实训目标
1、了解AccessData FTK Imager使用方法;
2、了解XP访问过的网站存放在什么文件里;
解题思路
把文件下载下来
运行 AccessData FTK Imager
File -> Add Evidence Item...
选择打开image file
点击 finish
文件路径:
root/Documents and Settings/lihua/Local Settings/History/History.IE5/MSHist012018110120181102/index.dat
数据区右键选择 show text only
将所有数据复制到文本文件进行分析
http://192.168.153.128/webhtml
题目说了是不知名,文本中那么多网站,只有这个是不知名的,所以我们尝试一下,发现正确
收获
Documents and Setting\管理员名称\Local Settings\内。很多临时文件放在这里,用来收藏夹、浏览网页的临时文件,编辑文件等。