法務部調查局新北調查處調查DS218:修訂版本之間的差異
出自福留子孫
(新頁面: ==對調查處的反查證== #google 查到的資料: #*地址:220新北市板橋區漢生東路193巷2號 #*電話:02-29642121 #*與名片相符 #*回撥電話,總機回答均...) |
(→調查人員) |
||
| 第 9 行: | 第 9 行: | ||
==調查人員== | ==調查人員== | ||
| + | |||
| + | |||
| + | |||
| + | ==使用軟體與所得資料== | ||
| + | ===UAC=== | ||
| + | UAC為「使用者帳戶控制」之縮寫,此次使用軟體為 Thiago Canozzo Lahr(簡稱:tclahr) 先生開發的 UAC 工具包。 | ||
| + | *[https://br.linkedin.com/in/tclahr 作者的領英頁面] | ||
| + | *[https://github.com/tclahr 作者 github 頁] | ||
| + | *[https://github.com/tclahr/uac 軟體 github 頁] | ||
| + | *[https://tclahr.github.io/uac-docs/ 作者對軟體的介紹]: | ||
| + | :UAC 是用於事件響應的實時響應收集腳本,它利用本機二進製文件和工具來自動收集 AIX、Android、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系統工件。 它的創建是為了促進和加速數據收集,並在事件響應過程中減少對遠程支持的依賴。 | ||
| + | :UAC 動態讀取工件文件,並根據其內容收集相關工件。這使得 UAC 非常可定制和可擴展。 | ||
| + | |||
| + | ===偵測日期與取回檔案=== | ||
| + | *偵測日期 2023.07.31 14:30 | ||
| + | *[http://well-being-ng.net/files/福留子孫/DS218+UAC偵測文件/ 取下的日誌] | ||
| + | */volume1/web 的拷備(208G),用外接式隨身碟取走 | ||
| + | *指令: | ||
| + | :cd uac-main | ||
| + | : ./uac -a memory_dump/avml.yaml -p full /tmp | ||
| + | : ./uac -p full -a \!bodyfile/bodyfile.yaml /tmp | ||
| + | : ./uac -a bodyfile/bodyfile.yaml /tmp | ||
| + | : cp -r /volume1/web /volumeUSB2/usbshare | ||
| + | *拷備警告訊息為: | ||
| + | :cp: cannot create regular file '/volumeUSB2/usbshare/web/printOut/r'$'\217\260''p'$'\201\243''S'$'\216\250''Q'$'\200\262''s'$'\205\250''o'$'\260\221''o'$'\234\213''N'$'\230\262''O'$'\225\231''E'$'\202\262''v'$'\225\217''u'$'\241\214''s'$'\210\207''S'$'\200\241''N'$'\255\260''.html': Invalid or incomplete multibyte or wide character | ||
| + | :cp: cannot create regular file '/volumeUSB2/usbshare/web/printOut/r'$'\210\207''p'$'\275\255''S'$'\257\214''Qs'$'\220''o'$'\275\262''o'$'\225\267''N'$'\250\216''O'$'\253\226''.html': Invalid or incomplete multibyte or wide character | ||
2023年8月1日 (二) 11:58的修訂版本
對調查處的反查證
- google 查到的資料:
- 地址:220新北市板橋區漢生東路193巷2號
- 電話:02-29642121
- 與名片相符
- 回撥電話,總機回答均合理正常
- 編制表
調查人員
使用軟體與所得資料
UAC
UAC為「使用者帳戶控制」之縮寫,此次使用軟體為 Thiago Canozzo Lahr(簡稱:tclahr) 先生開發的 UAC 工具包。
- UAC 是用於事件響應的實時響應收集腳本,它利用本機二進製文件和工具來自動收集 AIX、Android、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系統工件。 它的創建是為了促進和加速數據收集,並在事件響應過程中減少對遠程支持的依賴。
- UAC 動態讀取工件文件,並根據其內容收集相關工件。這使得 UAC 非常可定制和可擴展。
偵測日期與取回檔案
- 偵測日期 2023.07.31 14:30
- 取下的日誌
- /volume1/web 的拷備(208G),用外接式隨身碟取走
- 指令:
- cd uac-main
- ./uac -a memory_dump/avml.yaml -p full /tmp
- ./uac -p full -a \!bodyfile/bodyfile.yaml /tmp
- ./uac -a bodyfile/bodyfile.yaml /tmp
- cp -r /volume1/web /volumeUSB2/usbshare
- 拷備警告訊息為:
- cp: cannot create regular file '/volumeUSB2/usbshare/web/printOut/r'$'\217\260p'$'\201\243S'$'\216\250Q'$'\200\262s'$'\205\250o'$'\260\221o'$'\234\213N'$'\230\262O'$'\225\231E'$'\202\262v'$'\225\217u'$'\241\214s'$'\210\207S'$'\200\241N'$'\255\260.html': Invalid or incomplete multibyte or wide character
- cp: cannot create regular file '/volumeUSB2/usbshare/web/printOut/r'$'\210\207p'$'\275\255S'$'\257\214Qs'$'\220o'$'\275\262o'$'\225\267N'$'\250\216O'$'\253\226.html': Invalid or incomplete multibyte or wide character
