数字取证一 证据固定、文件过滤、文件类型、文件签名、文件哈希

最新推荐文章于 2024-01-26 20:20:11 发布
最新推荐文章于 2024-01-26 20:20:11 发布
阅读量1.9k 收藏 21
点赞数 3
分类专栏: 数字取证 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caoyitong/article/details/123754950
版权

实验一:

1.创建磁盘镜像,校验哈希值并获取磁盘摘要或报告。

校验哈希值正确。

2. 查找所有分区中,扩展名为 doc 和 docx 的所有文档有多少个?

在点击的“文件名称”属性旁边的小漏斗,过滤出含有doc,docx文件名称。

在每个分区中选择浏览递归。

在分区1中筛出5个文件。

在分区2中筛出11个文件。

在分区3中筛出5个文件。

在分区4中筛出1个文件。

一共筛出了22个文件。

3.统计分区2中,路径名称包含mobile的文件数量

在上方空白处,添加“路径”的属性。

在“路径”属性,筛选路径中含有“mobile”的文件。

在各个分区中浏览递归,在分区2中找到了3个文件。

4.查找FTK软件保存在哪个分区

在“文件名称”属性中,筛选名字中含有“FTK”的所有文件。

在分区4中找到了FTK文件。

5.除去Windows目录下所有的lnk文件

首先在“路径”属性下,筛选路径是在windows目录下的文件。

发现只有在分区1中,存在Windows目录,共有93个文件。

在“文件名称”属性中,筛选出所有Windows目录下除了lnk文件以外的其他文件。

筛出了除了lnk文件以外的,85个文件。

6. 过滤分区 3 之中,2011 年 5 月 27 日 13 时之后创建的文件

在“创建时间”属性中,过滤出2011 年 5 月 27 日 13 时之后创建的文件

筛出了308个文件。

实验二:

1. 判断所有文件签名状态,发现分区1中签名不匹配的图片文件数量。找到哈利波特三人组图片

首先进行磁盘快照。

导出文件后,点击文件名称上方的根目录和子目录所在的空白处,更改签名状态的数值,查看签名状态属性。

点击签名状态前面的小漏斗,选择查找“不匹配”的文件。

显示选择了1475个文件。

进一步设置过滤文件类型,缩小查找范围。点击文件类型前的小漏斗,选择所有的picture型。

查找出来了165个图片文件。

选择缩略图查看方式,找到我们要的那张图片。

找到了,是文件“82EB3d01”

右键点击图片,点击“恢复/复制”

选择输出目录,将图片导出。

成功导出,更改扩展名,可以成功打开。

2.发现分区1中,被人为修改扩展名的压缩文件。通过文件内容,找到会议举办的时间和地点;找到X-Ways Forensics软件的作者的照片。

在上面的基础上,取消查找picture型。选择查找Archives/Backup型

查找出来了138个文件。

可以看到峰会简版.bak

打开后

时间和地点为:

2008年12月

中国北京香港

X-ways Forensics软件作者的照片。

3.请计算分区 2 的 MD5 值和 SHA-256 值。

在上方菜单栏,选择“工具”里的“计算哈希值”

计算MD5

MD5计算的哈希值:

BAC8E6B5D6311A8DBDB3A65E0C5F4652

计算SHA-256

SHA-256计算的哈希值:

C7CD38078E7F603AEEC678298D2DC38DA397D3A06D1E65BCDD3818E7993026C4

用镜像的方法:

 

结果是一样的。

4. 分区 4 和分区 5 中,有多少个文件不相同?

右键选择分区4,“浏览递归”,然后全选分区4的文件,点击右键。选择“创建哈希集”。

哈希库选择HDB#1,将哈希集重新命名,这里命名为“part4”

全选分区5,点击右键选择“进行磁盘快照”

选择我们刚刚做好的哈希库part4,让分区5与分区4进行比对。

操作完成后,选择查看“哈希库”属性

可以看到在哈希库那一列,有些行没有匹配上,现在我们把它们筛出来。

检测到有9个文件。

同样操作分区5,分区5浏览递归,然后全选分区5,右键选择“创建哈希集”。

然后全选分区4,右键选择“进行磁盘快照”

选择新创建的分区5的哈希集part5,点“确定”。

同样操作,筛选分区4的“哈希库”属性中不匹配part5的行

发现了78个文件。

5.将分区 4 和分区 5 中相同的文件隐藏掉。隐藏之后分区 4 有多少个文件?

继续上一步的操作,在“哈希库”的属性处选择part5,将哈希库属性列中为part5的文件筛出。

筛出576个文件。

全选,右键选择“隐藏”。

在分区4的“描述”属性上进行过滤

筛出了78个文件,576个文件被过滤掉了。

6. 找到桌面背景图片,计算这个图片的哈希值。

首先上网查到

系统壁纸默认保存在\WINDOWS\Web\Wallpaper下

所以在过滤“文件类型”属性下选择“picture”,在“路径”属性中填写\WINDOWS\Web\Wallpaper,然后进行过滤。

一共筛出了39个文件。

然后在底下看到了“Windows XP.jpg”,它看起来很像桌面壁纸,那就它了。

计算它的哈希值;

该图片的哈希值:76562319D7018B8EAC3C90CEC4AE33AE

江南无妖
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
数字取证技术综述
09-24
很权威的文章 很全面系统的介绍了数字图像取证技术 学图像的可以看看
数字取证-入门操作(持续更新)
zip471642048的博客
04-11 2883
查看内存文件的详情 volatility_2.6_win64_standalone>volatility_2.6_win64_standalone.exe -f worldskills3.vmem imageinfo 获取内存文件的用户hash值 volatility_2.6_win64_standalone>volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP0x64 hashdump 内
WinHex16.3SR2.rar
03-04
Winhex是 X-Ways公司出品的一款 十六进制编辑、 磁盘编辑软件,其公司网站对其功能介绍如下: 可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑 支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统 可支持重组RAID及动态磁盘 附带数据恢复功能 可以访问物理内存及虚拟内存 内置数据解释器,可以识别解释20种数据类型 可以用数据结构模板查看、编辑结构数据 可以分割与合并文件 可以对文件进行分析与对比 具有灵活的搜索和替换功能 可以对磁盘进行克隆 可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理 具有编程接口,支持脚本操作 支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算 支持对磁盘进行数据安全销毁 包含ANSI ASCII, IBM ASCII, EBCDIC, Unicode字符集 支持文件大小超过4GB
22款受欢迎的计算机取证工具
农村的我的专栏
10-16 6664
原文转载于:http://www.freebuf.com/sectool/136921.html 计算机取证是与计算机和网络犯罪有关的,一门非常重要的计算机学科分支。在早前,计算机只用于生成数据,但现在已扩展到与数字数据相关的所有设备。计算机取证的目标是通过使用数字资料的证据来进行犯罪调查,以找出网络相关罪行的主要责任人。 为了更好的用于研究和调查,开发人员创建了多样的计算机取证工具。
2021美亚杯第七届中国电子数据取证团体赛题目详解write up
weixin_42744595的博客
11-14 7894
2021“美亚杯”第七届中国电子数据取证团体赛题目详解
【转载】什么是数字取证(Digital forensics)?
Chahot的博客
02-07 7119
数字取证定义 数字取证(Digital forensics),有时也称作“计算机取证”,是将科学调查技术应用于数字犯罪和攻击领域的一门学问。它是法律和商业在互联网时代的一个重要体现方面,可以是一个有益且有利可图的职业道路。 DFIRLABS的首席取证科学家Jason Jordaan将数字取证定义为“数字证据的识别、保存、检查和分析,使用经过科学认可和验证的过程,并在法庭上最终呈现该证据以回答某些法律问题。” 这是一个非常好的定义,但需要注意的一点是,该术语有时用于描述任何类型的网络攻击调查,即使不涉及执法.
计算机磁盘功能,X-ways Forensics磁盘快照功能介绍
weixin_39727402的博客
07-25 1691
一般使用X-ways司法分析软件案件加载证据文件或磁盘以后,首先要对磁盘进行磁盘快照,经过磁盘快照以后,它会把案件中的压缩文件、电子邮件以及附件解开,删除的数据恢复出来。经过磁盘快照的数据会比未经过磁盘快照时的文件数量更多,此时进行搜索得到的结果也会更准确依据文件系统搜索并恢复目录及文件:将当前磁盘中的删除、丢失文件全部恢复。通过文件签名搜索并恢复文件:根据文件签名值搜索特定类型格式文件,如:可以...
电子数据取证-存储介质检验概述
2302_80585579的博客
01-26 172
一、电子数据取证专业名词术语1、未分配空间系统临时文件(temp)、访问临时文件、文档编辑时产生的临时文件。2、历史记录:浏览器、IIS访问、操作系统、防火墙3、未分配簇文件系统中没有被任何文件占用的数据块#未分配空间可能也有未被覆盖的数据4、文件残留区簇:文件存储的最小单位,簇由多个扇区组成5、隐藏文件的方式硬盘加密(bios加密)、压缩包加密 、Bitlocker加密、office文件加密、虚拟容器加密、修改文件拓展名、EFS文件加密(不能发给别人,只能自己查看)、信息隐写6、散列值。
【FTK Imager篇】FTK Imager磁盘镜像的哈希报告翻译
蘇小沐的电子数据取证博客
11-29 2281
【FTK Imager篇】FTK Imager磁盘镜像的哈希报告翻译 FTK Imager制作完镜像后,会生成镜像文件哈希报告,来验证镜像文件哈希值和驱动器哈希值在创建镜像后是否匹配,以用作基准来证明案例证据的完整性。 —【suy】 文章目录【FTK Imager篇】FTK Imager磁盘镜像的哈希报告翻译磁盘哈希报告哈希报告翻译 磁盘哈希报告 哈希报告翻译 文本翻译的可能不够准确,仅供参考! 名称 时间 最后编辑日期: 2020 年 11 月 29 日 ...
ACME 数字取证计算机Sherlock Lite数据手册.doc
09-23
ACME 数字取证计算机Sherlock Lite数据手册doc,主要介绍Sherlock Lite的特点及技术规格,Sherlock Lite 是数字取证完美的便携式解决方案, 不再需要笨重的设备和重型计算机,使得从现有的硬盘数据大量进行复制不再是一件困难的事
案例分析1_实验报告.docx
06-15
一、实验项目名称 案例分析练习题1 二、实验目的 1、熟悉取证大师的使用 2、使用取证大师加载磁盘镜像“案例分析练习.E01”,并对该镜像进行分析。 要求寻找下列问题: 1)新建案例,命名为“计算机取证实验案例分析”,并填写调查人员姓名,添加设备镜像“案例分析练习.E01” 。 2)分析该案例中相关操作系统信息操作系统版本? 3)系统安装时间? 4)最后一次正常关机时间? 5)嫌疑人登录Windows 的用户名为? 6)网卡的IP 地址为? 7)该对象曾在IE 浏览器输入哪些网址? 8)该案例中Windows 最近运行记录包括哪些? 9)该对象最近访问过哪些文档? 10)在现场勘查中搜查到里对象的一个U 盘,设备名称为“SMI USB DISK USB Device”,请确认对象是否在该计算机中使用过,如果有,请找出其最后一次使用该设备的时间? 11)通过取证分析,请确认对象是否删除过“201005210.jpg”图片,如果有请找出其具体的删除时间? 12)该案例中网络映射的地址为? 13)快速找出案例中被删除的jpg 和txt 文件数? 14)该对象曾经使用了什么邮件客户端进行收发邮件? 15)通过技术分析,可以得知对象计算机曾经用过哪些类型的反取证技术手段? 16)分析出案例中对象恶意修改过扩展名的jpg 图片有几张?分别为? 17)该案例镜像文件的md5 值为? 18)该案例中文件“4.JPG”的md5 值为?
VB6获取文件哈希值源代码
05-16
VB6获取文件哈希值源代码,模块化,无第三方控件,直接可用。
文件哈希校验工具(GetFileHash)
最新发布
03-15
一款文件哈希校验工具,可以对文件进行Sha1、Sha256、Md5、Crc32 校验,速度很快。
文件哈希码生成工具.zip
12-18
C#开发,含源码,可根据实际需要而改动代码,编译成自己定制的工具。工具代替人,效率会提高很多,且工具在于反复使用,用得越多,创造的价值越多,需要的请拿去!
相关文件哈希值(MD5)修改工具(文件指纹修改工具)
02-22
用于修改视频或者文件相关哈希值的工具,主要用于修改视频资源的哈希值,可批量进行修改,操作简单,是一个可执行文件,也称之为文件指纹修改工具。 如果想了解如何操作,以及源代码,可以关注我,看我文章介绍!!!
文件Hash哈希检查工具
02-25
可以对文件的版本、修改时间、MD5、SHA1和CRC32进行检查,防止恶意篡改。
四种电子取证软件的比较
caoyongsheng的博客
09-02 6559
3)在证据处理速度方面,新版本Encase的“证据处理器(Evidence Processor)”具备多线程处理的功能,它不但能帮助用户自动化完成常用的取证任务,保证后期取证工作的顺利进行,而且调查人员还可以添加自定义的EnScript到证据处理器中,同时不必分别检查每一个EnScript的结果,调查人员还可以对EnScript结果建立索引,进行全局搜索,或查看某一特定EnSript的所有证据,这些改进,都能大大提高证据处理速度。2)将静态取证、自动取证和动态取证三种方式集成于一身,是该软件的一大优势。
Leetcode_part1
vjhghjghj的博客
02-15 1173
m
简单例子说明全盘哈希文件哈希的区别
07-10
好的,让我给你一个简单的例子来说明盘哈希文件哈希的区别。 设你有一个硬盘上存储了三文件:A.txt、B.txt和C.txt。 盘哈希: 你可以对整个硬盘全盘哈希计算,生成一个唯一哈希值来表示整个硬盘的内容。如果你对硬盘进行了全盘希计算,并且得了哈希值为12345。那,只要硬盘上的任何一个或块发生了改变,重新算全盘哈希将得到一个完全不同的哈希值。 文件哈希: 相反地,你也可以对每个文件分别进行文件哈希计算,生成不同的哈希值来表示各个文件的内容。假设对文件A.txt进行文件哈计算得到哈希值为111,对文件B.txt得到哈希值为222,对文件C.txt得到哈希值为333。如果你修改了文件A.txt的内容,并重新计算其文件哈希,将得到一个不同于111的新哈希值。 通过这个例子可以看出,全盘哈希表示整个存储介质的完整性,而文件哈希表示特定文件的完整性。对存储介质进行任何更改都会导致全盘哈希值的变化,而只有对特定文件进行更改才会导致文件哈希值的变化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值