背景介绍
犯罪嫌疑人使用XP系统访问了一个不知名的网站,分析硬盘文件,找到这个网站。
实训目标
1、了解AccessData FTK Imager使用方法;
2、了解XP访问过的网站存放在什么文件里;
解题方向
分析硬盘文件,找到网站记录文件。
解题步骤
下载文件,是个zip压缩包,里面是个E01后缀的ewf格式文件
1. 用AccessData FTK打开
File -> Add Evidence Item...,选择打开image file
点击Finish完成
点开root,看到Windows分区根目录文件
2. 浏览器访问过的网站
文件的位置在
Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat
用文本编辑器打开。
里面一堆网站,但既然说不知名网站。那有域名的应该就可以排除一下了
最后看到
http://192.168.153.128/webhtml
答案就是这个了(这题有点坑)