案件名称 | |
送检单位 | |
鉴定单位 | |
鉴定时间 | 2024年 6月 |
声 明
1. 委托人应当向本鉴定中心提供真实、完整、充分的鉴定材料,并对鉴定材料的真实性、合法性负责。
2. 鉴定人按照法律、法规和规章规定的方式、方法和步骤,遵守和采用相关技术标准和技术规范进行鉴定。
3. 鉴定中心实行鉴定人负责制度。鉴定人依法独立、客观、公正地进行鉴定,不受任何个人和组织的非法干预。
4. 使用本鉴定文书应当保持其完整性和严肃性。
地 址
联系电话:
“找图片”鉴定报告书
编号:郑州光明鉴定中心[2016]一检字第1号
一、基本情况
委 托 人
委托鉴定事项:
使用镜像为1GB大小的DD格式文件,完成2部分,第一部分为场景题,第二部分为单项题,
场景题:
案件嫌疑人甲,居住在上海,在案发以后潜逃,现缴获甲某使用的笔记本一台,并将其硬盘的C盘复制成DD镜像。侦查人员希望通过笔记本找到一些相关信息,要求如下:
1、 嫌疑人使用的MSN帐号;
2、 嫌疑人的相关个人信息:身份证号,姓名;
3、 嫌疑人是否已经离开上海,如果已经离开目的地是哪里,什么时间、何种途径离开;
4、 导出Apple iPod USB Device的使用记录并给出其序列号;
单项题:
在镜像中找到下列图片:
镜像中隐藏了如上图所示图片,分别标记为1、2、3、4、5、6。请找出这些图片,并描述使用的方法,图片存放的位置和它的MD5值。
附加题:
受理日期:
2024年6月24日-2024年6月27日
鉴定材料:
编号: 2024-604-检材1
名称: DD镜像
容量:1GB
数量: 1
鉴定日期:
2024年6月4日
鉴定地点:
在场人员:
- 检案摘要
案件嫌疑人甲,居住在上海,在案发以后潜逃,现缴获甲某使用的笔记本一台,并将其硬盘的C盘复制成DD镜像。
三、检验过程
(一)鉴定方法
本鉴定依据以下标准进行检验:
GA/T 756-2008 《数字化设备证据数据发现提取固定方法》
GA/T 1069-2013 《法庭科学电子物证手机检验技术规范》
GB/T 29360-2012 《电子物证数据恢复检验规程》
GB/T 29362-2012 《电子物证数据搜索检验规程》
(二)实施检验
鉴定设备:美亚FL-300TS电子数据取证实训设备
鉴定软件:取证大师教育版(64位)版本:V6.1.60980RTM
1、记录检材情况
一台笔记本
2、准备环境
启动检验鉴定专用设备,运行杀毒软件对系统进行全盘病毒查杀,确保鉴定环境的安全;运行截图软件记录关键发现;在设备C盘下新建文件夹“C:\Users\admin\Desktop”找图片,用于存放本次鉴定中从“2024-604-检材1”中提取的涉案数据。
3、制作检验用例
计算“2024-604-检材1”的DD镜像的MD5值见表1
表1“2024-604-检材1”的DD镜像的MD5值
检验对象 | MD5值 |
DD镜像 | af8fa7a8065a95aec2bc8e4a46b53419 |
将文件“1G.dd”复制到“C:\Users\admin\Desktop\找图片”下,检验复制后的“1G.dd”文件与原始文件的一致性。对C:\Users\admin\Desktop\找图片1G.dd文件计算MD5值其中MD5值为“AF8FA7A8065A95AEC2BC8E4A46B53419”,如图1 ,将结果输出到文件C:\Users\admin\Desktop\找图片 镜像.txt”中。
图1文件哈希值
4、鉴定过程
打开取证大师教育版,从D:\案例\01找图片中选择1G.DD镜像文件进行解析,见图2
图2选择解析文件
(1)嫌疑人使用的MSN帐号。在“即时通讯”中发现查看msn账号信息,见图3,并将结果导出到“C:\Users\admin\Desktop\找图片 图3.png”
图3 MSN账号
(2)嫌疑人的相关个人信息:身份证号,姓名。在即时通讯的消息记录中查看相关个人信息:身份证号,姓名,如图4,并将结果导出到“C:\Users\admin\Desktop\找图片 个人信息.html”中。
图4个人信息
(3)嫌疑人是否已经离开上海,如果已经离开目的地是哪里,什么时间、何种途径离开。在即时通讯的MSN\stmc441@hotmail.com消息记录中查看聊天记录,如图5可以推算出,并将结果导出到“C:\Users\admin\Desktop\找图片 个人信息.html”中。
图5交通信息
(4)导出Apple iPod USB Device的使用记录并给出其序列号。在“系统痕迹\USB设备使用痕迹\正常的USB设备使用痕迹”查看Apple iPod USB Device的使用记录和及其序列号,如图6,并将结果导出到“C:\Users\admin\Desktop\找图片 使用记录.html”中。
图6 使用记录
(5)单项题:
在镜像中找到下列图片:
镜像中隐藏了如上图所示图片,分别标记为1、2、3、4、5、6。请找出这些图片,并描述使用的方法,图片存放的位置和它的MD5值。
1、5号 如图7
图7 5号图片
在“自动取证\1G.dd\文件分析\照片Exif信息分析\其他”中找到5号图片,并将图片导出至E:\找图片下。
2、2号 如图8
图8 2号图片
在“自动取证\1G.dd\文件分析\文件分类\图片\JPEG图片”中找到2号图片,并将图片导出至E:\找图片下。
3、6号图片 如图9
图9 6号图片
在“自动取证\1G.dd\文件分析\文件分类\办公文档\Word文档”中找到6号图片,并将文件导出至E:\找图片下。
4、4号 如图10
图10 4号图片
在“自动取证\1G.dd\文件分析\可疑签名文件\rip4.dat中的rip4.jpg”中找到4号图片,并将图片导出至E:\找图片下。
5、1号 如图11
图11 1号图片
在“自动取证\1G.dd\文件分析\可疑签名文件\rip1.exe”中找到1号,并将文件导出至E:\找图片下,将文件后缀改为“jpg”。
6、3号 如图12
图12 3号图片
经数据恢复后,在“当前设备\1G.dd\分区1_SYSTEM[C]\签名恢复结果\20240711185941\PNG图片”中找到3号,并将图片导出至E:\找图片下。
(6)附加题:
如图13
图13 10分
经数据恢复,在“当前设备\1G.dd\分区1_SYSTEM[C]\格式化恢复结果\20240711185941\NTFS”中,找到该图片,并将图片导出至E:\找图片下。
5、证据数据固定
对E:\找图片中证据文件逐一计算MD5值,见表2 所示。将证据文件MD5值的信息存放在E:\找图片\MD5.txt。对文件MD5.txt计算MD5值为:“A5F88A38FDD041381D0B1C28D7662CAF”。
四、鉴定结果
根据委托方要求,对“参加编号15DE0051”的检材采用GA/T 756-2008、GA/T1069-2013、GB/T 29362-2012、GB/T 29362-2012方法,使用取证大师教育版(64位)版本:V6.1.60980RTM等专业软件进行技术鉴定,在检材中提取(恢复)固定到与案情有关可疑文件9个、鉴定截图13个,详见“表2电子证据文件清单”。
序号 | 名称 | MD5 |
1 | _ip2.jpg | A59C654FB992B7B62C888F75FA83CEDA |
2 | 1G.dd | AF8FA7A8065A95AEC2BC8E4A46B53419 |
3 | abc.doc | A9E8946355EFC340E1248644C1128847 |
4 | rip1.jpg | 7C5254750C98B9028BBE3E3DD75BCDC7 |
5 | rip4.JPG | C6794613E7497EF6D7A44AD72BCC05B0 |
6 | rip7.jpg | CB675DFC69A8C078CAA4C81D0C3C7040 |
7 | 个人信息.html | 06E17CC273ED04D1EF9ADF8C56A726E5 |
8 | 镜像.txt | F9C7823D6CCD290AE91328CC062A2EDB |
9 | 使用记录.html | C91592A5C66C0ECE843D10241EC22E37 |
10 | 图1.png | 1DB532254C0718F3E25892DC95E2E9F2 |
11 | 图2.png | B800E32D0154998691EFAFBAC787DFA6 |
12 | 图3.png | 7BFA3722C8D2EC078C689E2490D9FEA0 |
13 | 图4.png | EE346AEF063FACC7B1B4F031435C7D65 |
14 | 图5.png | 2B7B6C7E712B5B011EA7636855034D24 |
15 | 图6.png | 48326DD556BC3B6FD609192F40DCD49A |
16 | 图7.png | 90BDA7D50E445BADBACD2FB36389A024 |
17 | 图8.png | 985864AC0872AC79014FF429FC09BF68 |
18 | 图9.png | B1AE3DC6F2D77666FD6F48CAF973EBFE |
19 | 图10.png | 9DC81A8E0A80F4F16C68C16397E35900 |
20 | 图11.png | 230A607C097A6E53EC9129BDF59EFD40 |
21 | 图12.png | BDF8C62FCDAEE2A5E3FF96CFFCF5E816 |
22 | 图13.png | A0A1F12CA9289639EABD7F2E44609FF3 |
根据检验过程,对鉴定要求答复如下:
1、“2024-604-检材1”的DD镜像的MD5值
检验对象 | MD5值 |
DD镜像 | af8fa7a8065a95aec2bc8e4a46b53419 |
2、检材中提取到MSN账号1个,为:stmc441@hotmail.com,详见检验得到的文件:“图3.png”。
3、嫌疑人姓名为:钱清,身份证号为: 31011017650909333,详见检验得到的文件:“图4.png”。
4、嫌疑人已经离开上海,如果已经离开目的地是天津,离开途径为飞机,时间是2009-03-11 10点左右,详见检验得到的文件:“图5.png”。
5、设备Apple iPod USB Device的使用记录见“USB.rar”,其序列号为: 000A2700112F255C 。详见检验得到的文件:“图6.png”。
6、(1)在“自动取证\1G.dd\文件分析\照片Exif信息分析\其他”中找到5号图片,详见检验得到的文件:“图7.png”。
(2)在“自动取证\1G.dd\文件分析\文件分类\图片\JPEG图片”中找到2号图片,详见检验得到的文件:“图8.png”。
(3)在“自动取证\1G.dd\文件分析\文件分类\办公文档\Word文档”中找到6号图片,详见检验得到的文件:“图9.png”。
(4)在“自动取证\1G.dd\文件分析\可疑签名文件\rip4.dat中的rip4.jpg”中找到4号图片,详见检验得到的文件:“图10.png”。
(5)在“自动取证\1G.dd\文件分析\可疑签名文件\rip1.exe”中找到1号,详见检验得到的文件:“图11.png”。
(6)经数据恢复后,在“当前设备\1G.dd\分区1_SYSTEM[C]\签名恢复结果\20240711185941\PNG图片”中找到3号,详见检验得到的文件:“图12.png”。
7、附加题:
经数据恢复,在“当前设备\1G.dd\分区1_SYSTEM[C]\格式化恢复结果\20240711185941\NTFS”中,找到该图片,详见检验得到的文件:“图13.png”。
五、落款
鉴定人签名:
《鉴定人资格证书》证号:2024
鉴定人签名:
《鉴定人资格证书》证号:0611
授权签字人签名:
(鉴定机构鉴定专用章)
2024 年 6 月 11 日