标签：取证 大纲 文件 bmp 点击 如下 初级 所示 操作步骤

取证初级案例操作大纲

一、证据文件中有没有存在被删除的Doc文档？如果有的话，请导出并记录文件名及路径：

操作步骤：

1. 使用过滤脚本-用类别扩展名过滤-选中办公文档文件-勾选只显示删除的文件-点击OK，如下图所示：
   

2. 检索出删除的Doc文档，一共检索出一个DOC文档D1.Doc，如下图所示：
   

3. 文件名：D1.Doc ，路径：Case1\Test\Deleted\D1.doc，如下图所示：
   

二、证据文件中有没有存在被删除的图片？如果有的话，请记录文件名及路径：

操作步骤：

1. 使用过滤脚本-用类别扩展名过滤-选中图像文件-勾选只显示删除的文件-点击OK，如下图所示：
   

2. 检索出删除的图像文件，一共检索出4张图片，如下图所示：
   

3. 文件名及路径，如下图所示：
   

三、证据文件中哪几份Word文档扩展名被修改为.bmp? 请记录文件名及路径：

操作步骤：

1. 使用过滤脚本-用个别扩展名过滤-选中bmp-点击OK，如下图所示：
   

2. 检索出所有的bmp文件，一共4个bmp文件，如下图所示：
   

3. 选中D1.bmp，通过Picture模式查看图片，经过查看D1.bmp，D2.bmp都能正常显示，如下图所示：
   
   

4. 选中R1.bmp，R2.bmp文件，通过Picture模式查看图片，经过查看R1.bmp，R2.bmp都无法正常显示图片，并观察对应的WinHex，发现R1和R2都是由Word修改成bmp文件，如下图所示：
   

四、证据文件中哪几个JPG图片扩展名修被改为.doc? 请记录文件名及路径：

操作步骤：

1. 使用过滤脚本-用类别扩展名过滤-选中办公文档文件-勾选只显示删除的文件-点击OK，如下图所示：
   

2. 检索出所有的doc文件，一共7个doc文件，如下图所示：
   

3. 对比7个doc文件，我们通过WinHex发现其中R4.doc,R5.doc,R6.doc，的文件记录头都是JFIF图片类型，如下图所示：
   

4. 文件名及路径，如下图所示：
   

五、嫌疑人涉嫌参赌，请导出赌博相关上网记录网页，并记录文件名及路径：

操作步骤：

1. 使用Keywords-导入关键字-新建一个新的关键字为下注-填写Search expression和Name-选中Active Code-page,GREP-点击确定，如下图所示：
   

2. 选中新建的下注关键字，点击Search搜索，设置如下图所示：
   

3. 点击Start开始搜索，搜索成功后勾选Console,Note，如下图所示：
   

4. 找到菜单栏下Search Hits，点击刚刚我们搜索的关键字，在视图中以及显示出了关于下注的相关内容，如下图所示：
   

六、证据文件中有几个压缩文件？请导出，并记录文件名及路径：

操作步骤：

1. 使用个别扩展名过滤脚本-用类别扩展名过滤-选中压缩文件类下的所有类型格式-点击OK，如下图所示：
   

2. 检索压缩文件，一共检索出1个压缩文件，如下图所示：
   

3. 选中E1.rar文件，右键Export..导出，选择导出目录后点击OK，如下图所示：
   

4. 文件名及路径，如下图所示：
   

七、该证据文件所在分区的文件系统，总容量，簇数量，扇区数量，每簇扇区数

操作步骤：

1. 使用取证神探-选中加载的磁盘，查看证据文件所在分区的文件系统，总容量，簇数量，扇区数量，每簇扇区数，如下图所示：
   

八、加载该证据文件生成分区的MD5散列值

操作步骤

1. 使用取证神探-选中加载该证据文件生成分区的MD5散列值，生成分区的MD5散列值是：E880DA57990334D80C6DAB21D7F52557
   

九、文件\Office\TXT\test用哪个编码可以正常查看，请选择( B )：
(A)GB2312 (B)Unicode (C)Big5 (D)UTF-8

十、证据文件中存在大于200K、创建日期大于2010-5-1且后缀名为.doc的文档，请找出，并记录文件名及路径：

操作步骤：

1. 使用Queries模块-右键新建一个新的过滤条件组Query7-选中Query7右键Add Filters-勾选以下三个过滤条件-点击OK，如下图所示：
   

2. 检索文件，一共检索出2个符合以上要求的文件，如下图所示：
   

3. 文件名及路径，如下图所示：
   

十一、该证据文件中Windows目录下存在哪些注册表文件，请找到并一一指出文件名及路径：

操作步骤：

1. 使用取证神探-点击注册表分析，查看注册表文件，文件名及路径，如下图所示：
   

十二、该证据文件所在的计算机的IP地址、子网掩码、网关和DNS服务器的内容

操作步骤：

1. 使用取证神探-点击取证-勾选网卡信息，查看计算机的IP地址、子网掩码、网关和DNS服务器的内容，如下图所示：
   

十三、证据文件所在的操作系统类型

操作步骤：

1. 使用取证神探-点击取证-勾选系统信息，查看计算机的操作系统为Windows XP，如下图所示：
   

十四、证据文件所在的操作系统运行CCPROXY.EXE的次数及最后运行时间

1. 此证据文件未搜索到CCPROXY.EXE的次数及最后运行时间
   

十五、证据文件所在的操作系统的关机时间

操作步骤：

1. 使用取证神探-点击取证-勾选系统信息，查看计算机的操作系统的关机时间为：2010/05/17 14:20:18，如下图所示：
   

十六、证据文件所在的操作系统最近打开的文档和运行的程序

操作步骤：

1. 使用取证神探-点击用户行为分析-勾选2010年文件夹-按时间降序排序，查看计算机的操作系统最近打开的文档和运行的程序为：创建W2.doc文档，如下图所示：
   

十七、证据文件中有没有内容完全一样的文件，如有，请找出来

操作步骤：使用哈希计算证据文件中内容完全一样的文件

十八、查明证据文件所在的操作系统使用过的USB设备

操作步骤：

1. 使用取证神探-点击取证-勾选USB设备使用记录，查看证据文件所在的操作系统使用过的USB设备，如下图所示：
   

标签：取证,大纲,文件,bmp,点击,如下,初级,所示,操作步骤
来源： https://www.cnblogs.com/zovt/p/15622402.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。