一、證據檔案中有沒有存在被删除的Doc文檔?如果有的話,請導出并記錄檔案名及路徑:
操作步驟:
1.使用過濾腳本-用類别擴充名過濾-選中辦公文檔檔案-勾選隻顯示删除的檔案-點選OK,如下圖所示:
2.檢索出删除的Doc文檔,一共檢索出一個DOC文檔D1.Doc,如下圖所示:
3.檔案名:D1.Doc ,路徑:Case1\Test\Deleted\D1.doc,如下圖所示:
二、證據檔案中有沒有存在被删除的圖檔?如果有的話,請記錄檔案名及路徑:
1.使用過濾腳本-用類别擴充名過濾-選中圖像檔案-勾選隻顯示删除的檔案-點選OK,如下圖所示:
2.檢索出删除的圖像檔案,一共檢索出4張圖檔,如下圖所示:
3.檔案名及路徑,如下圖所示:
三、證據檔案中哪幾份Word文檔擴充名被修改為.bmp? 請記錄檔案名及路徑:
1.使用過濾腳本-用個别擴充名過濾-選中bmp-點選OK,如下圖所示:
2.檢索出所有的bmp檔案,一共4個bmp檔案,如下圖所示:
3.選中D1.bmp,通過Picture模式檢視圖檔,經過檢視D1.bmp,D2.bmp都能正常顯示,如下圖所示:
4.選中R1.bmp,R2.bmp檔案,通過Picture模式檢視圖檔,經過檢視R1.bmp,R2.bmp都無法正常顯示圖檔,并觀察對應的WinHex,發現R1和R2都是由Word修改成bmp檔案,如下圖所示:
5.檔案名及路徑,如下圖所示:
四、證據檔案中哪幾個JPG圖檔擴充名修被改為.doc? 請記錄檔案名及路徑:
2.檢索出所有的doc檔案,一共7個doc檔案,如下圖所示:
3.對比7個doc檔案,我們通過WinHex發現其中R4.doc,R5.doc,R6.doc,的檔案記錄頭都是JFIF圖檔類型,如下圖所示:
4.檔案名及路徑,如下圖所示:
五、嫌疑人涉嫌參賭,請導出賭博相關上網記錄網頁,并記錄檔案名及路徑:
1.使用Keywords-導入關鍵字-建立一個新的關鍵字為下注-填寫Search expression和Name-選中Active Code-page,GREP-點選确定,如下圖所示:
2.選中建立的下注關鍵字,點選Search搜尋,設定如下圖所示:
3.點選Start開始搜尋,搜尋成功後勾選Console,Note,如下圖所示:
4.找到菜單欄下Search Hits,點選剛剛我們搜尋的關鍵字,在視圖中以及顯示出了關于下注的相關内容,如下圖所示:
六、證據檔案中有幾個壓縮檔案?請導出,并記錄檔案名及路徑:
1.使用個别擴充名過濾腳本-用類别擴充名過濾-選中壓縮檔案類下的所有類型格式-點選OK,如下圖所示:
2.檢索壓縮檔案,一共檢索出1個壓縮檔案,如下圖所示:
3.選中E1.rar檔案,右鍵Export..導出,選擇導出目錄後點選OK,如下圖所示:
七、該證據檔案所在分區的檔案系統,總容量,簇數量,扇區數量,每簇扇區數
1.使用驗證神探-選中加載的磁盤,檢視證據檔案所在分區的檔案系統,總容量,簇數量,扇區數量,每簇扇區數,如下圖所示:
八、加載該證據檔案生成分區的MD5散列值
操作步驟
1.使用驗證神探-選中加載該證據檔案生成分區的MD5散列值,生成分區的MD5散列值是:<code>E880DA57990334D80C6DAB21D7F52557</code>
九、檔案\Office\TXT\test用哪個編碼可以正常檢視,請選擇( D ):
(A)GB2312 (B)Unicode (C)Big5 (D)UTF-8
十、證據檔案中存在大于200K、建立日期大于2010-5-1且字尾名為.doc的文檔,請找出,并記錄檔案名及路徑:
1.使用Queries子產品-右鍵建立一個新的過濾條件組Query7-選中Query7右鍵Add Filters-勾選以下三個過濾條件-點選OK,如下圖所示:
2.檢索檔案,一共檢索出2個符合以上要求的檔案,如下圖所示:
十一、該證據檔案中Windows目錄下存在哪些系統資料庫檔案,請找到并一一指出檔案名及路徑:
1.使用驗證神探-點選系統資料庫分析,檢視系統資料庫檔案,檔案名及路徑,如下圖所示:
十二、該證據檔案所在的計算機的IP位址、子網路遮罩、網關和DNS伺服器的内容
1.使用驗證神探-點選驗證-勾選網卡資訊,檢視計算機的IP位址、子網路遮罩、網關和DNS伺服器的内容,如下圖所示:
十三、證據檔案所在的作業系統類型
1.使用驗證神探-點選驗證-勾選系統資訊,檢視計算機的作業系統為Windows XP,如下圖所示:
十四、證據檔案所在的作業系統運作CCPROXY.EXE的次數及最後運作時間
1.此證據檔案未搜尋到CCPROXY.EXE的次數及最後運作時間
十五、證據檔案所在的作業系統的關機時間
1.使用驗證神探-點選驗證-勾選系統資訊,檢視計算機的作業系統的關機時間為:2010/05/17 14:20:18,如下圖所示:
十六、證據檔案所在的作業系統最近打開的文檔和運作的程式
1.使用驗證神探-點選使用者行為分析-勾選2010年檔案夾-按時間降序排序,檢視計算機的作業系統最近打開的文檔和運作的程式為:建立W2.doc文檔,如下圖所示:
十七、證據檔案中有沒有内容完全一樣的檔案,如有,請找出來
操作步驟:使用哈希計算證據檔案中内容完全一樣的檔案
十八、查明證據檔案所在的作業系統使用過的USB裝置
1.使用驗證神探-點選驗證-勾選USB裝置使用記錄,檢視證據檔案所在的作業系統使用過的USB裝置,如下圖所示: