10、Awesome-memory-forensics

10、Awesome-memory-forensics 为DFIR策划的卓越的内存取证研究清单。 内存取证是对计算机内存转储的取证分析。其主要用途是调查复杂的计算机攻击，这些攻击足够隐蔽，不会在硬盘上留下数据。因此，必须对内存（RAM）进行取证信息分析。 11、Anti-forensic technologies 这篇文章概述了反取证的方法和它们的工作原理。 比如改变时间戳、usnjrnl、改变日志系统中的元数据。 还有对USB的反取证，以及更多。 如果您对这个领域感兴趣的话，推荐阅读。 12、Anti Forensics 一份研究显示了常用取证工具包的优势和劣势。 该研究报告分为以下几个部分： 对隐藏、改变和破坏数据的反取证工具的研究，流行的多合一取证工具包，以及对评估这些取证工具包的文档策略的研究。

Smart Tools - All In One v21.1 [Pro]

Smart Tools - All In One v21.1 [Pro] 包含木匠、建筑、测量工具和实用工具的实用工具包 ◉ 解锁专业版/付费功能 ◉ 禁用/删除不需要的权限 + 接收器 + 提供商 + 服务 ◉ 优化和压缩图形并清理资源以实现快速加载 ◉ 从 AndroidManifest 中删除广告权限 / 服务 / 提供商 ◉ 删除广告链接并取消调用方法 ◉ 禁用广告布局可见性 ◉ Google 地图位置有效 ◉ 禁用 Google Play Store 安装包检查 ◉ 删除调试代码 ◉ 删除相应 java 文件的默认源标签名称 ◉ 禁用 Analytics / Crashlytics / Firebase ◉ 完全删除 Facebook 广告捆绑 SDK ◉ 没有活动的跟踪器或广告 ◉ 删除促销应用 ◉ 语言：完整多语言 ◉ 原始包签名已更改 免费资源频道：@ZYPD123 全网搜索群:@soso_Group

1、Awesome-anti-forensic

1、Awesome-anti-forensic 一个很强大的用于反取证和取证的工具和软件包，包括加密、隐写和任何改变属性的东西。 包括比如， 独立的启动映像，可安全擦除大多数计算机的硬盘。适用于批量或紧急数据销毁； 取证浏览器。Sleuth Kit 的 GUI； 离线 NT 密码编辑器 - 在 Windows NT SAM 用户数据库文件中重置密码； 各种清洁产品； ELF加密工具； 还有用于取证的GNU数据恢复工具； 用于检查NTFS的工具； facebook内存取证工具； 用于分析PDF文件的工具； 检测图像中隐写内容的工具； 用于安全删除的Unix工具； 还有流量解码器等…… 2、WinLogs-Killer 这个工具可以清除Windows保存的各种日志和历史文件。 现在它可以删除： Windows 事件日志； Windows 远程桌面的历史； 最近打开的文件。 3、emerg lkm模块用于紧急启动二进制文件/脚本。 它总是在后台运行（从内核空间），当你输入 "秘密口令" 时，它将做任何指定的事。 它适用于标准终端（tty），而不是伪终端（pty）。 该模块有两个参数，一个是短语（注意这个），另一个是可执行文件的路径。 Phrase : 输入这个短语将是触发器，所以要明智地选择。 Exec : 可执行文件（这可以是一个二进制文件或一个脚本）。

forensictools 是一套专为数字取证设计的工具包。

forensictools 是一套专为数字取证设计的工具包。 部分工具包括： ▫exiftool，一个命令行应用程序和 Perl 库，用于读写元信息。 ▫YARA，一款开源工具，用于对恶意软件样本进行识别和分类。 ▫OfficeMalScanner，一款 Office 取证工具，用于扫描恶意软件痕迹。 ▫SQLECmd，一款根据需要查找和处理 SQLite 文件的工具。 ▫WinPrefetchView，一款小型工具，可读取存储在系统中的Prefetch文件。 ▫WFA 可对 Windows 操作系统中使用的一些特殊文件进行解码和分析。 ▫BrowsingHistoryView 是一款读取各种网络浏览器历史数据并在一个表格中显示所有内容的实用工具。 还有更多... 站点： #tools

原来这些“已删除”的文件可能一直都在这些设备上

原来这些“已删除”的文件可能一直都在这些设备上 在向 9to5Mac 详细说明这个问题时，苹果表示这是由设备文件系统上的一个损坏的数据库条目引起的，这影响了设备本身的文件，而不影响那些已经同步到 iCloud 的文件。这些文件可能是在从备份恢复或在设备间传输时从旧设备带过来的。 一位 Reddit 用户曾在一篇现已删除的帖子中声称，iOS 17.5 的一个错误导致一台已经被清除数据并卖给朋友的 iPad 上的照片重新出现。然而，苹果公司否认这种情况的可能性，他们对 9to5Mac 表示，一旦设备的数据被彻底清除，所有文件和内容都会被永久删除。本质上，苹果公司认为这位用户要么没有按照正确的设备重置程序操作，要么只是为了在 Reddit 上博取关注而撒谎。该公司表示，只有少数人受到数据库问题的影响，并且苹果公司无法访问用户手机上的照片或视频文件。 Synacktiv 的安全研究人员通过对 iOS 17.5.117.5 增加了一个迁移程序，负责扫描文件系统并重新导入照片。由于这个程序导致旧文件在本地文件系统中重新索引并重新推回到相册中，苹果在最近的更新中删除了这个程序。 根据这段代码，我们可以说，那些重新出现的照片仍旧存放在文件系统中，只是在 iOS 17.5 中增加的迁移程序找到了它们，”Synacktiv 表示。“仅凭这个分析，我们无法得出这些照片最初是如何留在文件系统中的结论。”接着，Synacktiv 的文章引导读者查看 Reddit 上的这条评论，以获取一个合理的解释，其中包括用户可能将图片同时保存到文件应用和照片应用中，但只删除了后者的可能性。 标签: #Apple #iOS 频道: @GodlyNews1 投稿: @GodlyNewsBot

已删除的 iPhone 照片为何会返回到某些 iOS 设备？

已删除的 iPhone 照片为何会返回到某些 iOS 设备？ 苹果公司向 9to5Mac 详细解释了这个问题，称这是由于设备文件系统上的数据库条目损坏造成的，影响的是设备本身的文件，而不是那些已经同步到 iCloud 的文件。这些文件可能是在从备份恢复或设备间传输过程中从旧设备上转移过来的。一位 Reddit 用户曾在一篇现已删除的帖子中称，iOS 17.5 的漏洞使一台 iPad 上的照片重新出现，而这台 iPad 已被清除并卖给了朋友。然而，苹果公司声称这是不可能的，它告诉 9to5Mac，一旦设备的数据被完全清除，所有文件和内容都将被永久删除。从根本上说，苹果声称这位用户要么没有遵循正确的设备重置程序，要么只是为了在 Reddit 上获得影响力而撒谎。该公司表示，只有少数人受到数据库问题的影响，而且苹果也无法访问用户手机上的照片或视频文件。Synactiv 的安全研究人员还通过逆向工程对用于修复该问题的 iOS 17.5.1 更新进行了扩展。你可以在他们的完整报告中找到详细解释，但简而言之，iOS 17.5 增加了一个迁移例程，负责从文件系统中扫描和重新导入照片。苹果最近的更新删除了该例程，因为它会导致旧文件在本地文件系统中被重新索引，并推回到照片库中。Synacktiv 说："根据这段代码，我们可以说，重新出现的照片仍在文件系统中，它们只是被 iOS 17.5 中添加的迁移例程找到了。"仅凭这一分析，无法断定这些照片当初是如何留在文件系统上的。Synacktiv 的文章随后引导读者查看 Reddit 上的这篇评论，以获得一个合理的解释，其中包括用户可能同时将图片保存到文件应用和照片应用中，但只删除了后者。阅读报告全文： ... PC版： 手机版：