一、第一阶段:分析人物关系
1.使用取证大师新建案例“设计稿泄密案”,加载磁盘镜像Monkey.E01
2.在USB使用痕迹中发现了失窃U盘的使用记录,遂判断张三有重大嫌疑
3.接着查看电脑的即时聊天使用记录,发现了zhangsan1681用户使用skype
的痕迹
查看zhangsan1681的联系人,发现有两人,分别为echo121和lisi16789(显示名为李四)
5.只发现与李四有聊天记录
6.查看详细聊天记录
从即使聊天中可以得到以下信息:
(1)zhangsan1681为张三,lisi6789为李四
(2)2012年5月8日之前,张三通过邮件发给了李四一个“资料”,并且是有“酬金”的交易
(3)张三有更新的“资料”,需要一定的“方式”才能查看
(4)两人通过支付宝或银行卡交易
7.因聊天记录提及到了邮件,于是去查看邮件记录
整理得到如下对话
通过邮件可以得到以下信息:
(1)张三在5月8日通过邮件发送给了李四若干个加密的分卷压缩包,密码“照旧”
(2)从17点53分的李四发给张三的邮件主题“Re:Design资料3”来看,17点49分到53分之间,至少有一封张三发给李四的叫主题为“Design资料3”的邮件被删除了
(3)张三启用了一个新的手机号码,尾数为86
进行了交易
9.在硬盘中,以工行卡号特征设置搜索条件搜索工行卡号
(正则:[^0-9]((6222|5309|5558)###############|(6222|5309|5558) #### #### #### ###)[^0-9])
未搜索到任何结果
8.在硬盘中,以手机号码特征设置搜索条件搜索以86结尾的张三的手机号
成功命中号码135********,隐藏在funny01.jpg的文件残留区内
10.在硬盘中,以邮箱地址的特征设置搜索条件进行搜索
搜索到643个结果
仔细查看搜索到的条目时,发现以下两处关键的内容:
(1)在“许慧欣孤单芭蕾.mp3”的文件残留区里,意外发现张三的alipay 账号信息
(2)发现4封处在未分配簇和浪费的扇区中的被删除的邮件,偏移量分别为52601917 , 5440519 , 51135495 和69631495
导出,整理内容如下
现了
(3)出现第三人:小王。小王是李四的助手,在5月3日李四出差时代替李四与张三接洽。邮箱110119120@https://www.wendangku.net/doc/8a15528717.html, 。
二、第一阶段梳理
暂无新线索,梳理一下迄今为止获得的信息:
1.即时聊天信息
(1)2012年5月8日之前,张三通过邮件发给了李四一个“资料”,并且是有“酬金”的交易(暂未找到)
(3)张三有更新的“资料”,需要一定的“方式”才能查看(加密压缩包)
(4)两人通过支付宝或银行卡交易(支付宝账号zhs518@https://www.wendangku.net/doc/8a15528717.html,,银行卡号暂未发现)
2.邮件交流信息
(1)张三在5月8日通过邮件发送给了李四若干个加密的分卷压缩包(disigin.part1.rar、disigin.part1.rar、…?),密码“照旧”(加密压缩包,密码暂未找到)
17点49分到53分之间,至少有一封张三发给李四的叫主题为“Design资料3”的邮件被删除了(暂未找到邮件“Design资料3”)
(3)张三启用了一个新的手机号码,尾数为86(135********)
(4)在“许慧欣孤单芭蕾.mp3”的文件残留区里,意外发现张三的alipay 账号信息(zhs518@https://www.wendangku.net/doc/8a15528717.html,)
(5)发现4封处在未分配簇和浪费的扇区中的被删除的邮件,偏移量分别为52601917 , 5440519 , 51135495 和69631495
其中主题为“图片资料”和“样板图”的邮件中,丢失的设计图作为附件出现了,确认两人交易物品为失窃的设计图(monkey7.jpg和monkey8.jpg)
(6)出现第三人:小王。小王是李四的助手,在5月3日李四出差时代替李四与张三接洽。邮箱110119120@https://www.wendangku.net/doc/8a15528717.html,。
3、人物关系
三、第二阶段:找证据文件
1.搜索密码
猜测磁盘中可能有保存了相关密码的文件,于是以“密码”作为关键词在磁盘中进行搜索。
正则:
(密码)|([^a-z]password[^a-z] )|([^a-z]pwd[^a-z] )|([^a-z]pw[^a-z] )|([^a-z]code[^a-z] )
得到463个结果
仔细查看搜索到的结果,在未分配簇里发现了重要信息:发送资料记录和一个容器密码
得到以下信息:
(1)确实有disign.part3.rar的存在,即邮件中至少还有一封邮件被删除
(3)除了压缩包,还发送过文档和容器
(3)容器是PrivateDisk加密容器,密码是terry123
在磁盘中过滤容器文件*.dpd,找到了86.dpd
注册期无法使用
在互联网上找到了最新试用版本的PrivateDisk程序,并成功加载了86.dpd文件,映射至Z盘符。
容器映射的Z盘,大小为4.97MB
打开发现了两个文件
打开my bank.txt,找到了之前未找到的张三的工行、建行的卡号、密码
打开monkey.png,发现是失窃的设计图之一
结合之前发现的“资料发送记录”里提到的容器来看,张三的确在和李四交易设计图
2.用户痕迹——最近访问的文档
分析查找用户最近访问的文档寻找线索
(1)20110124.jpg,被EFS加密
(2)important.doc,在第二页存放了失窃的设计图