实验一:
1.创建磁盘镜像,校验哈希值并获取磁盘摘要或报告。
校验哈希值正确。
2. 查找所有分区中,扩展名为 doc 和 docx 的所有文档有多少个?
在点击的“文件名称”属性旁边的小漏斗,过滤出含有doc,docx文件名称。
在每个分区中选择浏览递归。
在分区1中筛出5个文件。
在分区2中筛出11个文件。
在分区3中筛出5个文件。
在分区4中筛出1个文件。
一共筛出了22个文件。
3.统计分区2中,路径名称包含mobile的文件数量
在上方空白处,添加“路径”的属性。
在“路径”属性,筛选路径中含有“mobile”的文件。
在各个分区中浏览递归,在分区2中找到了3个文件。
4.查找FTK软件保存在哪个分区
在“文件名称”属性中,筛选名字中含有“FTK”的所有文件。
在分区4中找到了FTK文件。
5.除去Windows目录下所有的lnk文件
首先在“路径”属性下,筛选路径是在windows目录下的文件。
发现只有在分区1中,存在Windows目录,共有93个文件。
在“文件名称”属性中,筛选出所有Windows目录下除了lnk文件以外的其他文件。
筛出了除了lnk文件以外的,85个文件。
6. 过滤分区 3 之中,2011 年 5 月 27 日 13 时之后创建的文件
在“创建时间”属性中,过滤出2011 年 5 月 27 日 13 时之后创建的文件
筛出了308个文件。
实验二:
1. 判断所有文件签名状态,发现分区1中签名不匹配的图片文件数量。找到哈利波特三人组图片
首先进行磁盘快照。
导出文件后,点击文件名称上方的根目录和子目录所在的空白处,更改签名状态的数值,查看签名状态属性。
点击签名状态前面的小漏斗,选择查找“不匹配”的文件。
显示选择了1475个文件。
进一步设置过滤文件类型,缩小查找范围。点击文件类型前的小漏斗,选择所有的picture型。
查找出来了165个图片文件。
选择缩略图查看方式,找到我们要的那张图片。
找到了,是文件“82EB3d01”
右键点击图片,点击“恢复/复制”
选择输出目录,将图片导出。
成功导出,更改扩展名,可以成功打开。
2.发现分区1中,被人为修改扩展名的压缩文件。通过文件内容,找到会议举办的时间和地点;找到X-Ways Forensics软件的作者的照片。
在上面的基础上,取消查找picture型。选择查找Archives/Backup型
查找出来了138个文件。
可以看到峰会简版.bak
打开后
时间和地点为:
2008年12月
中国北京香港
X-ways Forensics软件作者的照片。
3.请计算分区 2 的 MD5 值和 SHA-256 值。
在上方菜单栏,选择“工具”里的“计算哈希值”
计算MD5
MD5计算的哈希值:
BAC8E6B5D6311A8DBDB3A65E0C5F4652
计算SHA-256
SHA-256计算的哈希值:
C7CD38078E7F603AEEC678298D2DC38DA397D3A06D1E65BCDD3818E7993026C4
用镜像的方法:
结果是一样的。
4. 分区 4 和分区 5 中,有多少个文件不相同?
右键选择分区4,“浏览递归”,然后全选分区4的文件,点击右键。选择“创建哈希集”。
哈希库选择HDB#1,将哈希集重新命名,这里命名为“part4”
全选分区5,点击右键选择“进行磁盘快照”
选择我们刚刚做好的哈希库part4,让分区5与分区4进行比对。
操作完成后,选择查看“哈希库”属性
可以看到在哈希库那一列,有些行没有匹配上,现在我们把它们筛出来。
检测到有9个文件。
同样操作分区5,分区5浏览递归,然后全选分区5,右键选择“创建哈希集”。
然后全选分区4,右键选择“进行磁盘快照”
选择新创建的分区5的哈希集part5,点“确定”。
同样操作,筛选分区4的“哈希库”属性中不匹配part5的行
发现了78个文件。
5.将分区 4 和分区 5 中相同的文件隐藏掉。隐藏之后分区 4 有多少个文件?
继续上一步的操作,在“哈希库”的属性处选择part5,将哈希库属性列中为part5的文件筛出。
筛出576个文件。
全选,右键选择“隐藏”。
在分区4的“描述”属性上进行过滤
筛出了78个文件,576个文件被过滤掉了。
6. 找到桌面背景图片,计算这个图片的哈希值。
首先上网查到
系统壁纸默认保存在\WINDOWS\Web\Wallpaper下
所以在过滤“文件类型”属性下选择“picture”,在“路径”属性中填写\WINDOWS\Web\Wallpaper,然后进行过滤。
一共筛出了39个文件。
然后在底下看到了“Windows XP.jpg”,它看起来很像桌面壁纸,那就它了。
计算它的哈希值;
该图片的哈希值:76562319D7018B8EAC3C90CEC4AE33AE