文章目录
-
- **取证初级案例操作大纲**
-
- 1) 证据文件中有没有存在被删除的Doc文档?如果有的话,请导出并记录文件名及路径:
- 2) 证据文件中有没有存在被删除的图片?如果有的话,请记录文件名及路径:
- 3) 证据文件中哪几份Word文档扩展名被修改为.bmp? 请记录文件名及路径:
- 4) 证据文件中哪几个JPG图片扩展名修被改为.doc? 请记录文件名及路径:
- 5) 嫌疑人涉嫌参赌,请导出赌博相关上网记录网页,并记录文件名及路径:
- 6) 证据文件中有几个压缩文件?请导出,并记录文件名及路径:
- 7) 该证据文件所在分区的文件系统,总容量,簇数量,扇区数量,每簇扇区数。
- 8) 加载该证据文件生成分区的MD5散列值是:
- 9) 文件\Office\TXT\test用哪个编码可以正常查看,请选择( **D** ):
- 10) 证据文件中存在大于200K、创建日期大于2010-5-1且后缀名为.doc的文档,请找出,并记录文件名及路径:
- 11) 该证据文件中Windows目录下存在哪些注册表文件,请找到并一一指出文件名及路径:
- 12) 该证3据文件所在的计算机的IP地址、子网掩码、网关和DNS服务器的内容。
- 13) 证据文件所在的操作系统类型。
- 14) 证据文件所在的操作系统运行CCPROXY.EXE的次数及最后运行时间。
- 15) 证据文件所在的操作系统的关机时间。
- 16) 证据文件所在的操作系统最近打开的文档和运行的程序。
- 17) 证据文件中有没