Windows系统浏览痕迹检验

这次来讲一些计算机取证方面知识,是上课的时候老师讲的,我觉得在实际生活中也有比较大的用途,所以拿到这里再详细梳理一遍,大家都能够有所进步。

一:系统自启动项的管理

工具:Autoruns

可以查看到进程相应的镜像路径和相应注册表所处的位置,这样可以更加方便地查看计算机启动项加以管理,清除顽固启动项

二:重写文件时间属性

工具:NewFileTime

这些时间都是可以随便改的,并不具有权威性

然而今天才十月4号

三:文件的唯一哈希值

文件:hash.exe

能够查看文件唯一的哈希值,看似鸡肋的功能却有大用处

1.在下载完文件后,查看md5值是否与官网相同,如果不同,说明要么是下载出现错误,要么就是被黑客劫持文件,你这会儿下载的是他经过更改后的文件,或者直接就是木马。

2.每次修改完文件后md5值都会发生更改,演讲前自己的文稿或者自己的毕业论文等一定要再三保护好,防止有人恶意更改,保存好这一串md5值,当需要时与最后一次保存时的md5值比对一下,如果相同就说明没有更改。这样就省去一个个字的去看了。

我这里没有发生更改,因为我只更改了文件名称,而更改文件名md5等值是不会发生变化的

四:u盘等设备的使用记录

工具:USBDeview

取证人员可以用它来查看这台电脑上u盘等各种设备的使用记录,最后一次使用时间,第一次使用时间,设备信息等。坏人可以用他来删除记录,销毁证据...

学会计算机取证后至少要知道别人借你电脑后都干了些什么吧.嘻嘻嘻.....

五:查看操作记录

工具:LastActivityView

LastActivityView是一款简洁实用的电脑操作记录查看软件。该软件直接调用系统日志,能显示安装软件、系统启动、关机、网络连接、执行的程序等几乎所有的电脑使用记录发生的时间和路径,让你更加了解自己不在时电脑有没有被人使用过以及电脑使用记录。

你的每一步记录在这里都写的清清楚楚...

六:查看网页浏览痕迹

工具:idsuite

可以自动扫描磁盘中所有index.dat文件,查看其中保存的浏览记录

七:查看邮件头信息

对于我这种小白来说里面有用的信息只有发送者的ip地址,然后可以拿ip定个位置,大神们可以以这个分析出邮件服务器的架构等,里面还有很多有用的信息,只是我不知道其他的有什么用。



原来玩电脑,遇见卡了只会一味的抱怨垃圾电脑,随着对计算机的了解越来越深,越发现计算机内部的操作好复杂,是多么的不容易。


计算机取证,博大精深,值得玩玩。

你可能感兴趣的:(Windows系统浏览痕迹检验)