X-ways一把梭2024年美亚杯U盘取证(MFT详解-附工具检材链接)

于 2024-12-30 23:11:44 发布
阅读量1.2k 收藏 24
点赞数 15
分类专栏: 电子数据取证 计算机取证 美亚杯 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37867238/article/details/144836332
版权

点击上方蓝字“小谢取证”一起玩耍

在取证中,你发现D盘被BitLocker 加密。U盘上可能有一些线索,你对U盘进行了取证。         

1.参考David_USB_8GB.e01,David 的U盘文件系统的格式?

A:NTFS; 

B:FAT32; 

C:exFAT; 

D:ReFS;

答案:A

解题思路:

使用X-ways选择文件-创建案件。

如果案件数据没有显示出来 可以在查看-显示-案件数据将其调出。    

          

案件创建完成后选择添加镜像

即可看到文件系统    

          

//NTFS (New Technology File System),是微软Windows NT内核系列操作系统支持的磁盘格式,为网络和磁盘配额、文件加密等管理安全特性设计

NFFS的基本数据结构

          

2.参考David_USB_8GB.e01,David 的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)?

A:128; 

B:256;

C:512;

D:1024

答案:C    

解题思路:加载完镜像直接查看即可。

          

3.参考David_USB_8GB.e01,David 的U盘中有多少个已删除的文件?

A:1;

B:2;

C:3;

D:4

答案:A

解题步骤:

          

4.承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少?    

A:16;

B:32;

C:64;

D:128

答案:C

考点:首先该文件系统为NTFS,

解题步骤:右键该文件-导航-转至文件记录(即查看该文件的MFT文件记录)

bitlocker_key.jpg的MFT文件记录    

              

          

          

属性列表(list):为MFT记录的主体,长度可变,起始偏移为0x30(相对于记录首字节的偏移),用于存放文件各种属性(大小、位置、时间等)。常见的是标准属性(0x10)、文件名属性(0x30)、数据流属性(0x80)和位图属性(0xB0)等,一个文件记录至少包含0x10和0x30属性。而每一属性又都有属性头(header)和属性体(body)的结构。MFT的结束标志为0x FF FF FF FF。         

如果想查看属性列表所代表的含义,可以使用“查看”-“模版管理器”

因为这边的NTFS的文件系统,所以我们选择NTFS模板,再选择应用            

          

我们可以看到对于0x10 0x30 0x80属性里头的具体内容

    

              

MFT中80属性

          

◇属性分常驻属性和非常驻属性:

          

(1)小文件和目录将全部(内容或索引信息)存储在MFT基本的文件记录里,其属性就称为常驻属性(residentattribute)。标准信息、文件名和索引根等属性总是常驻属性。NTFS对常驻属性的访问时间短。          

(2)大文件(目录)如果属性值超过1KB时,在基本的文件记录中就用一个指针指向MFT基本文件记录之外的一个外部簇,以此形成B-Tree(B+树)结构。值存储在运行中而不是在MFT文件记录中的属性称为非常驻属性(nonresidentattribute)。    

常驻属性和非常驻属性的判断方法为查看属性头的偏移(16进制)08是01还是00。00表示为常驻,01表示非常驻。所以此题我们参考非常驻属性头的分析表         

属性头(Header)对照表:

          

    

​          

回到题目当中,先定位到0x80,其后为DataRun数据。         

已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是0x40,十进制为64。    

          

所以这道题的运行偏移量为64(0x40转换为十进制为64)    

          

5.承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少?

A:0x4C3F0DB522;

B:0x4C3F0D22B5;

C:0x224C3F0DB5;

D:0x3F4C0DB522    

答案:A

步骤:鼠标停留在0x22后显示data runs 依据小端法,答案为0x0x4C3F0DB522

          

6.承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少?(答案格式:只需使用阿拉伯数字回答)    

答案:1796178

步骤:点击“详细”即可看到文件的实际大小

          

7.承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少?(答案格式:只需使用阿拉伯数字回答)

答案:19519    

解题思路:

运行偏移量是由NTFS系统下的DateRun格式决定的,例如,在此题中

Data runs:

22 B5 0D 3F 4C

          

Run 1:

Header = 0x22 - 2 byte length, 2 byte offset

          

Length = 0x0DB5 (2 byte)

          

Offset = 0x4C3F (2 bytes)

          

所以run offset 为0x4C3F,十进制为19519

MFT非常驻属性结构       

上图中,“3”代表簇流起始簇号的0x02AD0B的3个字节,“2”代表的簇流长度的簇流长度的0x0388的2个字节。题干中的运行偏移量即为簇流的起始簇号,即该文件内容的起始扇区位置。    

          

Run Length为0x0DB5 十进制为3509    

这题可以理解为该文件内容的起始扇区位置,所以查看详情即可。    

          

8.承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少?

A:2408; 

B:3509;

C:3128;

D:4021    

答案:B

解题思路如上。

          

9.承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少?

A:1000 x 2000;

B:2000 x 3000;

C:3000 x 4000;

D:4000 x 5000

答案:C

解题思路:文件详情即可查看。

              

10.承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄?

A:SAMSUNG SM-A425;

B:SAMSUNG SM-A4580;

C:SAMSUNG SM-A4260;

D:SAMSUNG SM-A5G

答案:C    

解题思路:文件详情即可查看。

    

软件及检材链接:

https://pan.baidu.com/s/1Y7_T_BhgRoz0kVhmc5D9Vw?pwd=n343 

提取码:n343

 

敬请各位大佬关注:小谢取证

小谢取证

专注于电子数据取证领域、网络空间资产测绘分析与新型网络犯罪调查、AIGC应用创作分享。

公众号

扫取二维码获取

更多精彩

小谢取证

2020第六届 美亚电子取证 团体赛 wp
ShenZ的博客
01-26 7390
2020第六届 美亚电子取证 团体赛 wp一、案情简介二、检材三、题目ZelloXenoBob 张伟华Bob的桌上计算机Bob iphoneSamsung S2Bob iMACCole 冯启礼Cole桌上计算机Cole笔记本计算机Cole笔记本的随机存取记忆体Cole的PICole NASCole手机Daniel 罗俊杰Daniel的桌上计算机Daniel的MacBookDaniel的iPhone 一、案情简介 你的电子数据取证调查结果发现一个国际黑客组织牵涉这宗案件。经深入调查后,调查队伍相信该黑客组
x-ways forensics v20.0
weixin_50184520的博客
11-24 4068
x-ways forensics是一款功能强大的综合取证分析软件,特别是当你需要对软件数据进行一个全面检测备份的时候,通过它可以很好的帮助用户解决这类难题。同时使用该款软件进行过分析记录之后,要是我们电脑内的数据不小心丢失或者是损坏不能用了,那么可能用它来进行恢复处理,当然了,它的主要功能还是给用户们提供一个取证分析的用处,能够把电脑内的所有情况都摸得干干净净的,保证不会存在漏查的情况。另外相比于其它相关的软件,该软件的优势之处就在于它的体积非常的小,不会占用电脑的内存资源,而且还可以使用u等随身携带着,
[X-Ways] X-Ways 法医从业者指南 (英文版)
11-27
☆ 资源说明:☆ [Syngress] X-Ways 法医从业者指南 (英文版) [Syngress] X-Ways Forensics Practitioner's Guide (E-Book) ☆ 图书概要:☆ The X-Ways Forensics Practitioner's Guide is more than a manual-it's a complete reference guide to the full use of one of the most powerful forensic applications available, software that is used by a wide array of law enforcement agencies and private forensic examiners on a daily basis. In the X-Ways Forensics Practitioner's Guide, the authors provide you with complete coverage of this powerful tool, walking you through configuration and X-Ways fundamentals, and then moving through case flow, creating and importing hash databases, digging into OS artifacts, and conducting searches. ☆ 出版信息:☆ [作者信息] Brett Shavers, Eric Zimmerman [出版机构] Syngress [出版日期] 201308月28日 [图书页数] 264页 [图书语言] 英语 [图书格式] PDF 格式
X-ways Forensics
jiangxinyu的专栏
10-26 4921
  X-ways Forensics 浏览点击数:0次 2007-1-20
X-Ways Forensics 13.0 中文汉化注册版.可用
04-29
X-Ways Forensics 13.0 中文汉化注册版.经过测试可用
X-Ways Forensics v20.0 SR-3:强大的数字取证工具
最新发布
gitblog_09750的博客
10-28 563
X-Ways Forensics v20.0 SR-3:强大的数字取证工具 【下载地址】X-WaysForensicsv20.0SR-3完整版下载 X-Ways Forensics v20.0 SR-3 完整版下载 项目地址: h...
X-Ways Forensics: 综合取证分析工具
热门推荐
子曰小玖的博客
08-15 1万+
X-Ways Forensics: 综合取证分析工具 X-Ways Forensics 是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析软件,可在 Windows XP/2003/Vista/2008/7/8/8.1/2012/10操作系统下运行,支持32 /64 位, Standard/PE/FE等版本。(Windows FE is describedhere,hereand...
计算机磁功能,X-ways Forensics磁快照功能介绍
weixin_39727402的博客
07-25 2174
一般使用X-ways司法分析软件案件加载证据文件或磁以后,首先要对磁进行磁快照,经过磁快照以后,它会把案件中的压缩文件、电子邮件以及件解开,删除的数据恢复出来。经过磁快照的数据会比未经过磁快照时的文件数量更多,此时进行搜索得到的结果也会更准确依据文件系统搜索并恢复目录及文件:将当前磁中的删除、丢失文件全部恢复。通过文件签名搜索并恢复文件:根据文件签名值搜索特定类型格式文件,如:可以...
《Winhex/X-ways 快速入门》印刷版
01-17
取证组组长Sprite撰写,两栖编整的X-ways Forensics快速入门打印版本。 用WinDjView程序打开X-Ways forensics快速入门即可
X-Ways 必会的基本操作 | CDF训练营
Cflab_net的博客
04-12 2951
CDF训练营又迎来新的一期,大家还记得Wendy当初分享的那些笔记吗?那期的入门篇整体介绍了 X-Ways 这个软件,同时也分享了基本的操作教程,有使用经历的亲们应该发现了: X-Ways的功能十分强大,但是功能太多了也会让人晕头转向。今天,我们分类讲讲几个最基本也是最重要的操作,掌握了今天的内容你将不再是小白!正文还没有入门的小伙伴们请戳
USB痕迹取证(windows)
01-11
USB痕迹取证(windows),收集电脑USB插拔痕迹,内容信息全面!手工取证分析必备!
计算机取证(Windows)FTK+X-Way取证复制
zsrzy的博客
04-05 8626
计算机取证(Windows)FTK+X-Way取证复制
取证工具prodiscover的基本操作
qq_52185773的博客
09-03 816
prodiscover 软件的基本操作
一文读懂电子数据取证
Button12138的博客
03-15 7800
网络安全大环境中,信息安全可以看作是解决事前防御问题,电子取证则是解决事后究责问题。
20款受欢迎的计算机取证工具
caoyongsheng的博客
08-30 4988
以上列举的都是些执法机构在进行网络犯罪调查时,常用到的数字取证工具。本文我为大家介绍了各种类型的工具,如如高级,免费,开源类的,针对计算机的取证,以及针对手机的取证等。如果你想学习或正在学习取证相关的知识,我建议大家可以下载以上列举的这些工具,进行深入的研究与学习。这将会有助于提高你的学习效率。除了本文列举的这些工具,其实市面上还有很多类似的优秀的工具。这需要大家自己去试验和挖掘。...
Windows环境取证
stillaway的博客
03-13 3078
电子取证里的Windows环境取证
虚拟机的创建与镜像导入
weixin_63155544的博客
12-19 5245
虚拟机的创建与镜像的导入
数据恢复笔记——NTFS文件系统
weixin_46146678的博客
05-18 5473
Winhex数据恢复(NTFS文件系统)DBR的数据结构NTFS文件系统的元文件主文件表MFTMFT属性类型10h属性体数据结构30h属性体的数据结构60h属性体的数据结构70h属性体的数据结构80h属性体的数据结构MFT属性中的属性头数据结构MFT的簇流运行数据结构手工提取文件数据手工提取片段文件数据常驻80h属性 DBR的数据结构 偏移 描述 00-02 跳转指令 0D-0D 每簇扇区数 28-2F 文件系统扇区总数 30-37 (MFT)主文件表起使簇号 跳转指令对应数
22款受欢迎的计算机取证工具
农村的我的专栏
10-16 7236
原文转载于:http://www.freebuf.com/sectool/136921.html 计算机取证是与计算机和网络犯罪有关的,一门非常重要的计算机学科分支。在早前,计算机只用于生成数据,但现在已扩展到与数字数据相关的所有设备。计算机取证的目标是通过使用数字资料的证据来进行犯罪调查,以找出网络相关罪行的主要责任人。 为了更好的用于研究和调查,开发人员创建了多样的计算机取证工具
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值