使用工具

美亚柏科取证大师试用版

案情:

​ Eden有很多业余爱好,儿童色情、裸聊敲诈、制造炸弹、病毒木马、假币制造、线上拍卖平台欺诈。先有Eden电脑一台,找出相关证据。

准备

将要用的镜像,导入取证大师中

比赛题目

第一题:

系统基本信息:

​ 1.操作系统版本号(xp sp1 5.1/xp sp2 5.2/xp sp3 5.1/xp sp2 5.2)

答案:5.1

image-20220618132406388

​ 2.系统所有者

答案:Administrator

$ extcolor{red}{更正答案} $ :Test

image-20220618143137566

​ 3. 系统ID号

答案:产品ID ?= 系统ID

image-20220618125504150

​ 4.系统安装时间

答案:

image-20220618124732637

或者如下图标号1

image-20220618125242413

​ 5.最后一次登录时间

答案:

image-20220618125007414

​ 6.最后一次正常关机时间

答案:

image-20220618124652094

或如下图标号2

image-20220618125224796

image-20220618130448027

​ 7. 系统时区设置

答案:

image-20220618125757725

​ 8.系统IP地址

答案:

image-20220618132717882

image-20220618132639470

​ 9. MAC地址

答案:

​ 10.硬盘序列号

答案:4D36E972-E325-11CE-BFC1-08002BE10318

这是查看了很多硬件信息看出来的,不知道对不对

image-20220618133138030

第二题:

​ 11.有一个U盘插入,找到U盘的S/N号

答案:

image-20220618130744472

第三题:

​ 12.A儿童色情、B裸聊敲诈、C制造炸弹、D假币制造、E线上拍卖平台欺诈、F病毒‘MS040.exe’

(1) 该用户是否有上述的不法行为,若有情列举相关证据

A

正常文件

删除文件

邮件

B

正常文件

删除文件

邮件

​ ……..

答案:

1)image-20220618133717930

2)image-20220618133759211

3)image-20220618133853164

4)image-20220618134842702

5)image-20220618134929683

6)image-20220618135123549

7)image-20220618144902008

(2)Eden、Eddie、Jess三人之间各有哪些内容交流?(从A-F中选择)

A儿童色情

B裸聊敲诈

C制造炸弹

D假币制造

E线上拍卖平台欺诈

F病毒‘MS040.exe’

答案:A C D F

1)

image-20220618141723714

2)image-20220618141824252

3)image-20220618153137445

4)image-20220618153345579

5)image-20220618153402732

总结

目前我所掌握的,只是一些肉眼可见的消息查找,但是有一些名词还不是很懂,比如产品ID是否就是系统ID,硬盘序列号也不太知道对不对

大概是懂了取证工具有哪些作用,功能集中在哪些地方