本文详细介绍了如何使用Encase软件处理电子取证案件,包括查找删除的DOC文档和图片、识别文件扩展名篡改、提取赌博相关网页记录、导出压缩文件、分析证据文件的文件系统信息、验证MD5散列值、识别不同编码的TXT文件以及查找特定条件的DOC文件等步骤。
文章目录
-
- **取证初级案例操作大纲**
-
- 1) 证据文件中有没有存在被删除的Doc文档?如果有的话,请导出并记录文件名及路径:
- 2) 证据文件中有没有存在被删除的图片?如果有的话,请记录文件名及路径:
- 3) 证据文件中哪几份Word文档扩展名被修改为.bmp? 请记录文件名及路径:
- 4) 证据文件中哪几个JPG图片扩展名修被改为.doc? 请记录文件名及路径:
- 5) 嫌疑人涉嫌参赌,请导出赌博相关上网记录网页,并记录文件名及路径:
- 6) 证据文件中有几个压缩文件?请导出,并记录文件名及路径:
- 7) 该证据文件所在分区的文件系统,总容量,簇数量,扇区数量,每簇扇区数。
- 8) 加载该证据文件生成分区的MD5散列值是:
- 9) 文件\Office\TXT\test用哪个编码可以正常查看,请选择( **D** ):
- 10) 证据文件中存在大于200K、创建日期大于2010-5-1且后缀名为.doc的文档,请找出,并记录文件名及路径:
- 11) 该证据文件中Windows目录下存在哪些注册表文件,请找到并一一指出文件名及路径:
- 12) 该证3据文件所在的计算机的IP地址、子网掩码、网关和DNS服务器的内容。
- 13) 证据文件所在的操作系统类型。
- 14) 证据文件所在的操作系统运行CCPROXY.EXE的次数及最后运行时间。
- 15) 证据文件所在的操作系统的关机时间。
- 16) 证据文件所在的操作系统最近打开的文档和运行的程序。
- 17) 证据文件中有没有内容完全一样的文件,如有,请找出来。
- 18) 查明证据文件所在的操作系统使用过的USB设备。
取证初级案例操作大纲
请使用Encase软件,加载Test-new.E01证据文件,并通过相关操作后,回答以下问题:
1) 证据文件中有没有存在被删除的Doc文档?如果有的话,请导出并记录文件名及路径:
使用过滤脚本-用类别扩展名过滤-选中办公文档文件-勾选只显示删除的文件-点击OK,如下图所示:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xFg6JIpH-1668847308262)()]](https://i-blog.csdnimg.cn/blog_migrate/7eefb6ba3e901ba1fe9b9edc5e38c132.png#pic_center)
一共检索出一个DOC文档D1.Doc,路径:Case1\Test\Deleted\D1.doc
2) 证据文件中有没有存在被删除的图片?如果有的话,请记录文件名及路径:
使用过滤脚本-用类别扩展名过滤-选中图像文件-勾选只显示删除的文件-点击OK,如下图所示:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IRK1wE5n-1668847914965)(https://s2.loli.net/2022/11/19/4EbRqOpv2UJYTuP.png#pic_center)]](https://i-blog.csdnimg.cn/blog_migrate/06c5ca6b06c7066ea6ca9696e731d8bc.png#pic_center)
一共检索出4张图片,文件名及路径,如下图所示:
3) 证据文件中哪几份Word文档扩展名被修改为.bmp? 请记录文件名及路径:
使用过滤脚本-用个别扩展名过滤-选中bmp-点击OK,如下图所示:
最低0.47元/天 解锁文章
1961
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
