取证初级案例操作大纲

文章目录

• • **取证初级案例操作大纲**
  • • 1) 证据文件中有没有存在被删除的Doc文档？如果有的话，请导出并记录文件名及路径：
    • 2) 证据文件中有没有存在被删除的图片？如果有的话，请记录文件名及路径：
    • 3) 证据文件中哪几份Word文档扩展名被修改为.bmp? 请记录文件名及路径：
    • 4) 证据文件中哪几个JPG图片扩展名修被改为.doc? 请记录文件名及路径：
    • 5) 嫌疑人涉嫌参赌，请导出赌博相关上网记录网页，并记录文件名及路径：
    • 6) 证据文件中有几个压缩文件？请导出，并记录文件名及路径：
    • 7) 该证据文件所在分区的文件系统，总容量，簇数量，扇区数量，每簇扇区数。
    • 8) 加载该证据文件生成分区的MD5散列值是：
    • 9) 文件\Office\TXT\test用哪个编码可以正常查看，请选择( **D** )：
    • 10) 证据文件中存在大于200K、创建日期大于2010-5-1且后缀名为.doc的文档，请找出，并记录文件名及路径：
    • 11) 该证据文件中Windows目录下存在哪些注册表文件，请找到并一一指出文件名及路径：
    • 12) 该证3据文件所在的计算机的IP地址、子网掩码、网关和DNS服务器的内容。
    • 13) 证据文件所在的操作系统类型。
    • 14) 证据文件所在的操作系统运行CCPROXY.EXE的次数及最后运行时间。
    • 15) 证据文件所在的操作系统的关机时间。
    • 16) 证据文件所在的操作系统最近打开的文档和运行的程序。
    • 17) 证据文件中有没