目录
- 取证初级案例操作大纲
- 1) 证据文件中有没有存在被删除的Doc文档?如果有的话,请导出并记录文件名及路径:
- 2) 证据文件中有没有存在被删除的图片?如果有的话,请记录文件名及路径:
- 3) 证据文件中哪几份Word文档扩展名被修改为.bmp? 请记录文件名及路径:
- 4) 证据文件中哪几个JPG图片扩展名修被改为.doc? 请记录文件名及路径:
- 5) 嫌疑人涉嫌参赌,请导出赌博相关上网记录网页,并记录文件名及路径:
- 6) 证据文件中有几个压缩文件?请导出,并记录文件名及路径:
- 7) 该证据文件所在分区的文件系统,总容量,簇数量,扇区数量,每簇扇区数。
- 8) 加载该证据文件生成分区的MD5散列值是:
- 9) 文件\Office\TXT\test用哪个编码可以正常查看,请选择( D ):
- 10) 证据文件中存在大于200K、创建日期大于2010-5-1且后缀名为.doc的文档,请找出,并记录文件名及路径:
- 11) 该证据文件中Windows目录下存在哪些注册表文件,请找到并一一指出文件名及路径:
- 12) 该证3据文件所在的计算机的IP地址、子网掩码、网关和DNS服务器的内容。
- 13) 证据文件所在的操作系统类型。
- 14) 证据文件所在的操作系统运行CCPROXY.EXE的次数及最后运行时间。
- 15) 证据文件所在的操作系统的关机时间。
- 16) 证据文件所在的操作系统最近打开的文档和运行的程序。
- 17) 证据文件中有没有内容完全一样的文件,如有,请找出来。
- 18) 查明证据文件所在的操作系统使用过的USB设备。
取证初级案例操作大纲
请使用Encase软件,加载Test-new.E01证据文件,并通过相关操作后,回答以下问题:
1) 证据文件中有没有存在被删除的Doc文档?如果有的话,请导出并记录文件名及路径:
使用过滤脚本-用类别扩展名过滤-选中办公文档文件-勾选只显示删除的文件-点击OK,如下图所示:
一共检索出一个DOC文档D1.Doc,路径:Case1\Test\Deleted\D1.doc
2) 证据文件中有没有存在被删除的图片?如果有的话,请记录文件名及路径:
使用过滤脚本-用类别扩展名过滤-选中图像文件-勾选只显示删除的文件-点击OK,如下图所示:
一共检索出4张图片,文件名及路径,如下图所示:
3) 证据文件中哪几份Word文档扩展名被修改为.bmp? 请记录文件名及路径:
使用过滤脚本-用个别扩展名过滤-选中bmp-点击OK,如下图所示:
通过Picture模式查看图片,经过查看D1.bmp,D2.bmp都能正常显示,R1.bmp,R2.bmp都无法正常显示图片,并观察对应的WinHex,发现R1和R2都是由Word修改成bmp文件,如下图所示:
文件名及路径,如下图所示:
4) 证据文件中哪几个JPG图片扩展名修被改为.doc? 请记录文件名及路径:
使用过滤脚本-用类别扩展名过滤-选中办公文档文件-勾选只显示删除的文件-点击OK,如下图所示:
检索出所有的doc文件,一共7个doc文件,如下图所示:
对比7个doc文件,我们通过WinHex发现其中R4.doc,R5.doc,R6.doc,的文件记录头都是JFIF图片类型,其对应文件名及路径,如下图所示:
5) 嫌疑人涉嫌参赌,请导出赌博相关上网记录网页,并记录文件名及路径:
使用Keywords-导入关键字-新建一个新的关键字为下注-填写Search expression和Name-选中Active Code-page,GREP-点击确定,如下图所示:
选中新建的下注关键字,点击Search搜索,设置如下图所示:
6) 证据文件中有几个压缩文件?请导出,并记录文件名及路径:
使用个别扩展名过滤脚本-用类别扩展名过滤-选中压缩文件类下的所有类型格式-点击OK,如下图所示:
一共检索出1个压缩文件,选中E1.rar文件,右键Export..导出,选择导出目录后点击OK,文件名及路径如下图所示:
7) 该证据文件所在分区的文件系统,总容量,簇数量,扇区数量,每簇扇区数。
使用取证神探-选中加载的磁盘,查看证据文件所在分区的文件系统,总容量,簇数量,扇区数量,每簇扇区数,如下图所示:
8) 加载该证据文件生成分区的MD5散列值是:
使用取证神探-选中加载该证据文件生成分区的MD5散列值,生成分区的MD5散列值是:E880DA57990334D80C6DAB21D7F52557
对比两个MD5散列值是否一致 一致
9) 文件\Office\TXT\test用哪个编码可以正常查看,请选择( D ):
(A)GB2312 (B)Unicode (C)Big5 (D)UTF-8
10) 证据文件中存在大于200K、创建日期大于2010-5-1且后缀名为.doc的文档,请找出,并记录文件名及路径:
使用Queries模块-右键新建一个新的过滤条件组Query5-选中Query5右键Add Filters-勾选以下三个过滤条件-点击OK,如下图所示:
检索文件,一共检索出2个符合以上要求的文件,文件名及路径,如下图所示:
