常见技巧

取证比赛中的常见小技巧，可以试试

1.仿真windows后，可以传一个everything上去，对机器中的文件进行大小排序，往往可以找到自己需要的东西

2.拿到内存镜像，可以用PasswareKit尝试能否梭出电脑密码，以及破解出某些加密容器

3.拿到内存镜像，可以使用diskgenius恢复磁盘文件，看看能不能直接找到有用的信息

4.拿到手机镜像，需要找某些APK或者文件的时候可以在自己的电脑上使用everything进行搜索

5.做服务器取证，用火眼的网探，很好用

6.服务器涉及bitlocker但是第一时间找不到恢复秘钥的情况下，可以先在取证大师里面挂起一个正则进行搜索

7.做流量分析题目时，擅用"导出http流"、'tcp contains "xxx"'、http、http.request.method == "POST"、ftp、ftp-data、部分题可能为Fiddler流量文件。

8.部分题是可以交叉做的，例如问手机的题目，答案可能在计算机中也会有，不要一直盯着某个分区看。

9.手机镜像中的题稍微上一点难度就会涉及到数据库，例如某些聊天记录，所以可以直接找到该app对应的文件夹，去找.db文件进行翻找

10.逆向python的exe工具为python-exe-unpacker-master，逆向后的pyc文件需要搭配uncompyle6，具体可以参考https://blog.csdn.net/weixin_44362969/article/details/105616531，其他的exe就用IDA即可

11.物联网取证大多数题直接翻配置文件可以搜到答案，当然也多用binwalk来分析固件。

12.如果需要查看浏览器储存的密码，那么在仿真的时候不要清除windows密码，否则浏览器储存密码为空！

13.收集一下常见的docker命令和linux查看系统信息的命令，docker：https://blog.csdn.net/qq_42880719/article/details/122801540

15.如果仿真不了服务器但是需要做与数据有关的题，可以将数据库拷出来然后使用火眼的数据库取证工具（在火眼取证的插件里面），能拿到很多分。

16.区块链取证如果涉及到仿真的，请在模拟器处于断网的情况下仿真，如果涉及到区块链数量的，尽可能翻db文件，通常取证出来的。

17.windows取证中如果涉及到需要搜索某些直接搜不到的内容，可直接使用美亚的搜索功能在后台挂起进行搜索，搜索的时候选择未分配簇

18.弘连与美亚工具搭配使用，某些A找不到的可以在B工具中找到

19.目前内存取证题目大概率是考windows10及以上，因此在电脑中最好安装好volatility2和volatility3,2的安装见https://blog.csdn.net/qq_42880719/article/details/117304586，3的安装见https://blog.csdn.net/Aluxian_/article/details/127064750

20.导出文件夹后需要找指定内容可以用notepad++（建议用notepad--等工具，原因你懂得）搜索整个文件夹，例如源码中包含md5的内容、搜报错信息等

21.对于数据库操作，可以使用navicat进行可视化操作