- 12月 05 週六 200900:18
即時通歷史紀錄測試樣本
- 4月 01 週三 200915:33
FinalData 最新版本法證分析工具FinalForensics 3.1-3分鐘測試影片
FinalForensics的操作大家還沒有看到過。做了一個簡單的測試視頻,給大家看看,瞭解一下。
在見過的所有分析工具中,FinalForensics是Spirte認為最為簡單的,幾乎不用任何的培訓,拿過來就可以使用。而且數據分類的效果、中文 支持非常好,各種常用的數據都已經按照預定的分類歸納好了。這種方式和以前的ftk早期版本很像,也是很多人喜歡的方式。分析看來,將來對於普通需求,要 求技能不高的部門非常適合。終究30分鐘培訓估計就足夠了,而且分析結果非常直觀。
FinalForensics總結歸納了各種常規數據的類型,分別使用預覽、快速掃瞄、精細級掃瞄、簽名級掃瞄四種方式,根據不同需求、分不同層次對數據進行處理。
預覽方式下,不對數據進行分類,直接將數據導入案件中;
快速掃瞄,根據文件擴展名進行分類統計;
精細級掃瞄刪除的數據,判斷文件真實類型
簽名級掃瞄將從未分配空間中依據文件簽名挖掘各類文件。
個人認為,日常數據分析也無外乎這幾種情況了,自己可以結合自身需求選擇精細掃瞄程度和恢復的效果。
應該算是一個很好的工具。
轉自計算機取證技術
- 4月 01 週三 200915:24
Winhex Forensics 15.2 資料恢復測試FAT32 DD映像檔教學影片
本測試中,Sprite利用的是Whinex 15.2(法證版)對前面FAT32 DD鏡像中的刪除數據進行恢復。題目中的15個文件均成功被恢復出來,而且操作非常簡單。但恢覆文件中有3個文件的MD5值與原作者提供的MD5值不匹 配。分析原因為通過文件簽名搜索回的數據大小出現稍微的偏差,造成對文件MD5值計算出現了不同結果。視頻最後部分,Sprite將不同的md5簽名文件 標示了出來,供參考。
通過,通過觀看Sprite的操作,大家可以看到利用Winhex法證版/X-Ways Forensics對dd鏡像操作的基本過程。這個過程非常簡單,由此可以理解為什麼說X-Ways Forensics是一個操作簡單,功能強大的工具了。
轉自計算機取證技術
- 4月 01 週三 200915:23
Final Data 3.0 專業版與 X-Ways forensics 15.2 資料恢復教學影片
- 4月 01 週三 200915:21
EnCase教學影片(EN)
- 4月 01 週三 200915:16
WinHex 15.1 -恢復删除之文件和安全抹除文件
- 4月 01 週三 200915:02
重建磁碟分區表
數據恢復技術中很多是經驗,基礎的知識很重要,不過要融入到你的分析當中去。
今天一個朋友的硬盤數據丟了,原因是他覺得系統比較慢,就讓手下的技術的技術幫他重新做一下系統,結果拿回來一看,這技術幫他重新分區了,以前e盤的數據全沒拉。(當然,都重新分區了,數據還能有?)
分 析設備:80G筆記本硬盤,ide口的。以前的分區情況大概是4個區,c,d,e,f。數據都放在了e區。以前分區大小大概是10G,15G,30G,剩 下。重新分區後一樣是4個區,大小大概是15G,20G,20G,剩下。重新分區後c裝了個系統,d上面拷貝了有些工具軟件,8G左右,ntfs格式的。
分析思路:這種情況比較常見,情況一般,不是很嚴重(如果分區大小和以前一樣,就比較嚴重,恢復起來比較麻煩)。其實,這個情況可以看 成,就是在以前的4個分區表中,又插了3個分區表,主分區表覆蓋了而已。找到以前e區大概在25G左右的分區表,進行計算,然後寫到現在主分區表的第3個 位置行就可以了。不過也要看看那8G左右的工具軟件是否會給數據帶來影響,因為其存放的位置困難在15G到35G之間,而以前的e區是在25G-55G之 間。
恢復過程:用finaldata掃瞄整個硬盤,會出現7個信息表,找到25G的那個,看他的扇區位置。注意,這裡看的是信息表的 位置,也叫boot區,不是邏輯分區表。用diskedit找到25g左右的那個信息表,看一下是否正常。確定e的格式,把這個扇區位置和容量進行10進 制到16進制的換算。然後寫到0扇的第3信息行中。重新加載硬盤,就會看到多出一個30G的分區,裡面的數據直接拷貝就可以了。
恢復結果:數據完全恢復。
總 結:這種情況比較多,也類似於ghost的誤操作造成的數據丟失。這種方法是恢複數據最快的。(有些人會說,用finaldata或者 easyrecovery也可以恢復。但是,軟件只能恢復5%左右的情況,這種情況算很規律的情況了,複雜的就不行了。而且你要來回拷貝也需要很長時間。 寫分區表到恢複數據,我用了2分鐘不到。)
其他:案例之中有看不懂的術語,和不明白如何進行計算的,不用急,因為你還不會數據恢復的基礎,很大知識不知道。這是案例部分,會逐漸更新,其中涉及到的基礎知識,也會單獨的更新的。別著急,慢慢看。
轉自http://gaoshuang78.blog.sohu.com/
- 4月 01 週三 200914:54
電腦取證工具測試專用映像檔
這是Nick Mikus製作的一個案例文件。本測試鏡像包含 FAT32 文件系統,用於測試各種數據恢復工具恢復各種文件格式的能力。鏡像中包含一些未分配空間中的文件和幾個刪除的文件。其中一個jpeg文件的文件頭部簽名被 修改過。所有文件都是隨意製作的,鏡像是利用一個usb閃存盤,並通過mkfs.vfat程序擦除國。閃存的FAT 引導扇區是破損的,因此不能被壓載,必須利用數據恢復工具才能找回文件。 鏡像是 FAT32 文件系統,容量 62MB ,壓縮為11MB。MD5 值: 0069813c892a462f88dc6d376624f7d9.
下載
文件說明
No
文件名
MD5
大小
註釋
扇區
1
2003_document.doc
e72f388b36f9370f19696b164c308482 19968
正確的 DOC
2
enterprise.wav
7629b89adade055f6783dc1773274215 318895
正確的 WAV
3
haxor2.jpg
84e1dceac2eb127fef5bfdcb0eae324b 24367
錯誤的JPEG 文件,文件頭1字節錯誤。此字節在偏移地址19
4
holly.xls
7917baf0219645afef8b381570c41211 23040
正確的 XLS
5
lin_1.2.pdf
e026ec863410725ba1f5765a1874800d 1399508 標準的 PDF
6
nlin_14.pdf
5b3e806e8c9c06a475cd45bf821af709 122434
一個非標準的PDF ---------------------
7
paul.jpg
37a49f97ed279832cd4f7bd002c826a2 29885
正確的jpeg圖片
8
pumpkin.jpg
6c9859e5121ff54d5d6298f65f0bf3b3 444314 正確的 EXIF 圖片
9
shark.jpg
d83428b8742a075b57b0dc424cd297c4 99298
正確的JPEG
10
sm1.gif
d25fb845e6a41395adaed8bd14db7bf2 5498
正確的GIF
11
surf.mov
5328d2b066f428ea95b2793849ab97fa 550653
正確的 MOV
12
surf.wmv
ff085d0c4d0e0fdc8f3427db68e26266 1036994
正確的 WMV
13
test.ppt
7b74c2c608d92f4bb76c1d3b6bd1decc 11264
刪除的 PPT
14
wword60t.zip
c0be59d49b7ee0fdc492d2df32f2c6c6 78899 正確的 ZIP
15
domopers.wmv
63c0c6986cf0a446cb54b0ac65a921a5 8037267 刪除的wmv
轉自計算機取證技術
- 4月 01 週三 200914:50
JPEG 圖像搜索測試案例
電腦取證工具測試專用映像檔
DD檔為NTFS檔案格式,共有 10 個JPEG 圖片。這些圖片有的是更改了文件附檔名的圖片、有的是嵌入在Word、zip壓縮文件中的圖片,以及可能包含在數據流中。
映像檔的MD5值為 8d322b5bf5df79e75d1c9a16b6ee4da6。下載
以下為圖片案例說明,用於對比測試結果。
NO.
名稱
註釋
1
alloc\file1.jpg
標準JPEG附檔名文件
2
alloc\file2.dat
JPEG圖片,但附檔名改變
3
invalid\file3.jpg
非JPEG文件,但附檔名為JEG
4
invalid\file4.jpg
一個隨機文件,但前兩個字節為 0xffd8 ,即JPEG 文件簽名。沒有其他簽名特徵和文件尾簽名
5
invalid\file5.rtf
一個隨機文件,但文件中包含多處 0xffd8 簽名值
6
del1\file6.jpg - MFT
刪除的JPEG 文件,附檔名為JPG
7
del2\file7.hmm - MFT
刪除的JPEG 文件,附檔名改變
8
archive\file8.zip
一個標準 ZIP 文件,內含名為 file8.jpg的JPEG圖片
file8.jpg
包含在上述ZIP文件中的圖片
9
archive\file9.boo
改變附檔名的ZIP文件,包含名為file9.jpg 的圖片
file9.jpg
包含在上述更改附檔名的ZIP文件中的圖片
10
archive\file10.tar
tar格式壓縮文件,包含名為file10.jpg 的圖片
file10.jpg
包含在上述GZ文件中的圖片
11
misc\file11.dat
包含1572 字節的隨機數據文件,附加了一個JPEG 圖片。這是使用COPY.EXE命令 '+' 選項製作的。
12
misc\file12.doc
包含JPEG 圖片的WORD文件
13
misc\wuaueng1.dll’here
在ADS數據流中的數據文件
註:本測試案例中,有些普通工具可能無法發現8, 9, 10, 11, 12 幾個圖片。
案例由計算機取證技術 修改而來大家可以玩玩看~
- 4月 01 週三 200914:24
第四屆中國計算機法證技術峰會的演講投影片
第四屆中國計算機法證技術峰會的演講投影片。
www.china-forensic.com/downloads/2008/ccfc2008-1-xurs.ppt 3.8mb
www.china-forensic.com/downloads/2008/CCFC2008-2-PaulJackson-En.ppt (下載後改附檔名為pptx) 2.53mb
www.china-forensic.com/downloads/2008/ccfc2008-3-sprite-cn.ppt 8.24mb
www.china-forensic.com/downloads/2008/ccfc2008-4-marcgoodman-part1-cn.ppt 2mb
www.china-forensic.com/downloads/2008/ccfc2008-4-marcgoodman-part2-cn.ppt 1mb
www.china-forensic.com/downloads/2008/ccfc2008-5-f-response-cn.ppt 1mb
www.china-forensic.com/downloads/2008/ccfc2008-6-asrdata-en.ppt 713k
www.china-forensic.com/downloads/2008/CCFC2008-7-ForensicAccounting-CN.ppt 2.7mb
www.china-forensic.com/downloads/2008/CCFC2008-8-Elcomsoft-en.ppt (下載後改附檔名為pptx) 1.34mb
www.china-forensic.com/downloads/2008/ccfc2008-9-Intella-en.ppt 6.7mb
轉自計算機取證技術