案件背景:
Gary是一位经常用手提电脑的人,而且热爱足球运动,常常看足球网站。他于2007年9月开始想赚快钱,思想变得偏激,并关注一些违法的事。于是Gary就想着赌博,查阅军事资料,了解恐怖袭击的新闻报道。另外他开始上网寻找有关如何购买枪械、刀等武器的资料,还寻找如何制造假网站,但最后均无收获。
检材:
.e01镜像
工具软件:
取证大师V6.1.67374RTM(FMP)
——————————————————————————————
看了案件背景觉得这又是一个想把自己的生活带入GTA的黑化公民,首先用FMP跑了镜像,勾选了所有取证选项,大概跑了10分钟……
Question:
求镜像的MD5哈希值,可以直接在FMP证据文件 -> 选中镜像 -> 摘要 查看MD5
也可以直接用CMD命令 certutil -hashfile filepath MD5
校验。
FMP证据文件 -> 展开镜像 -> 发现3个硬盘分区(C: D: E:)
FMP证据文件 -> 展开镜像 -> 选中 分区2_本地磁盘[D]
在摘要里查看设备大小:48.73GB 该数值乘以 \(2^{20}\) 之后计算出来的字节数与答案E最接近。
MFT,即主文件表(Master File Table)的简称,它是NTFS文件系统的核心,每个文件和目录的信息都包含在MFT中,每个文件和目录至少有一个MFT项。
正常情况MFT以元文件的形式存储在相应磁盘分区的根目录中,但是是隐藏的。FMP可以直接访问到该文件。
FMP证据文件 -> 展开镜像 -> 选中 分区2_本地磁盘[D] -> 选中 $MFT -> 摘要 查看物理扇区位置
熟悉Windows系统结构的同学可以知道这个文件位于 %windir%\System32\config
下,如果不知道(比如说我)也可以在FMP的 取证结果 -> 系统痕迹 -> 系统信息 -> 安装时间 里找到。
不过找到的这个时间是北京时间,我们需要转换成世界协调时间(格林尼治时间),北京是东八区,领先UTC时间八个小时,所以减掉后得出答案。