路漫漫其修远兮 吾将上下而求索
0%

数据取证-1day

发表于 更新于 分类于

初探取证

电子数据取证专业名词术语

临时文件

计算机使用过程中产生的临时数据,这些临时文件有时也可以给我们的调查提供一些线索

1
2
3
4
5
6
系统临时文件
C:\Windows\Temp\*.tmp
IE访问临时文件
C:\Documents and Settings\Username\Local Settings\Temporary Internet Files
office文档编辑时产生的临时文件
C:\Documnets and Settings\Administrator\Application Data\Microsoft\Word
历史记录

是指多数计算机程序在运行的过程中产生的 记录信息

1
2
在浏览器中,历史记录是指浏览器曾经访问过的网站在计算机中存在的信息
iis访问日志记录服务器的一些状况和访问ip的来源和登录情况等
未分配簇

是指哪些在当前文件系统中没有被分配的空间,数据恢复就是从将那些在磁盘上已删除的文件但空间地址未被覆盖,

在这里讲一下数据恢复的概念

1
比如你有一个文件,但是现在你把他删除了,你表面上是看不到这个文件了,但其实是这个文件隐藏起来了,文件资源管理器会对电脑发出指令,这个文件的内存地址我不需要了,你爱咋咋地,也就是后面新来的数据会直接覆盖在上面,如果被删除的文件的内存地址尚未被覆盖,那么就可以使用恢复工具进行恢复

未分配簇中可能包含大量重要的证据信息,只要数据未被覆盖,可以通过相关技术检索到或直接恢复,这是非常重要的

可以在取证软件中查看未分配簇内容,包含曾经被删除的数据

文件残留区

文件残留区是指文件逻辑大小到物理大小末尾之间的数据

1
2
3
|---------------------------------------|----------------|
|<--------------逻辑大小---------------->|<----文件残留区->|
|<--------------------------物理大小--------------------->|

簇:文件储存的最小单位,簇是有多个扇区组成

隐藏文件的方式

1
硬盘加密,压缩包加密,bitlocker加密,office文件加密,虚拟容器加密,修改文件拓展名,EFS文件加密,信息隐写