取证初级案例操作大纲

---

请使用Encase软件，加载Test-new.E01证据文件，并通过相关操作后，回答以下问题：

---

1) 证据文件中有没有存在被删除的Doc文档？如果有的话，请导出并记录文件名及路径：

使用过滤脚本-用类别扩展名过滤-选中办公文档文件-勾选只显示删除的文件-点击OK，如下图所示：

一共检索出一个DOC文档D1.Doc，路径：Case1\Test\Deleted\D1.doc

2) 证据文件中有没有存在被删除的图片？如果有的话，请记录文件名及路径：

使用过滤脚本-用类别扩展名过滤-选中图像文件-勾选只显示删除的文件-点击OK，如下图所示：

一共检索出4张图片，文件名及路径，如下图所示：

3) 证据文件中哪几份Word文档扩展名被修改为.bmp? 请记录文件名及路径：

使用过滤脚本-用个别扩展名过滤-选中bmp-点击OK，如下图所示：

通过Picture模式查看图片，经过查看D1.bmp，D2.bmp都能正常显示，R1.bmp，R2.bmp都无法正常显示图片，并观察对应的WinHex，发现R1和R2都是由Word修改成bmp文件，如下图所示：

文件名及路径，如下图所示：

4) 证据文件中哪几个JPG图片扩展名修被改为.doc? 请记录文件名及路径：

使用过滤脚本-用类别扩展名过滤-选中办公文档文件-勾选只显示删除的文件-点击OK，如下图所示：

检索出所有的doc文件，一共7个doc文件，如下图所示：

对比7个doc文件，我们通过WinHex发现其中R4.doc,R5.doc,R6.doc，的文件记录头都是JFIF图片类型，其对应文件名及路径，如下图所示：

5) 嫌疑人涉嫌参赌，请导出赌博相关上网记录网页，并记录文件名及路径：

使用Keywords-导入关键字-新建一个新的关键字为下注-填写Search expression和Name-选中Active Code-page,GREP-点击确定，如下图所示：

选中新建的下注关键字，点击Search搜索，设置如下图所示：

6) 证据文件中有几个压缩文件？请导出，并记录文件名及路径：

使用个别扩展名过滤脚本-用类别扩展名过滤-选中压缩文件类下的所有类型格式-点击OK，如下图所示：

一共检索出1个压缩文件，选中E1.rar文件，右键Export…导出，选择导出目录后点击OK，文件名及路径如下图所示：

7) 该证据文件所在分区的文件系统，总容量，簇数量，扇区数量，每簇扇区数。

使用取证神探-选中加载的磁盘，查看证据文件所在分区的文件系统，总容量，簇数量，扇区数量，每簇扇区数，如下图所示：

8) 加载该证据文件生成分区的MD5散列值是：

使用取证神探-选中加载该证据文件生成分区的MD5散列值，生成分区的MD5散列值是：E880DA57990334D80C6DAB21D7F52557

对比两个MD5散列值是否一致 一致

9) 文件\Office\TXT\test用哪个编码可以正常查看，请选择( D )：

(A)GB2312 (B)Unicode ©Big5 (D)UTF-8

10) 证据文件中存在大于200K、创建日期大于2010-5-1且后缀名为.doc的文档，请找出，并记录文件名及路径：

使用Queries模块-右键新建一个新的过滤条件组Query5-选中Query5右键Add Filters-勾选以下三个过滤条件-点击OK，如下图所示：

检索文件，一共检索出2个符合以上要求的文件，文件名及路径，如下图所示：

11) 该证据文件中Windows目录下存在哪些注册表文件，请找到并一一指出文件名及路径：

12) 该证3据文件所在的计算机的IP地址、子网掩码、网关和DNS服务器的内容。

13) 证据文件所在的操作系统类型。

14) 证据文件所在的操作系统运行CCPROXY.EXE的次数及最后运行时间。

15) 证据文件所在的操作系统的关机时间。

16) 证据文件所在的操作系统最近打开的文档和运行的程序。

17) 证据文件中有没有内容完全一样的文件，如有，请找出来。

18) 查明证据文件所在的操作系统使用过的USB设备。