《Windows未公开文件格式》是Pete Davis和Mike Wallace合著的一本技术书籍，专注于深入解析Windows操作系统中未被官方文档记录的文件格式。这本书对于提高Windows文件的数据恢复、提取和电子取证工作具有重要意义。 在电子取证领域，理解文件的内部结构至关重要。Windows操作系统中存在许多未公开的文件格式，这些格式可能包含了系统运行、用户交互或者应用程序功能的关键信息。通过分析这些未公开的文件格式，专家们可以更有效地恢复丢失的数据，提取关键证据，以及解决与Windows系统相关的法律问题。 书中特别提到了几位对作者产生深远影响的人，如Andrew Schulman和Ron Burk。Andrew Schulman启发了作者开始专业写作，而Ron Burk则在逆向工程WinHelp文件格式的工作中提供了大量帮助，并且在作者的写作和理解Windows系统的过程中起到了重要的指导作用。此外，还有多位专家对WinHelp (.HLP)、W4、LE和W3等特定文件格式提供了深入的帮助。 Dave Bakin、Kevin Burrows、Jon Erickson、Mike Floyd、Jim Hague、Dale Lucas、Nico Mak（知名WinZip软件的开发者）、Duncan Murdoch、Andrew Pargeter、Matt Pietrek、Steve Scanzoni和Brian Walker等人士也为本书的完成做出了贡献。他们或提供信息，或检查内容准确性，共同促成了这本书的出版。 还有一些匿名的贡献者，他们在保密的项目中工作，不希望某些公司知道他们的参与。尽管如此，他们仍无私地分享了关于特定文件格式的知识，这对本书的内容丰富性和准确性起到了重要作用。 通过阅读《Windows未公开文件格式》，读者将能了解到Windows系统底层运作的更多细节，这对于系统管理员、安全专家和电子取证专业人员来说是一份宝贵的资源。它揭示了那些通常隐藏在操作系统表面之下的信息，为解决复杂的技术问题和法律纠纷提供了新的视角和工具。

针对目前电子取证缺乏全程监督的问题提出了一种基于用户行为关联分析的电子取证系统。该系统根据业务活动主体、行为和客体约束关系建立用户行为知识库，基于电子证据属性相似度，对原始电子证据进行过滤和融合，在WINEPI算法的基础上，实现电子证据的用户行为关联。使用实际数据测试表明，该系统能够对用户网络活动过程进行全程监督，并可以把取证过程的监督数据作为呈堂的证据。

FTK Imager磁盘镜像挂载神器，用于电子取证中将镜像、虚拟磁盘挂载为磁盘，方便直接进行取证

R-Studio是功能超强的数据恢复、反删除工具，大量参数设置让高级用户获得最佳恢复效果。含有RAID重组功能，可以虚拟重组的RAID类型包括，RAID0，RAID5，其中重组RAID5可以支持缺少一块硬盘。 电子取证实战竞赛必备工具！

取证大师团队针对PC端微信新特性，实现了特定状态下的微信免扫码取证功能，取证人员无需额外操作即可完成微信数据的自动解析，Mac/Windows版本均可支持。由于文件太大了，就提供下载链接，亲测有用

GUI版 方便易用 可用于加解密数据库 forensic中可用

这个工具可以dump内存，将目前计算机的内存镜像保存为raw文件，然后方便使用kali中的取证工具进行取证分析。

华中科技大学网络空间安全学院2019级电子取证课程实验Peter泄密案附件

第六届”蓝帽杯“全国大学生网络安全技能大赛

第六届”蓝帽杯“全国大学生网络安全技能大赛