數位鑑識 - HackMD

# 數位鑑識 ###### tags: `分區賽工具` ## 介紹數位鑑識是以數位的形式存儲或傳輸，是在法庭上用作證據的數位電子信息數位證據分別為`書證` `物證` ## 特點難以蒐集與保存不能直接理解易於竄改難以證明來源和完整性難以建立連結 ## 操作電腦稽核紀錄訊息通常包含來源網址(或電腦名稱)、帳號、日期、狀態 ### 1.最近開啟的文件 ##### 路徑: C:\Users\使用者名稱\Recent ![](https://i.imgur.com/3LVH50E.jpg) ### 2.資源回收桶 ![](https://i.imgur.com/OEnCDD0.jpg) ### 3.獲取資料建立、修改、存取日期 ##### 方法: 右鍵 -> 內容 ![](https://i.imgur.com/Pstwe4B.jpg) ## 工具 ### FTK(Access Data's Forensic Toolkit) #### FTK概述及功能分析 1. Forensic Toolkit(FTK):電腦鑑識分析工具 2. Password Recovery Toolkit(PRTK):密碼分析、破解與回覆工具 3. Registry Viewer:登入檔案分析及解密工具 4. FTK Imager:數位證據預覽及獲取映像工具 5. Wipe Drive:硬碟資訊及資料完全清除工具 #### FKT Imager概述及功能分析 FTK Imager 是一個證據預覽及製作映像檔的工具。該工具在使用FTK進一步分析前可先快速查詢數位證據(含已刪除的檔案)。主要功能分別為如下: 1. 創建檔案副本 2. 預覽本地驅動器(SATA)、磁碟、CD&DVD中的文件 3. 從屬性中了解檔案*時間戳記* (字串或編碼資訊用於辨識記錄下來的時間日期)及檔案屬性，就像是在Windows系統對著檔案按右鍵中的內容。 **製作:** (分析磁碟裡的資料) ![](https://i.imgur.com/31m11dW.jpg) ![](https://i.imgur.com/A4k3lP1.jpg) * Physical Drive (物理驅動器) 整個驅動器，如：識別到的是整塊硬碟、U盤等，而不管你分幾個分割區； * Logical Drive (邏輯驅動器) 分割區，如：一塊硬碟分C槽、D槽等； * Image File (映像檔案) 映象檔案，如：DD、E01等映象檔案； * Content of a Folder (資料夾內容) 資料夾，就是可對資料夾做出映象； ![](https://i.imgur.com/GYSJO7k.jpg) ![](https://i.imgur.com/rRAnFaj.jpg) ![](https://i.imgur.com/IKT550J.jpg) ![](https://i.imgur.com/Zc8Onai.jpg) ![](https://i.imgur.com/QUWtiO0.jpg) ![](https://i.imgur.com/e6vbN79.jpg) ![](https://i.imgur.com/NCku4Hg.jpg) Case Number(案件編號)、Evidence Number(證據編號)、Unique Description(唯一描述)、Examiner(檢查員)、Notes(備註) 皆非必填項 ![](https://i.imgur.com/FEDRC1Z.jpg) ![](https://i.imgur.com/ipdfcTq.jpg) ![](https://i.imgur.com/TO9v005.jpg) ![](https://i.imgur.com/ilFsMRT.jpg) ![](https://i.imgur.com/QcHcNUd.jpg) ![](https://i.imgur.com/LBUUr5G.jpg) 參考連結: https://it145.com/9/71107.html https://www.youtube.com/watch?v=2LqfojEu5zQ **製作:** (分析記憶體相關) #### FTK操作介面 (未完成) 可分析、獲取並保存數位證據的鑑識軟體。檔案連結:https://accessdata.com/product-download/forensic-tools-7-5-1 **一、主介面** 參考連結: https://www.youtube.com/watch?v=8Hrz5P2D6CA ### Encase ### TCT 🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹🕹