎用，我已經付出了慘痛的代價！
微軟在ResourceKit裡面提供了一個工具，叫做SYSPREP,這個可以用在克隆一台工作站以前產生一個新的SID號碼。 下圖是他的參數

這個工具在DC上是不能運行這個命令的，否則會提示

但是這個工具並不是把所有的帳戶完全的產生新的SID，而是針對兩個主要的帳戶Administrator和Guest，其他的帳號仍然使用原有的SID。

下面做一個試驗，先獲得目前帳號的SID：
S-1-5-21-2000478354-688789844-839522115
然後運行Sysprep，出現提示窗口：

確定以後需要重啟，然後安裝程序需要重新設置計算機名稱、管理員口令等，但是登陸的時候還是需要輸入原帳號的口令。
進入2000以後，再次查詢SID，得到：
S-1-5-21-759461550-145307086-515799519，發現SID號已經得到了改變，查詢註冊表，發現註冊表已經全部修改了，當然全部修改了。

另外sysinternals公司也提供了類似的工具NTSID，這個到後來才發現是針對NT4的產品，界面如下：

他 可不會提示什麼再DC上不能用，接受了就開始，結果導致我的一台DC崩潰，重啟後提示「安全賬號管理器初始化失敗，提供給識別代號頒發機構的值為無效值， 錯誤狀態0XC0000084，請按確定，重啟到目錄服務還原模式...」，即使切換到目錄服務還原模式也再也進不去了！
想想自己膽子也夠大 的啊，好在是一台額外DC，但是自己用的機器，導致重裝系統半天，重裝軟件N天，所以再次提醒大家，做以上試驗的時候一定要慎重，最好在一台無關緊要的 機器上試驗，否則出現問題我不負責哦。另外在Ghost的新版企業版本中的控制台已經加入了修改SID的功能，自己還沒有嘗試，有興趣的朋友可以自己試 驗一下，不過從原理上應該都是一樣的。
文章發表之前，又發現了微軟自己提供的一個工具「Riprep」，這個工具主要用做在遠程安裝的過程 中，想要同時安裝上應用程序。管理員安裝了一個標準的公司桌面操作系統，並配置好應用軟件和一些桌面設置之後，可以使用Riprep從這個標準的公司桌面 系統製作一個Image文件。這個Image文件既包括了客戶化的應用軟件，又把每個桌面系統必須獨佔的安全ID、計算機賬號等刪除了。管理員可以它放到 遠程安裝服務器上，供客戶端遠程啟動進行安裝時選用。但是要注意的是這個工具只能在單硬盤、單分區而且是Professional的機器上面用。


下面是SID末尾RID值的列表，括號內為16進制：

Built-In Users
DOMAINNAMEADMINISTRATOR
S-1-5-21-917267712-1342860078-1792151419-500 (=0x1F4)

DOMAINNAMEGUEST
S-1-5-21-917267712-1342860078-1792151419-501 (=0x1F5)
Built-In Global Groups
DOMAINNAMEDOMAIN ADMINS
S-1-5-21-917267712-1342860078-1792151419-512 (=0x200)

DOMAINNAMEDOMAIN USERS
S-1-5-21-917267712-1342860078-1792151419-513 (=0x201)

DOMAINNAMEDOMAIN GUESTS
S-1-5-21-917267712-1342860078-1792151419-514 (=0x202)
Built-In Local Groups
BUILTINADMINISTRATORS S-1-5-32-544 (=0x220)
BUILTINUSERS S-1-5-32-545 (=0x221)
BUILTINGUESTS S-1-5-32-546 (=0x222)
BUILTINACCOUNT OPERATORS S-1-5-32-548 (=0x224)
BUILTINSERVER OPERATORS S-1-5-32-549 (=0x225)
BUILTINPRINT OPERATORS S-1-5-32-550 (=0x226)
BUILTINBACKUP OPERATORS S-1-5-32-551 (=0x227)
BUILTINREPLICATOR S-1-5-32-552 (=0x228)
Special Groups
CREATOR OWNER S-1-3-0
EVERYONE S-1-1-0
NT AUTHORITYNETWORK S-1-5-2
NT AUTHORITYINTERACTIVE S-1-5-4
NT AUTHORITYSYSTEM S-1-5-18
NT AUTHORITYauthenticated users S-1-5-11 *.(over),

一篇鑑識工具心得(轉)

網友:flyfiresl 2009-06-11 22:35
正想諮詢這方面的問題，就看到了這篇文章。
還想請教一下GUO 哥。目前在郵件分析、聊天記錄分析、互聯網歷史記錄分析等方面都有那些較好的工具（包括法政工具和一些專用工具）？各自的特點都是什麼？謝了！


Sprite:
這個問題涉及內容有點多，有時間多寫點慢慢比較。簡單先說說。

最近測試了幾個聊天記錄分析工具，我比較喜歡的是 Forensic IM Analyzer。
此外，Paraben公司也有一個 Chat Examiner v1.0.2, 目前可以支持 ICQ 1999-2003b, Yahoo, MSN 6.1, 6.2, 7.0, & 7.5, Trillian, Skype, Hello, & Miranda

但Forensic IM Analyzer支持 ICQ (all versions from 97a to ICQ6), Microsoft MSN/LiveMessenger, Skype, Yahoo! Messenger, MySpace IM, &RQ, Miranda, SIM, QIP, QIP Infium, Google Hello, Trillian, QQ 和 AIM，比Chat Examiner多出不少類型。特別是親自測試了 Skype和QQ2008之後，感到這個工具非常好用，對中文聊天記錄支持也不錯。QQ2009的支持將在8月前完成。

兩個軟件圖過兩天補上來。




郵件分析的工具，目前有Nuix最新推出「郵件分析大師」、Intella、Paraben的E-mail Examiner v5.9 和 Network E-mail Examiner v2.2 ，Belkasoft的Belkasoft Outlook Analyzer Pro 等。

其中郵件分析大師以中文索引和電子郵件關聯分析，元數據分析，支持Foxmail及中文郵件為主要特點;
支持PST,DBX,Foxmail.

Intella以關鍵詞的搜索、元數據、郵件查找為主要特點；支持PST,Lotus Notes .NSF,DBX;

Email Examiner以對郵件支持種類多為特點，但僅支持郵件的展開和查看；

• Aid4Mail console for importing, exporting, and converting
• Updated AOL & PST (with 2003 support) Converters
• Export any e-mail format to PST
• Added support for Opera (.mbs) mail files
• Export to MHTML with XLS or Database index
• **Recovers Deleted/Deleted E-mail**
• America Online (AOL) 9.0
• Outlook Exchange (PST)
• USENET Groups
• Eudora
• Netscape Messenger
• Pegasus Mail
• Outlook Express
• The Bat!
• Forte Agent
• PocoMail
• Barca
• Calypso
• FoxMail
• Juno 3.x
• EML message files
• Mozilla Mail
• MSN Mail
• Opera 9 .mbs
• maildir files
• Generic mailboxes (mbox, Berkeley mail format, BSD mail format, Unix mail format)

Belkasoft Outlook Analyzer Pro可以支持PST和DBX，解釋和查看對於加密的PST郵件可以直接處理。印象深的是導出郵件非常簡便，效率很高，200多mb的pst中的幾千封郵 件只用了幾秒鐘。而且這個軟件價格很便宜，性價比超高。


此外值得一提的是X-Ways可以對恢復刪除的郵箱，解析破損的郵件。這個功能上述幾個軟件都無法解決。特別是對於破損的PST文件，可以先使用X-Ways Forensics對pst郵箱解析，再導單獨的郵件利用「郵件分析大師」處理。效果非常理想。



對於互聯網歷史記錄分析，目前可以使用x-ways Trace，NetAnalysis，和 Belkasoft Browser Analyzer。特別是最近試驗了幾個工具之後，感到 Belkasoft Browser Analyzer竟然是非常的出色，出乎意料。它支持

• Microsoft Internet Explorer 7 及其早期版本，IE8正在開發中。
• Mozilla Firefox，特別是支持 Firefox 3
• Opera
• Google Chrome

而且中文支持的很好。相比來看，另外兩個軟件對中文的支持就不是很好了。而且還都不支持Firefox 3和Google Chrome。

圖片後補



Trace 3.1目前支持IE, Firefox 2和Opera。特色還包括回收站的info2的解析。

NetAnalysis 目前支持種類最多，而且支持Mac IE。但缺點是中文支持不好。

Internet Explorer 3, 4, 5, 6, 7 & 8; MAC IE Browser

Netscape Communicator / Navigator up to 4.80 & Apple Mac Netscape Bookmark

Netscape 6, 7 and 8

Mozilla Browser / FIREFOX / AOL ARL File

MAC Safari

Opera

轉自計算機取證

Netanalysis 網路歷史記錄分析工具(轉)

NetAnalysis v1.37g 最新版本的互聯網歷史紀錄分析工具

在各種民事和刑事案件中，對於用戶在計算機系統中的行為分析是一件非常重要的事情。 隨著網絡色情現象和網絡犯罪的增長，對於計算機取證人員來說更加重要的是能夠以一種容易被理解的方式準確地分析數據和提取證據。 更加重要的是，作為一個取證專業人員，你需要確定的是你所使用的軟件是能夠準確無誤地在嫌疑係統內恢復現有的和已刪除的數據。

Internet History Analysis

NetAnalysis 於2001年由原英國警局電子證據專業調查人員開發，目前已經成為了對於互聯網歷史紀錄分析和恢復的行業標準。經世界各國的執法部門人員廣泛應用後證明，該軟件是分析互聯網歷史紀錄的理想工具。一些取證工具僅僅具有只讀那些可能來自成千上萬種地址的數據的能力。你怎樣通過篩選過濾所有的數據以識別所有重要的證據呢？答案是使用NetAnalysis互聯網歷史紀錄分析工具！它具有強大的搜索、過濾和證據識別以及特定的目標證據顯示功能。

查看緩存數據

離線緩存數據察看器具有非常強大的功能。 - NetAnalysis 能夠從緩存數據中分析數據，自動將頁面中的原始圖片找出來，自動重建 HTML 頁面，恢復出的頁面與嫌疑人所看到的頁面完全一樣。離線緩存數據察看器還可以作為其他分析軟件，如Encase，X-Ways Forensics協同工作，是一個體積小，速度快，支持Flash、圖像，和office文檔、PDF的外掛查看器，

自動分析功能

NetAnalysis 還具有一個特殊的功能，即可以自動、快速檢測可能存在的兒童色情網站，通過搜索用戶輸入的搜索分類、口令、帳戶名，並自動登陸網站。
NetAnalysis 能自動過濾並分類搜索詞彙。這使得可以將其作為證據單獨提交。如果嫌疑人宣稱某些圖片是意外出現或無意被保存下來的，但調查員卻找到了大量的相應詞彙的搜 索分類表明他/她正在搜索這些材料，那麼嫌疑人最終也是無法抵賴的。此外，NetAnalysis 還支持關鍵詞庫和SQL 查詢。這些詞庫和查詢可以與其他調查員分享或留作其他分析時使用。

恢復刪除的數據

NetAnalsis軟件還支持從未分配空間中恢復互聯網歷史紀錄。可以從未分配空間、Swap交換文件、 File Slack, 文件殘留區、未使用磁盤空間 、DD 鏡像和二進制文件中查找、恢復歷史記錄。一個案件中，調查員成功恢復出22 00萬條歷史記錄。軟件還可以直接從寫保護的物理和邏輯磁盤中查找記錄。

HstEx v3 即將發佈。此版本可以直接從Encase 證據文件中查找數據。

下面是 NetAnalysis 的工作界面。點擊可放大查看。

軟件界面

點擊放大

Normal Analysis Window with Additional Analytical Views常用的帶特定分析觀點的分析窗口

這是主要的帶有可見的主機列表的NetAnalysis窗口。這個主機列表窗口在主要界面中標出了經過記錄過濾的用戶曾經訪問過的範圍.

點擊放大

Cookie Analysis Window

這個窗口展示了已激活的Cookie察看器，調查員正在主地址欄中尋找一個Cookie記錄。一般情況下，如果Cookie記錄伴隨著索引文件從你的主要取證工具中被輸出，NetAnalysis也會展示出這些文件的目錄。

點擊放大

Reporting Window報告窗口

NetAnalysis擁有數量強大的內置報告，這個窗口展示了所有你也許會需要涉及的適當領域細目的高級報告。

點擊放大

HstEx v2 - History Extractor

NetAnalysis 使用其獨特的工具來提取已被刪除的數據。不管你所看見的產品是什麼類型的，HstEx都可以幫助你獲取那些已刪除數據。HstEx能夠從傳統的dd鏡像文件、二進制輸出文件、交換文件等中提取出已刪除數據 。

HstEx第三版本即將面世. 這一版本可以從眾多標準的鏡像文件中直接提取諸如以下文件：Encase使用的專門證據壓縮格式，分段的DD鏡像文件， FTK數據存取鏡像文件和智能鏡像。

這個窗口顯示了HstEX v2 偵查出的一個單一的2.44TB的DD鏡像文件。.

Click on the image to enlarge

轉自計算機取證