手动打开e01镜像文件并进行计算机取证
每次开始一篇新的关于取证的博客,我必须要不断重复:真实性、关联性、合法性。
1.问题引入
在上电子取证课的时候,老师展示了一道题目,大意就是怀疑张三泄漏公司机密,泄密对象为6张灵猴的图片,现在对他的电脑进行证据固定,制作镜像文件为Disk.e01。经过证据固定及哈希计算,Disk.e01 MD5值为:F3EAAE7667BBB9E42F846408C65A7FBA。
首先我们需要明白一件事情,就是固定证据的时候不应当只使用MD5,因为有弱碰撞性,而应当同时使用sha-1、sha-256等算法进行多个加密。
取证大师对Disk.e01的使用可以转到我的同分类博客下的另一篇博客《使用取证大师进行计算机取证》。我们重点关注以下几个问题:
首先我们需要对文件真实性进行验证,既然给了我们md5的值,我们就用MD5进行分析。
对dish.e01进行MD5加密,结果为:
现实生活中真的很要注意这点,司法人员必须一丝不苟!!!
我们寻找工具,打开已有的Disk.e01文件。苦苦寻觅,找到AccessData FTK Imager.exe,打开镜像文件后:
惊喜的发现,这款软件可以转换镜像的格式,那么我们先把它转换为大多数镜像分析软件都支持的aff或者dd格式吧,万一用得着了呢。
这里我们介绍Volatility这一工具,找到一篇介绍:https://blog.csdn.net/soda_199/article/details/79644303
这里我又找到一篇硕士论文:《计算机取证磁盘镜像研究与虚拟仿真实现》,作者是重庆邮电大学的李继伟,真诚推荐给大家去下载观看。
2.剖析E01
下面我抽取里面关于e01镜像文件的阐述,进行学习和分析。
文件结构暂不在此说明,关于其访问方式,第一种是通过开源项目Libewf实现,一种是通过第三方实现。国内常见的支持E01镜像文件访问的软件主要有GetData Mount Image Pro、AccessData FTK Imager和OSFMount等。随从论文,我们使用GetData Mount Image Pro将镜像文件映射为本地磁盘驱动,然后再将镜像文件中的操作系统加载到虚拟机上运行。
这个文件的下载可以我的百度网盘:链接: https://pan.baidu.com/s/1X0gvXnwd_8TUjL2GuNTyww 提取码: ku66 复制这段内容后打开百度网盘手机App,操作更方便哦.解压密码:linholer
使用第三方软件访问E01镜像的好处在于开发人员可以在不了解景象文件的数据结构和操作系统启动过程的情况下,逐步实现镜像文件系统在虚拟机中的启动。简化工作量的同时,也使得取证磁盘将文件格式的支持力度得到了扩展。
辛辛苦苦找到了绿色版,却出现了报错,说是镜像已损坏,因为重新下载之后仍未成功,应该是软件问题,还是正版才行呀。
那么我们使用AccessData FTK Imager吧]
将其挂在到虚拟机的盘上:
查看此电脑:
伴着问题,我们一点点挖掘此计算机文件。
1.张三最近用哪个帐号登录。
方法1:我们可以从Windows系统日志中查看。去原计算机C盘即当前为F盘,地址为AccessData FTK Imager,我们可以看到有AppEvent、SecEvent和SysEvent。
安全日志文件:c:\sys temroot\sys tem32\config\SecEvent.EVT
系统日志文件:c:\sys temroot\sys tem32\config\SysEvent.EVT
应用程序日志文件:c:\sys temroot\sys tem32\config\AppEvent.EVT
直接使用日志查看器,显示SecEvent.EVT已经损坏了
方法2:使用微软的LogParser尝试一下:
查询结果也是损坏了:
这个问题,方法在,实际中出现了损坏。
2.U盘使用记录
使用UseViewr2012,打开F盘的记录:
可以看到不是张三干的。
3.是否用过Private Disk?
系统盘\WINDOWS\Prefetch下,里面有记录曾经运行过什么程序
4.上网都搜些什么内容信息
本次读取的浏览器记录是IE浏览器的,它会保存index.bat,一般位于C:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files
我们使用Index.dat Suite进行查看:
打开其中一个:
c
其一浏览记录:
其中嫌疑人也登录过monkey.pictures.cn,增大了嫌疑。
当然,也可以看到,嫌疑人多次使用了邮箱。
5.通讯软件的使用
找到软件数据保存的位置,我们发现了skype:
第一个文件夹是接收文件的记录,第二行可以看到有张三的账号文件记录
使用skype聊天记录查看器进行查看张三的聊天记录:
聊天记录内容:
张三::)
李四:Hello
张三:好
张三:最近在忙什么了
李四:最近忙着出差,上次邮件发给我的资料收到了
李四:效果不错
张三:好的
李四:恩。最近有没有一些新的东东,记得给我最新的一份资料
李四:有更好的资料,价格方面进一步商谈,上次的酬金还满意吧。
张三:没问题, (handshake)
李四:ok,前两天跟你要的资料早点给我落实下
张三:嗯,已经差不多了。查看方式照旧。
李四:好的,到时候我通过卡号或支付宝账号给你转账了。 (handshake)
张三:ok
李四:我先下了,88
张三:88
看到这儿,我们就明白了,张三使用邮箱发送给李四,李四使用支付宝进行支付酬金。我们如果控制了其邮箱和支付宝,势必可以直接找到犯罪记录和交易记录。
通过用户名我们也可以知道张三的手机号特征是尾号1681
这里也把最后一个问题回答了,张三有泄漏资料的嫌疑,泄漏对象就是李四。
取证之路漫漫,吾将四面八方而求索~
手动打开e01镜像文件并进行计算机取证相关推荐
- 从虚拟光驱启动计算机,手把手教你使用win10/win8自带的”虚拟光驱“(资源管理器)挂载打开ISO镜像文件-系统操作与应用
-亦是美网络...
对于ISO文件,大家都知道它是光盘镜像文件,一般情况下,我们可以通过在光盘上安装虚拟光驱软件来挂载打开ISO镜像文件,或者在系统里安装压缩/解压缩软件对ISO镜像文件进行解压缩,就目前来说,这也是大家 ...
- win10无法装载iso文件_Win10如何使用自带虚拟光驱打开ISO镜像文件?
Win10如何使用自带虚拟光驱打开ISO镜像文件?ISO文件也就是光盘镜像文件,我们可以在光盘上安装虚拟光驱软件来挂载打开ISO镜像文件,也可以利用解压缩软件来打开ISO镜像文件,而在Win10系统我 ...
- 使用win10自带虚拟光驱打开ISO镜像文件
使用win10自带虚拟光驱打开ISO镜像文件非常的简单. 工具/原料 电脑 win10系统 方法/步骤 第一种方法,双击ISO文件.打开"我的电脑",打开所要打开的ISO文件所在的 ...
- linux生成initrd,手动创建系统启动镜像文件:initrd.img
手动创建系统启动镜像文件:initrd.img 有时候为了能让某些模块提前加载,修改系统启动引导文件可能是唯一方法:下面是从网上摘录的提前加载multipath所需模块并提前启动multipath的过 ...
- 光盘镜像,如何打开光盘镜像文件?
光盘镜像就是将光盘中的内容原封不懂地封装成一个文件,这样便于下载保存,在使用时通过虚拟光驱读取镜像中的内容,如同将光盘放在光驱中一样,可以获取到 ... 什么是光盘镜像,光盘镜像是什么意思? 光盘镜像 ...
- Linux下如何打开img镜像文件
有些镜像文件为IMG格式,在Linux如何打开呢?例如从微软dreampark下载的Windows Server 2008 R2镜像文件,使用file命令查看: $ file chs_windows_ ...
- linux 如何打开iso镜像文件,linux下如何读取使用iso 镜像文件的方法
http://www.jb51.net/os/RedHat/2682.html 如果拷贝到本地,可以使用mount mount fileName mountPoint -o loop,fileName ...
- UltraISO软碟通安装ISO文件的操作方法,怎么打开iso镜像文件的操作方法
很多的用户们刚刚接触UltraISO,还不熟悉UltraISO软碟通安装ISO文件是怎么使用的?今日在此篇文章内小编就为你们带来了UltraISO软碟通安装ISO文件的详细使用步骤介绍. UltraI ...
- Android的img镜像文件打开
有时需要获取系统的一些资源,就需要打开img镜像文件:可以使用:ext2explore.exe.exe 此篇以打开Android API 22的system.img为例,system.img文件可以在 ...
最新文章
- Linux中的简单文本处理
- 当铅笔芯加上直流电压的时候
- CentOS 升级PHP
- esp32 micropython 加密_ESP32 MicroPython教程:使用SHA-256
- CAD绘图工具AutoCAD 2022 for Mac
- 用python 打开qq自动输入账号密码登陆 (python3 案例1)
- 阅读html查看器,手机HTML查看器
- idea中安装uml工具插件
- beetl模板使用场景_Beetl使用指南
- 接收前端传回的JSON字符串,并存入数据库
- 计算机丢失lame,libmp3lame64.dll
- python如何调用数学函数_Python_函数调用_数学函数_组合
- 360插件化踩坑记录(二),RePlugin安装、启动插件无反应
- 2018年最新传智播客黑马WEB前端36期全套视频教程
- ArcGIS基础实验操作100例--实验13 数字化面图形的技巧
- 华容道源代码android,基于Android的华容道游戏的源代码
- Android--Button、TabLayout英文小写自动变为大写的问题
- 2021icpc亚洲赛区沈阳站总结
- LeetCode:974. Subarray Sums Divisible by K - Python
- C#,.net使用特性类,将json转为实体时验证字段
热门文章
- java.net.SocketException: Connection reset by peer: socket write error
- (最全)数据结构各排序算法时间复杂度,空间复杂度,稳定性比较
- 企业对劳动仲裁不理该怎么解决
- 基于sklearn的机器学习 - 创建分类器
- 画表格自动生成html语言,HTML——绘制表格-Go语言中文社区
- 广东省一本大学哪些学计算机,广东九所一本高校填报攻略
- 电销机器人是如何获客的?
- GDB自动化脚本编写笔记一
- 数据结构与算法思维导图(目录)
- php图书馆管理系统的设计与实现毕业设计-附源码