[墨者学院] Windows硬盘文件分析取证(访问的网站地址)

于 2022-06-02 14:29:11 发布
阅读量563 收藏 1
点赞数
分类专栏: # 电子取证 文章标签: 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czw2479/article/details/125094932
版权

 

背景介绍

犯罪嫌疑人使用XP系统访问了一个不知名的网站,分析硬盘文件,找到这个网站。

实训目标

1、了解AccessData FTK Imager使用方法;

2、了解XP访问过的网站存放在什么文件里;

解题方向

分析硬盘文件,找到网站记录文件。

解题步骤

下载文件,是个zip压缩包,里面是个E01后缀的ewf格式文件

1. 用AccessData FTK打开

File -> Add Evidence Item...,选择打开image file

点击Finish完成

点开root,看到Windows分区根目录文件

2. 浏览器访问过的网站

文件的位置在

Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat

用文本编辑器打开。

里面一堆网站,但既然说不知名网站。那有域名的应该就可以排除一下了

最后看到

 http://192.168.153.128/webhtml

答案就是这个了(这题有点坑)

零溢出
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(四)计算机取证-用FTK Imager-X ways Forensics取证复制
m0_47110032的博客
05-31 2589
计算机取证-用FTK Imager-X ways Forensics取证复制
Linux硬盘镜像获取与还原(dd、AccessData FTK Imager)
L592181260的博客
11-25 4667
1、硬盘镜像获取工具:dd dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。 1.1 本地取数据 查看磁盘及分区 # fdisk -l 获取整个磁盘镜像文件 # dd if=需要拷贝的磁盘 of=/存储目录/镜像文件 (确保存储目录有足够的空间) 1.2 远程取硬盘数据· 克隆硬盘或分区的操作,不应在已经mount的的系统上进行,采取远程取的办法这样可以避免破坏现场。 NC远程传输文件 从受害机器A拷贝文件取证机器B。需要先在取证机器
【FTK Imager篇】FTK Imager中文设置教程
蘇小沐的电子数据取证博客
11-25 1万+
FTK Imager汉化、FTK Imager中文版 FTK Imager一款功能强大的镜像取证工具,但默认是不支持语言切换功能的,对于大部分人,尤其是新入门的小伙伴来说,还是中文界面看着更得心应手些,下面提供一个简单的方法,那就是修改“注册表”,一键就可以切换为中文。 —【suy】 文章目录FTK Imager汉化、FTK Imager中文版一、FTK Imager中文界面1、文件2、查看英文界面二、汉化、切换中文步骤1、新建txt2、写入下面代码3、改后缀为.reg,双击运行即可汉化中英文切换对照三、注
【FTK Imager篇】FTK Imager制作镜像详细介绍
热门推荐
蘇小沐的电子数据取证博客
11-26 1万+
FTK Imager制作镜像详细介绍 以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番—【suy】 文章目录FTK Imager制作镜像详细介绍一、磁盘镜像制作步骤(一)选择源证据类型1、路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器(P)(二)选择需要做的磁盘(三)选择镜像类型(四)填写案件信息(可选)(五)设置镜像参数!1、镜像保存位置、镜像名2、是否分卷!!!默认分卷不分卷3、加
【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证
蘇小沐的电子数据取证博客
11-23 7019
【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证 主要是Linux镜像仿真(DD、E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的”磁盘占用“,导致无法成功仿真的问题!—【suy】 文章目录【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证一、FTK Imager 挂载镜像1、FTK Imager“可写”模式*"注意一"!!!二、新建VMware虚拟机1、选择客户端镜像系统2、磁盘类型选择“SATA”*"注意二"!!!3、本地磁盘*"注意三"!!!4、
墨者 - Windows硬盘文件分析取证(访问网站地址)
吃肉唐僧的博客
07-11 726
用ftk打开镜像文件 搜索history,发现是ie5搜索的 找到dat文件,这里说明一下index.dat文件 在微软windows操作系统中,index.dat是一个由Internet Explorer和资源管理器创建的文件。这个文件的功能就像一个数据库,随系统启动。它的功能在于收集个人信息,就像网址,搜索字符串,和最近打开的文件。它的职责就像数据库中的索引。简单来说,当IE开启...
FTKImage用户手册
04-29
强大的取证工具,非常适合取证新手。 FTK综合分析软件做为美国AccessData公司的专业电子数据检验工具软件包, 是世界顶级的电子数据检验软件之一,它集成了提取、恢复、挖掘、分析、查找及报告等所有数据检验功能。 FTK综合分析软件进入中国电子数据检验行业已超过十年, 其强大的检验分析功能得到了业内人士的广泛认可。
【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真
蘇小沐的电子数据取证博客
10-26 1万+
【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真 ​ 星河滚烫,人生有理想! ​ —【suy999】 文章目录【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真(一)使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"!!!(三)VMware新
AccessData FTK Imager 4.2
09-16
AccessData FTK Imager 4.2.0 最新版的FTK Imager;超级好用哦。
AccessData FTK Imager
04-26
ftk image 最好的取证镜像工具之一
AccessData FTK Imager 中文语言包
07-05
FTK中文语言包 FTK Imager 是免费的镜像工具,功能强大,支持几十种镜像格式,E01、DD、L01、DMG、VMDK、VHD、AD1,使用过程中几乎没有遇到挂在不了的镜像格式。FTK Imager强大之处还在于可以获取当前内存镜像、获取受保护的文件,例如直接获取当前系统的注册表文件。另外,此工具完全免费,而且是绿色的,安装后复制安装目录到任意地方都可以直接运行。
AccessData_FTK_Imager--4.2.1 最新版本
05-08
AccessData_FTK_Imager--4.2.1 最新版本取证工具。镜像挂载,镜像制作等功能
FTK Imager
12-13
证据镜像勘察工具,最大特点能挂载镜像进行仿真,扫描EFS加密数据,提取内存
WebShell文件上传漏洞分析溯源
02-22
WebShell文件上传漏洞
spring IOC实现(墨者革离)
12-12
该代码主要用于spring IOC的实现(墨者革离),模拟一个城门叩问的编剧场景
墨者未必黑.pdf
12-26
墨者未必黑.pdf
墨者安全专家 v3.7.2.9
03-12
及时清理上网历史记录、网银注册信息、系统临时文件及cookies等,全面保护个人隐私,防范由此带来的安全威胁。 5、墨者防火墙 快速评估系统的网络防护状态,通过配置病毒防火墙,控制非法网络访问,帮助用户有效抵御...
墨者学院 windows硬盘文件分析取证(新建的用户名) 犯罪嫌疑人在使用过电脑之后并
最新发布
12-15
墨者学院Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值