寻找取证的迹象——假设他们没有做聪明的事

信息安全 取证
2021-09-02 06:02:31

我正在使用一个系统(一台笔记本电脑,一个硬盘驱动器),该系统在相当长的一段时间内被 LEO 保管。笔记本电脑运行 Windows XP Professional,带有恢复分区,硬盘为 2.5 英寸 40 GB 驱动器,具有 NTFS 文件系统

完全出于学术原因,我正在考虑使用 DD 的取证分支对驱动器进行取证成像(我在想如果dcfldd),然后制作一份副本。

考虑到我知道系统已经失控多久了,我也在考虑安装注册表以检查在那段时间插入系统的设备(假设他们没有像好的熊猫一样离线做所有事情) 并检查在此期间已修改的文件(有没有简单的方法可以做到这一点?)。

我错过了什么吗?还有其他地方我应该看吗?

1个回答

您可以开始查看Forensic Toolkit以检查 NTFS 文件系统。

在同一页面中,还有用于玩垃圾箱、IE 等的工具。

关于注册表,看看这个这个,你会发现一些有趣的工具的迹象。

其它你可能感兴趣的问题
上一篇如何检查 Chrome 扩展程序的代码以确保它没有窃取我的信息? 下一篇您的默认 umask 设置为什么?