任务一 选择Z01.Peter.e01镜像:
练习一:分析JMXM021-技术资料-客户名单.lnk文件,该文件被拷贝后,是否被编辑过?
练习二:分析JMXM021-技术资料-文档.lnk文件、 JMXM021-技术资料-文档.docx文件,该文件被拷贝后,是否被编辑过?
练习三:分析JMXM021-技术资料-客户名单.lnk文件,该文件被拷贝后,是否被移动过?
任务二 选择C01-CCFC-Windows XP.001镜像,使用鉴证大师:
练习一:查找Sprite编辑过的所有Office文件。
(数据分析后,选择文件信息-office文件,查找Sprite创建和编辑过的文件)
练习二:计算所有电子邮件中,总共有多少个附件?
练习三:所有图片中,由macOS系统的Photoshop工具编辑过的图片有多少个?
任务三 选择Z01镜像:
分析JMXM010.lnk文件的打开痕迹,描述针对JMXM010目录下的数据都做过哪些操作?
首先进行过滤,找到文件
找到文件JMXM021-技术资料-客户名单.lnk
可以看到该文件的各项时间
发现该文件的创建时间比修改时间要完,创建时间就是拷贝时间,说明拷贝后并没有进行修改。
2.练习二
找到该文件JMXM021-技术资料-文档.lnk文件
可以看到该文件的各项时间
发现该文件的创建时间比修改时间要完,创建时间就是拷贝时间,说明拷贝后并没有进行修改。
找到文件JMXM021-技术资料-文档.docx,可以看到
修改时间在创建时间之后,说明在创建后,也就是重新拷贝后,该文件存在修改。
3.练习三
找到文件JMXM021-技术资料-客户名单.lnk
查看文件的末尾。当一个文件被打开,且 LNK 文件被创建后,两个 Filelocation 信息被嵌入到 LNK 文件的末尾。LNK 文件的最后 4 个字节是 00,之前的 64 个字节就是这两个Filelocation 信息。如果文件在 NTFS 中没有被移动过,那么这两个值应该是相同的。
可以看到最后两个Filelocation信息相同,所以该文件没有被移动过。
1. 查找Sprite编辑过的所有Office文件。
使用鉴证大师,打开镜像文件,对该磁盘文件进行磁盘快照,选择Office文件信息。
在左侧的栏目中选择“取证”,查看文件。
然后在“作者”栏进行过滤,查找Sprite编辑过
查找出来了15个记录。
2. 计算所有电子邮件中,总共有多少个附件?
进行磁盘快照,选择邮箱信息。
遍历每个邮箱的收件箱,查看所有邮箱附件。
在Foxmail收件箱中查找了22个记录。
在OutLook-Express收件箱中查找出了31条记录。
3. 所有图片中,由macOS系统的Photoshop工具编辑过的图片有多少个?
进行磁盘快照,选择照片Exif信息。
进入取证板块。
在程序一栏选择过滤,过滤含有Photoshop的程序。
发现1个文件是macOS系统的Photoshop工具编辑过的图片。
实验3 选择Z01镜像:
分析JMXM010.lnk文件的打开痕迹,描述针对JMXM010目录下的数据都做过哪些操作?
首先在分区中找到LogFile文件。
Ctrl+f 进行查找JMXM021.lnk
在LogFile文件中,JMXM021文件的创建时间是2016.04.2814:30:21
$LogFile文件中,JMXM021.lnk文件删除时间是2016/04/28 14:39:14
JMXM021.lnk文件的创建时间是2016/04/28 14:30:32
JMXM021.lnk文件的访问、修改时间是2016/04/28 15:38:09
Lnk目标文件F:\JMXM021 创建时间是2016/04/28 15:35:26
Lnk目标文件F:\JMXM021 修改时间是2016/04/28 15:35:28
分析得到:
2016/04/28 14:30:32,第一次打开过JMXM021目录
2016/04/28 15:35:26,创建了F:\JMXM021目录
2016/04/28 15:38:09,对F:\JMXM021目录进行了操作
2016/04/28 14:39:14,打开了同名的JMXM021目录