1、案例分析练习学号:8001715024 姓名:周瑶 班级:信息安全1511.新建案例,命名为“FM 演示案例”,并填写调查人员姓名,添加设备镜像“FM 演示案例.E01” 2.分析该案例中相关操作系统信息操作系统版本:_Microsoft Windows XP_ 系统安装时间:_2010-09-19 11:19:16_ 最后一次正常关机时间:_2010-10-21 11:07:31_ 嫌疑人登录Windows 的用户名为:_ Administrator、Guest、test_ 网卡的IP 地址为:_192.168.153.1_ 3. 该对象曾在IE 浏览器输入哪些网址?http:/ 最近运行记
2、录包括哪些?cmd、notepad、regedit5.该对象最近访问过哪些文档?(192.168.153.1) 上的 share (Z)010(古筝)隐公自叹.mp3014(古筝)将军令.mp3_icturesalipay.txtDownloadsEAGET忆捷 (G)KugouMy DocumentsPersonal.ini picturesProfilesProgram FilesPrvateDisk.rarSL703459.JPGSL703461.JPGWYWZ(无影无踪)5.0(nnf1).rarzhang.dpd 文件可移动磁盘 (Y)报表信息.iso支付宝账号.txt新加卷 (D)
3、6. 在现场勘查中搜查到里对象的一个U 盘,设备名称为“SMI USB DISK USB Device”,请确认对象是否在该计算机中使用过,如果有,请找出其最后一次使用该设备的时间:_ 2010-10-27 11:37:01_ 7.通过取证分析,请确认对象是否删除过“201005210.jpg”图片,如果有请找出其具体的删除时间:_2010-06-07 14:53:40_ 8.该案例中网络映射的地址为:_192.168.153.1share_ 9. 快速找出案例中被删除的jpg 和txt 文件数:_5个_ 10.该对象曾经使用了什么邮件客户端进行收发邮件_foxmail_ 11. 通过技术分析
4、,可以得知对象计算机曾经用过哪些类型的反取证技术手段?突破工具软件、数据擦除软件、信息隐写软件12.分析出案例中对象恶意修改过扩展名的jpg 图片有几张?_3张_ _ 分别为:_20110124.mp3、USB.doc、SecFloader.icon_ 13.该案例镜像文件的md5 值为:2010B5F9D8C8D54A3A8AF6CDA9A4268814.该案例中文件“4.JPG”的md5 值为:2010B5F9D8C8D54A3A8AF6CDA9A4268815. 该案例中是否包括EFS 加密文件,如果有,包括哪些文件?分别为:20110124.jpg 01202.jpg 2011.jpg 16. 该案例中找到_ 5_个加密文件;文件名分别为:_ 20110124.jpg、01202.jpg、2011.jpg、data.xls、my.doc_
