Windows取证

2024-09-22
  1. 查看powershell的历史命令:

    1. 一般可以在以下这个目录可以找到: C:\Users\Web King\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine

    2. 用火眼加载镜像也可以分析出来

  2. 顺着题目打开的虚拟机不要关闭,可能后面的题目会用到

  3. 服务器登录后台的密码:
    1. 一般可以通过仿真后再浏览器中找到
      1. 一些密码管理器中会保存有
  4. 查看WSL子系统的发行版本:

    1. 一般在cmd中输入 wsl 后,第一次都会出现

    2. 用取证软件挂载后:

      1. 在 c 盘的user\用户名\AppData\Local\Packages里可以看到
  5. 查看mysql的版本号:
    1. mysql –version
  6. 数据库debian-sys-maint用户的初始密码:

    1. 事实上,这个用户时debian数据库的默认用户

    2. 一般可以找 debian.cnf 这个文件

  7. 其他的内容还有待学习更新