取證初級案例操作大綱
一、證據檔案中有沒有存在被洗掉的Doc檔案?如果有的話,請匯出并記錄檔案名及路徑:
操作步驟:
1.使用過濾腳本-用類別擴展名過濾-選中辦公檔案檔案-勾選只顯示洗掉的檔案-點擊OK,如下圖所示:
2.檢索出洗掉的Doc檔案,一共檢索出一個DOC檔案D1.Doc,如下圖所示:
3.檔案名:D1.Doc ,路徑:Case1\Test\Deleted\D1.doc,如下圖所示:
二、證據檔案中有沒有存在被洗掉的圖片?如果有的話,請記錄檔案名及路徑:
操作步驟:
1.使用過濾腳本-用類別擴展名過濾-選中影像檔案-勾選只顯示洗掉的檔案-點擊OK,如下圖所示:
2.檢索出洗掉的影像檔案,一共檢索出4張圖片,如下圖所示:
3.檔案名及路徑,如下圖所示:
三、證據檔案中哪幾份Word檔案擴展名被修改為.bmp? 請記錄檔案名及路徑:
操作步驟:
1.使用過濾腳本-用個別擴展名過濾-選中bmp-點擊OK,如下圖所示:
2.檢索出所有的bmp檔案,一共4個bmp檔案,如下圖所示:
3.選中D1.bmp,通過Picture模式查看圖片,經過查看D1.bmp,D2.bmp都能正常顯示,如下圖所示:
4.選中R1.bmp,R2.bmp檔案,通過Picture模式查看圖片,經過查看R1.bmp,R2.bmp都無法正常顯示圖片,并觀察對應的WinHex,發現R1和R2都是由Word修改成bmp檔案,如下圖所示:
5.檔案名及路徑,如下圖所示:
四、證據檔案中哪幾個JPG圖片擴展名修被改為.doc? 請記錄檔案名及路徑:
操作步驟:
1.使用過濾腳本-用類別擴展名過濾-選中辦公檔案檔案-勾選只顯示洗掉的檔案-點擊OK,如下圖所示:
2.檢索出所有的doc檔案,一共7個doc檔案,如下圖所示:
3.對比7個doc檔案,我們通過WinHex發現其中R4.doc,R5.doc,R6.doc,的檔案記錄頭都是JFIF圖片型別,如下圖所示:
4.檔案名及路徑,如下圖所示:
五、嫌疑人涉嫌參賭,請匯出賭博相關上網記錄網頁,并記錄檔案名及路徑:
操作步驟:
1.使用Keywords-匯入關鍵字-新建一個新的關鍵字為下注-填寫Search expression和Name-選中Active Code-page,GREP-點擊確定,如下圖所示:
2.選中新建的下注關鍵字,點擊Search搜索,設定如下圖所示:
3.點擊Start開始搜索,搜索成功后勾選Console,Note,如下圖所示:
4.找到選單欄下Search Hits,點擊剛剛我們搜索的關鍵字,在視圖中以及顯示出了關于下注的相關內容,如下圖所示:
六、證據檔案中有幾個壓縮檔案?請匯出,并記錄檔案名及路徑:
操作步驟:
1.使用個別擴展名過濾腳本-用類別擴展名過濾-選中壓縮檔案類下的所有型別格式-點擊OK,如下圖所示:
2.檢索壓縮檔案,一共檢索出1個壓縮檔案,如下圖所示:
3.選中E1.rar檔案,右鍵Export..匯出,選擇匯出目錄后點擊OK,如下圖所示:
4.檔案名及路徑,如下圖所示:
七、該證據檔案所在磁區的檔案系統,總容量,簇數量,扇區數量,每簇扇區數
操作步驟:
1.使用取證神探-選中加載的磁盤,查看證據檔案所在磁區的檔案系統,總容量,簇數量,扇區數量,每簇扇區數,如下圖所示:
八、加載該證據檔案生成磁區的MD5散列值
操作步驟
1.使用取證神探-選中加載該證據檔案生成磁區的MD5散列值,生成磁區的MD5散列值是:E880DA57990334D80C6DAB21D7F52557
九、檔案\Office\TXT\test用哪個編碼可以正常查看,請選擇( D ):
(A)GB2312 (B)Unicode (C)Big5 (D)UTF-8
十、證據檔案中存在大于200K、創建日期大于2010-5-1且后綴名為.doc的檔案,請找出,并記錄檔案名及路徑:
操作步驟:
1.使用Queries模塊-右鍵新建一個新的過濾條件組Query7-選中Query7右鍵Add Filters-勾選以下三個過濾條件-點擊OK,如下圖所示:
2.檢索檔案,一共檢索出2個符合以上要求的檔案,如下圖所示:
3.檔案名及路徑,如下圖所示:
十一、該證據檔案中Windows目錄下存在哪些注冊表檔案,請找到并一一指出檔案名及路徑:
操作步驟:
1.使用取證神探-點擊注冊表分析,查看注冊表檔案,檔案名及路徑,如下圖所示:
十二、該證據檔案所在的計算機的IP地址、子網掩碼、網關和DNS服務器的內容
操作步驟:
1.使用取證神探-點擊取證-勾選網卡資訊,查看計算機的IP地址、子網掩碼、網關和DNS服務器的內容,如下圖所示:
十三、證據檔案所在的作業系統型別
操作步驟:
1.使用取證神探-點擊取證-勾選系統資訊,查看計算機的作業系統為Windows XP,如下圖所示:
十四、證據檔案所在的作業系統運行CCPROXY.EXE的次數及最后運行時間
1.此證據檔案未搜索到CCPROXY.EXE的次數及最后運行時間
十五、證據檔案所在的作業系統的關機時間
操作步驟:
1.使用取證神探-點擊取證-勾選系統資訊,查看計算機的作業系統的關機時間為:2010/05/17 14:20:18,如下圖所示:
十六、證據檔案所在的作業系統最近打開的檔案和運行的程式
操作步驟:
1.使用取證神探-點擊用戶行為分析-勾選2010年檔案夾-按時間降序排序,查看計算機的作業系統最近打開的檔案和運行的程式為:創建W2.doc檔案,如下圖所示:
十七、證據檔案中有沒有內容完全一樣的檔案,如有,請找出來
操作步驟:使用哈希計算證據檔案中內容完全一樣的檔案
十八、查明證據檔案所在的作業系統使用過的USB設備
操作步驟:
1.使用取證神探-點擊取證-勾選USB設備使用記錄,查看證據檔案所在的作業系統使用過的USB設備,如下圖所示:
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/373870.html
標籤:其他