Daily Blog #757: Solution Saturday 2/22/25 文章探讨了AWS IMDS（EC2实例元数据服务）的安全问题，特别是IMDS v1和v2版本在凭证泄露方面的差异。研究者通过实验展示了如何从VM内部和外部获取临时访问密钥，并分析了不同场景下的日志记录情况，以帮助检测潜在的安全威胁。... 2025-2-23 05:13:0 | 阅读: 13 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com imds winning ilya streak v23

Daily Blog #756: Forensic test kitchen, using the AWS CloudTrail Downloader v2! David Cowen演示了AWS CloudTrail Downloader v2的新功能，包括AWS配置文件支持和恢复功能，并在法证测试厨房中进行了实时演示。... 2025-2-22 04:52:0 | 阅读: 7 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com kitchen cloudtrail 756 cowen download

Daily Blog #755: A new blog is born! Evan Anderson的新博客Offensive Context专注于进攻性安全技术与实际应用学习。作为资深从业者和红队专家，他分享了丰富的实战经验和技巧，为想深入了解威胁行为者运作方式的人提供了宝贵资源。... 2025-2-21 04:3:0 | 阅读: 13 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com evan leanings ccdc redteaming

Daily Blog #754: Pagefile carving with Page Brute page_brute是一款开源数字取证工具，专注于从系统页面文件中解析逻辑数据块。它通过将页面文件分割为单个内存页大小的段，并应用YARA规则进行分类，能够有效恢复AJAX片段和其他临时网络对象，特别适合处理Web邮件调查中的小规模数据内容。... 2025-2-20 03:34:0 | 阅读: 5 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com memory categorize segments overlooked

Daily Blog #753: Windows hello challenge part 4 Windows生物识别数据存储在\Windows\System32\WinBioDatabase文件夹中，文件名由GUID和.DAT扩展名组成。这些文件包含加密和哈希处理的用户身份信息，用于面部识别或指纹认证。加密密钥可能存储在TPM芯片中。... 2025-2-19 04:14:0 | 阅读: 32 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com windows biometric database d676

Daily Blog #752: Windows hello challenge part 3 fingerprints By •February 17, 2025•Daily Blo... 2025-2-18 04:7:0 | 阅读: 8 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com windows fingerprint sensor 1001

Daily Blog #751: Sunday Funday 2/16/25 这篇文章提出了一项关于检测从AWS IAM角色获取临时访问密钥的挑战，参与者需通过四种场景（从IMDS v1/v2获取密钥并在AWS内外使用）记录日志以识别潜在威胁，并有机会赢取奖励。... 2025-2-16 22:8:0 | 阅读: 4 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com imds prize anonymous sunday winsyou

Daily Blog #750: Solution Saturday 2/15/25 Ilya研究了Windows 11壳袋在不同操作下的行为，包括创建目录、复制粘贴文件和文件夹、剪切粘贴等，并测试了从文件资源管理器和桌面打开或点击目录的情况。这些测试将在未来的测试厨房中进行验证。... 2025-2-15 23:0:0 | 阅读: 5 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com ilya clicked winning pasted line2

Daily Blog #749: Happy Valentines Day 情人节快乐！作者提醒大家花时间向爱的人表达关心，并附上一张卡片。... 2025-2-15 04:11:0 | 阅读: 7 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com valentines cowen gpt 4o 749

Daily Blog #748: National CCDC 2025 这篇文章介绍了全国大学生网络防御竞赛（NCCDC），强调其作为全国性赛事的重要性和影响力。比赛通过模拟真实攻击场景培养未来的网络安全人才，并呼吁有经验的专业人士加入红队志愿者团队。... 2025-2-14 05:11:0 | 阅读: 6 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com nccdc competition tooling alumni

Daily Blog #747: What I look for when reviewing external ips 文章指出，在审查外部IP地址日志时，传统的寻找外国可疑连接的方法已不再有效。当前威胁行为者多利用美国托管的虚拟专用服务器（VPS）进行攻击。通过ipinfo.io等工具分析IP来源（如托管服务、代理或VPN），可有效识别潜在威胁。合法员工极少从VPS连接，因此发现此类活动通常表明系统可能已被 compromise（入侵）。... 2025-2-13 04:40:0 | 阅读: 9 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com ipinfo proxies globally scanners

Daily Blog #746: Solving the windows hello challenge part 2 这篇文章总结了对Windows Hello PIN登录功能的测试过程和结果。作者通过设置PIN并解锁工作站观察到安全日志中的事件ID 4624（类型11和7），但未找到明确指示使用PIN的日志条目。接下来将测试指纹扫描仪。... 2025-2-12 04:16:0 | 阅读: 5 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com windows biometric unlocked workstation

Daily Blog #745: Solving the windows hello challenge part 1 文章介绍了作者测试Windows Hello面部识别功能的过程。通过安装支持该功能的摄像头并登录系统后，作者在事件日志中发现了相关记录，确认了面部识别的成功认证，并揭示了具体的设备和用户信息。... 2025-2-11 04:38:0 | 阅读: 7 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com windows facial biometric microsoft

Daily Blog #744: Sunday Funday 2/9/25 这篇文章介绍了Windows 11中shellbags的行为变化，并发起了一项挑战，要求参与者测试不同操作（如创建目录、复制粘贴文件等）对shellbag的影响。参与者需在指定时间内提交答案，并有机会赢取$100 Amazon Giftcard。... 2025-2-10 05:10:0 | 阅读: 15 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com windows prize sunday shellbags anonymous

Daily Blog #743: Solution Saturday 2/8/25 这篇文章由David Cowen于2月8日发布，指出本周无获奖作品，并计划深入研究和分享相关内容。... 2025-2-9 05:23:0 | 阅读: 5 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com sounds unlabelled 743 saturday cowen

Daily Blog #742: Life is short 作者通过纪念一位早逝者，提醒人们珍惜当下，善待家人，并及时表达爱意。... 2025-2-8 04:49:0 | 阅读: 12 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com 742 died young charity cowen

Daily Blog #741: AI powered Honeypots 这篇文章介绍了AI在蜜罐技术中的应用。传统蜜罐需要大量工作来模拟真实环境，而AI通过大语言模型动态生成文件、进程和服务信息，使攻击者更难识别蜜罐。作者推荐了两个AI蜜罐项目：Splunk的DECEIVE和Galah，并认为这些工具非常有趣且高效。... 2025-2-7 04:27:0 | 阅读: 17 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com honeypot honeypots galah deceive attackers

Daily Blog #740: USN V4 Data Ranges 这篇文章介绍了USN Journal v4版本的新功能及其优势。v4通过记录数据范围（涉及变化的磁盘扇区），帮助用户追踪文件删除或修改时的具体位置和内容变化。测试显示，v4可能还记录部分扇区内容，未来将进一步验证其适用范围。... 2025-2-6 04:34:0 | 阅读: 16 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com usn sectors evcen existed nay

Daily Blog #739: USN Versions (2, 3 and 4) 这篇文章介绍了USN Journal的三个版本（v2、v3、v4），分别对应Windows Vista、Windows 8和Windows 10。每个版本在记录文件变更时增加了更多细节和功能，默认状态下根据操作系统版本自动启用。... 2025-2-5 04:4:0 | 阅读: 8 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com usn windows journal winioctl microsoft

Daily Blog #738: Arsenal Recon LevelDB Recon By •February 03, 2025•arsenal... 2025-2-4 04:14:0 | 阅读: 8 | 收藏 | Hacking Exposed Computer Forensics Blog - www.hecfblog.com leveldb arsenal parses sst reliably