大多数时候，取证要解决的无非是弄清楚什么人在什么时间在什么地方做了什么事情，也就是4W问题（Who，When，Where，What）。所以时间在取证领域是非常重要的问题。计算机中是怎么存储时间的呢？首先我们来看看Windows的安装时间。以Windows 11为例，要查看Windows系统安装时间，我们可以打开设置，在“系统”→“系统信息”中可以看到，当前这台电脑的系统安装时间是2023年3...

第八届全国取证赛马上就要开始了，不少人都在摩拳擦掌积极备赛。今天突然有人问我Linux 软RAID的相关问题，我直接推荐UFS Explorer RAID Recovery，但试用版无法导出大文件（其实可以变通地先导出分区镜像，然后用其他工具加载并分析）。由于日常使用X-Ways Forensics更多一些，便尝试了一番，发现X-Ways其实处理软RAID也挺方便的。Linux下的软RAID...

数据恢复永远是电子数据取证中最重要的内容之一。每当客户问我：胡工，能帮忙恢复一下xx文件吗？大部分时候我的回答是：很遗憾，这些文件已经彻底无法恢复了。无法恢复的原因是如今操作系统（无论是Windows、macOS，还是Android、iOS）均支持固态硬盘的[[2-电子取证:2.基础知识:trim|TRIM]]功能，且会默认启用。这意味着文件删除后，系统会在空闲时间将对应区域置零，也就是彻底...

今天在使用X-Ways处理工作的时候，不经意间注意到X-Ways提示框弹出了Archive bomb的相关提示，内容大致如下：仔细回想，貌似前几天就出现过类似的提示，只是太忙直接忽略了。Archive bomb是什么？根据经验，推测是X-Ways遇到了处理不了的文件。个人猜测应该是这个压缩包里面有逻辑错误，导致软件无法解析。什么错误会被称为“bomb”呢？好奇心让我忍不住打开谷歌一探究竟，结...