取證初級案例操作大綱

取證初級案例操作大綱

一、證據文件中有沒有存在被刪除的Doc文檔？如果有的話，請導出並記錄文件名及路徑：

操作步驟：
1.使用過濾腳本-用類別擴展名過濾-選中辦公文檔文件-勾選只顯示刪除的文件-點擊OK，如下圖所示：

2.檢索出刪除的Doc文檔，一共檢索出一個DOC文檔D1.Doc，如下圖所示：

3.文件名：D1.Doc ，路徑：Case1\Test\Deleted\D1.doc，如下圖所示：

二、證據文件中有沒有存在被刪除的圖片？如果有的話，請記錄文件名及路徑：

操作步驟：
1.使用過濾腳本-用類別擴展名過濾-選中圖像文件-勾選只顯示刪除的文件-點擊OK，如下圖所示：

2.檢索出刪除的圖像文件，一共檢索出4張圖片，如下圖所示：

3.文件名及路徑，如下圖所示：

三、證據文件中哪幾份Word文檔擴展名被修改為.bmp? 請記錄文件名及路徑：

操作步驟：
1.使用過濾腳本-用個別擴展名過濾-選中bmp-點擊OK，如下圖所示：

2.檢索出所有的bmp文件，一共4個bmp文件，如下圖所示：

3.選中D1.bmp，通過Picture模式查看圖片，經過查看D1.bmp，D2.bmp都能正常顯示，如下圖所示：

4.選中R1.bmp，R2.bmp文件，通過Picture模式查看圖片，經過查看R1.bmp，R2.bmp都無法正常顯示圖片，並觀察對應的WinHex，發現R1和R2都是由Word修改成bmp文件，如下圖所示：

5.文件名及路徑，如下圖所示：

四、證據文件中哪幾個JPG圖片擴展名修被改為.doc? 請記錄文件名及路徑：

操作步驟：
1.使用過濾腳本-用類別擴展名過濾-選中辦公文檔文件-勾選只顯示刪除的文件-點擊OK，如下圖所示：

2.檢索出所有的doc文件，一共7個doc文件，如下圖所示：

3.對比7個doc文件，我們通過WinHex發現其中R4.doc,R5.doc,R6.doc，的文件記錄頭都是JFIF圖片類型，如下圖所示：

4.文件名及路徑，如下圖所示：

五、嫌疑人涉嫌參賭，請導出賭博相關上網記錄網頁，並記錄文件名及路徑：

操作步驟：
1.使用Keywords-導入關鍵字-新建一個新的關鍵字為下注-填寫Search expression和Name-選中Active Code-page,GREP-點擊確定，如下圖所示：

2.選中新建的下注關鍵字，點擊Search搜索，設置如下圖所示：

3.點擊Start開始搜索，搜索成功后勾選Console,Note，如下圖所示：

4.找到菜單欄下Search Hits，點擊剛剛我們搜索的關鍵字，在視圖中以及顯示出了關於下注的相關內容，如下圖所示：

六、證據文件中有幾個壓縮文件？請導出，並記錄文件名及路徑：

操作步驟：
1.使用個別擴展名過濾腳本-用類別擴展名過濾-選中壓縮文件類下的所有類型格式-點擊OK，如下圖所示：

2.檢索壓縮文件，一共檢索出1個壓縮文件，如下圖所示：

3.選中E1.rar文件，右鍵Export..導出，選擇導出目錄后點擊OK，如下圖所示：

4.文件名及路徑，如下圖所示：

七、該證據文件所在分區的文件系統，總容量，簇數量，扇區數量，每簇扇區數

操作步驟：
1.使用取證神探-選中加載的磁盤，查看證據文件所在分區的文件系統，總容量，簇數量，扇區數量，每簇扇區數，如下圖所示：

八、加載該證據文件生成分區的MD5散列值

操作步驟
1.使用取證神探-選中加載該證據文件生成分區的MD5散列值，生成分區的MD5散列值是：E880DA57990334D80C6DAB21D7F52557

九、文件\Office\TXT\test用哪個編碼可以正常查看，請選擇( D )：
(A)GB2312 (B)Unicode (C)Big5 (D)UTF-8

十、證據文件中存在大於200K、創建日期大於2010-5-1且后綴名為.doc的文檔，請找出，並記錄文件名及路徑：

操作步驟：
1.使用Queries模塊-右鍵新建一個新的過濾條件組Query7-選中Query7右鍵Add Filters-勾選以下三個過濾條件-點擊OK，如下圖所示：

2.檢索文件，一共檢索出2個符合以上要求的文件，如下圖所示：

3.文件名及路徑，如下圖所示：

十一、該證據文件中Windows目錄下存在哪些注冊表文件，請找到並一一指出文件名及路徑：

操作步驟：
1.使用取證神探-點擊注冊表分析，查看注冊表文件，文件名及路徑，如下圖所示：

十二、該證據文件所在的計算機的IP地址、子網掩碼、網關和DNS服務器的內容

操作步驟：
1.使用取證神探-點擊取證-勾選網卡信息，查看計算機的IP地址、子網掩碼、網關和DNS服務器的內容，如下圖所示：

十三、證據文件所在的操作系統類型

操作步驟：
1.使用取證神探-點擊取證-勾選系統信息，查看計算機的操作系統為Windows XP，如下圖所示：

十四、證據文件所在的操作系統運行CCPROXY.EXE的次數及最后運行時間
1.此證據文件未搜索到CCPROXY.EXE的次數及最后運行時間

十五、證據文件所在的操作系統的關機時間

操作步驟：
1.使用取證神探-點擊取證-勾選系統信息，查看計算機的操作系統的關機時間為：2010/05/17 14:20:18，如下圖所示：

十六、證據文件所在的操作系統最近打開的文檔和運行的程序

操作步驟：
1.使用取證神探-點擊用戶行為分析-勾選2010年文件夾-按時間降序排序，查看計算機的操作系統最近打開的文檔和運行的程序為：創建W2.doc文檔，如下圖所示：

十七、證據文件中有沒有內容完全一樣的文件，如有，請找出來

操作步驟：使用哈希計算證據文件中內容完全一樣的文件

十八、查明證據文件所在的操作系統使用過的USB設備

操作步驟：
1.使用取證神探-點擊取證-勾選USB設備使用記錄，查看證據文件所在的操作系統使用過的USB設備，如下圖所示：