取证杂谈

取证杂谈 https://wechat2rss.xlab.app/feed/6ce082e908ac0894ff00b2d9d8e186181cd810bd.xml 分享电子取证及司法鉴定相关知识 (wechat feed made by @ttttmr https://wechat2rss.xlab.app) (取证杂谈) https://wx.qlogo.cn/mmhead/Q3auHgzwzM5n5cNJmibBN9xSsZfISNmU0jD021QDphpiaVjdAiazzibVZA/0 取证杂谈 https://wechat2rss.xlab.app/feed/6ce082e908ac0894ff00b2d9d8e186181cd810bd.xml X-Ways Forensics 21.0预览版发布 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484143&idx=1&sn=8c1d201e8e602959caee208c12df0bdc X-Ways Forensics 21.0预览版今天已发布，快来看看更新了哪些内容。胡壮 2023-09-05 20:43 福建

X-Ways Forensics 21.0预览版今天已发布，快来看看更新了哪些内容。

X-Ways Forensics今天发布了21.0第一个预览版，体积20.7MB，比20.9 SR3大了0.2MB。根据官方的更新日志，主要增加了一些新的功能。

新功能1，Ctrl+H快捷键控制筛选条件。在之前的版本中，如果想在目录浏览器中对各列进行筛选，几乎必须要用到鼠标，现在按Ctrl+H快捷键，就可以打开一个新的窗口，在这里可以设置排序和过滤条件，配合Tab键，过滤及排序操作可以完全摆脱鼠标了。如下图所示。

新功能2，一键获取文件权限。这个功能是针对本地文件的，入口在菜单栏“工具→文件工具→获得完全访问权限”。这一功能可以让用户获得某目录及其所有子数据的访问权限。暂时没想到这一功能的使用场景，不过根据X-Ways Forensics的风格，这一功能应该在某些场景下能极大地提升工作效率。

最后一个新功能，预览大文件时可以中途停止。X-Ways Forensics使用者一定遇到过不小心预览了超大文件时程序直接卡死的情况，之前遇到这种情况，只能慢慢等，直到X-Ways Forensics缓过来，但这往往需要很长时间。现在，预览大文件时，鼠标划过预览区域右下角，可以中途停止，如下图所示（注意右下角的“试图放弃...”）。实测发现并不是每一次都顺利停止预览，但确实有一定概率成功，期待后续版本能继续优化。

按照以前的情况，21.0正式版预计两个月后发布。

跳转微信打开

]]> Tue, 05 Sep 2023 20:43:00 +0800 在前几天发布的20.9 Beta版中，X-Ways添加了一项个人认为比较重要的功能——E01镜像的现代压缩功能。启用此选项后，X-Ways制作的镜像将使用新的压缩算法对原始数据进行压缩，镜像速度更快，得到的镜像文件更小，后续的数据随机读取速度更快。经过测试，启用此选项得到的E01镜像体积确实要小于之前的版本X-Ways制作的镜像。新的镜像格式只有20.9及后续版本的X-Ways才能识别，且EnCase、FTK等其他软件暂时也无法识别。如果制作镜像后续不需要与他人进行交换，X-Ways Forensics新E01格式将是一个不错的选择。 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484127&idx=1&sn=915f66a836240be4bdfb1bbebf63c01c 2023-06-16 16:56 福建

在前几天发布的20.9 Beta版中，X-Ways添加了一项个人认为比较重要的功能——E01镜像的现代压缩功能。启用此选项后，X-Ways制作的镜像将使用新的压缩算法对原始数据进行压缩，镜像速度更快，得到的镜像文件更小，后续的数据随机读取速度更快。经过测试，启用此选项得到的E01镜像体积确实要小于之前的版本X-Ways制作的镜像。新的镜像格式只有20.9及后续版本的X-Ways才能识别，且EnCase、FTK等其他软件暂时也无法识别。如果制作镜像后续不需要与他人进行交换，X-Ways Forensics新E01格式将是一个不错的选择。

跳转微信打开

]]> Fri, 16 Jun 2023 16:56:00 +0800 电子数据取证时间问题之filetime时间戳手工解析 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484125&idx=1&sn=831c89a179787612211bf94bf3060706 filetime时间戳是Windows中使用最广泛的时间格式，回收站中记录的文件删除时间，快捷方式文件中记录的文档打开时间，都是这种格式。原创胡壮 2023-04-30 08:43 福建

filetime时间戳是Windows中使用最广泛的时间格式，回收站中记录的文件删除时间，快捷方式文件中记录的文档打开时间，都是这种格式。

这学期初，给学生们出了一道课后练习题，让同学们巩固课堂上学习的进制转换、字节序、数字时间、WinHex & X-Ways Forensics相关的知识。

题目如下：

以管理员权限打开WinHex，加载C盘，找到$MFT文件，该文件的0x50至0x6F之间有4个filetime时间戳，他们是小端字节序存储的。请尝试解析第一个时间戳到类似“2023-03-14 09:00:00”的格式，请写出详细的操作步骤并附上各环节必要的截图。

以下是参考答案：

步骤1：右击“WinHex”图标，选择“以管理员身份运行”。如下图所示。

步骤2：点击WinHex菜单栏“工具”→“打开磁盘”，然后选择逻辑驱动器中的C盘[ 如果多个同学使用同一台电脑做实验，第一个同学选择C盘，第二个同学则可选择D盘，以此类推。]，并点击“确认”按钮。如下图所示。

步骤3：找到文件中0x50-0x57范围的数据，对于当前WinHex界面，此数据位于第五行前八个字节，即“A7 1E C7 89 E4 B8 D6 01”。如下图所示。

步骤4：将数据转换为十六进制数字。由于此处的filetime时间戳是小端字节序（Little-endian）存储，“A7 1E C7 89 E4 B8 D6 01”表示的实际数字为“01D6B8E489C7AEA7”。

步骤5：将十六进制数字转换为十进制数字。打开Windows内置的计算器工具，点击菜单栏“查看”，选择“程序员”。在十六进制模式下输入“1D6B8E489C7AEA7””，然后点击“十进制”转换为十进制数字，即为“132496530757627559”。如图 5所示。

根据filetime时间戳的定义，“时间起点”为1601-01-01 00:00:00，记录的时间精度为100纳秒（即10-7秒），所以数字“132496530757627559”意味着时间戳“A7 1E C7 89 E4 B8 D6 01”所表示的是从1601-01-01 00:00:00经过132496530757627559个100纳秒后的时间，即从1601-01-01 00:00:00经过13249653075秒的时间。

步骤6：日期时间计算。一天等于86400秒（60×60×24=86400）。13249653075/86400 = 153352.466145833；13249653075%86400 = 40275。所以步骤5中计算的时间为1601年1月1日后又经过了153352天加40275秒。

步骤7：日期计算。打开Windows内置的计算器工具，点击菜单栏“查看”，勾选“日期计算”。计算得知1601年1月日至2020年11月12日经过了153352天。如图 6所示。

所以，“A7 1E C7 89 E4 B8 D6 01”代表的是2020年11月12日经过40275秒后的时间。

步骤8：时间计算。一小时等于3600秒。40275/3600 = 11.1875；40275%3600 = 675。进一步换算可知675秒等于11分15秒。

综上，filetime时间戳“A7 1E C7 89 E4 B8 D6 01”表示的时间是UTC时间2020-11-12 11:11:15，换算成北京时间则是2020-11-12 19:11:15。

实际上，题目中的$MFT文件0x50至0x6F之间有4个filetime时间戳的第一个，正好是$MFT的创建时间，也是该分区的格式化时间。

Filetime时间戳在Windows中被广泛使用，NTFS文件系统中文件的时间全部是以这种格式保存。回收站痕迹、快捷方式文件、跳转列表中的时间也以filetime时间戳保存。

跳转微信打开

]]> Sun, 30 Apr 2023 08:43:00 +0800 电子数据取证时间问题之时间是怎么存储的？ https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484114&idx=1&sn=5bd1a67159344b8a04d2cb7c82233288 取证要解决的无非是弄清楚什么人在什么时间在什么地方做了什么事，也就是4W（Who，When，Where，What）问题。原创胡壮 2023-04-16 21:10 福建

取证要解决的无非是弄清楚什么人在什么时间在什么地方做了什么事，也就是4W（Who，When，Where，What）问题。

大多数时候，取证要解决的无非是弄清楚什么人在什么时间在什么地方做了什么事，也就是4W（Who，When，Where，What）问题。所以时间在取证领域是非常重要的问题。

计算机中是怎么存储时间的呢？首先我们来看看Windows的安装时间。

以Windows 11为例，要查看Windows系统安装时间，我们可以打开设置，在“系统”→“系统信息”中可以看到，当前这台电脑的系统安装时间是2023年3月31日。如下图所示。

通过上述方法，我们可以得知这台电脑上当前操作系统的安装日期，那么能不能得知具体的安装时间呢？

按Win+R快捷键打开“运行”窗口，输入并执行“cmd”打开命令提示符，或输入并执行“PowerShell”打开PowerShell。我们也可以按Win键或点击开始菜单图标，然后直接输入“cmd”或“PowerShell”按屏幕提示打开命令提示符或PowerShell。

在命令提示符或PowerShell中，我们执行“systeminfo”，即可查看系统的各种信息，其中就包含操作系统的安装时间。如下图所示，此电脑的系统安装时间是2023-03-31 11:14:26。

那么，systeminfo命令又是怎么知道系统安装时间的呢？其实系统安装时间保存在注册表中。

我们按Win+R快捷键打开“运行”窗口，输入并执行“regedit”打开注册表编辑器，然后在左边的目录树展开到“计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion”，可以看到右边有个名称为“InstallDate”的记录，对应的值为0x64265012(1680232466)，即用十六进制表示为64265012，对应的十进制值为1680232466。如下图所示。

我们可以用PowerShell的相关命令来解析上图的时间。

按Win+R快捷键打开“运行”窗口，输入并执行“PowerShell”打开PowerShell。在PowerShell中执行“(Get-Date -Date "1970-01-01 00:00:00Z").toUniversalTime().addSeconds(1680232466)”，即可得到可读格式。如下图所示。

上述PowerShell命令，用途是显示在UTC时间1970年1月1日00:00的基础上加上1680232466秒的时间，各函数的具体功能可以很方便地在搜索引擎中检索到。考虑计算机当前的时区是北京时间（UTC +8），上述PowerShell命令解析的时间正好与systeminfo命令得到的系统安装时间一致。

通过上述命令可以得知，注册表中保存的Windows系统安装时间实际记录的是自1970年1月1日00:00以来经过的秒数。其实，这一时间格式就是在计算机中广泛使用的Unix时间戳。

在计算机中，绝大多数时间格式都是类似的原理：①选定一个时间起点；②确定一个时间间隔单位；③记录从时间起点以来经过的时间间隔数量。

我们再看看WPS表格（Excel相同）中的时间，它们同样符合上述规律。

我们在A1单元格中输入当前的时间，例如“2023-04-16 18:35”，输入完按回车键后，我们可以注意到A1单元格中的内容自动变成了“2022/4/16 18:35”，重新点击A1单元格，则可以在编辑栏中看到“2022/4/16 18:35:00”。显然，WPS已经将我们输入的“2023-04-16 18:35”识别为了时间类型的数据并以默认的格式显示。如下图所示。

接下来，右击单元格A1选择“设置单元格格式”，或选择A1单元格后直接按Ctrl+1快捷键设置单元格格式。我们可以注意到当前数字格式为“自定义（yyyy/m/d h:mm）”。我们将其更改为“常规”，可以发现A1单元格中的数据已经变成了“45032.7743055556”。如下图所示。

我们将当前文档保存为“工作簿1.xlsx”，然后用7-Zip等软件打开（也可以将扩展名改为“zip”然后双击打开）。找到“xl”目录下的“worksheets”，此目录中保存着各工作表中的文字内容。如下图所示。

找到“worksheets”目录下的“sheet1.xml”，打开后即可找到刚刚A1单元格的数据“45032.7743055556”。如下图所示。而刚刚A1单元格默认显示的是2023年4月16日18时35分这一日期。这说明，在xlsx文件内部，日期是用数字来记录的。

我们继续测试。

打开“工作簿1.xlsx”，在A2单元格输入“45031.7743055556”，正好与A1单元格的数字小1。接下来选择A列（A:A），右击，选择“设置单元格格式”。将数字格式设置为“自定义”，并手工输入“yyyy-MM-dd hh:mm:ss”。如下图所示。

设置显示格式后，我们可以发现，A2单元格的时间为“2023-04-15 18:35:00”，正好比A1单元格早一天。如下图所示。

上述实验说明xlsx文件中的时间，基本间隔单位为1天。那么，Xlsx文件中的“时间起点”又是什么时候呢？

我们在A3输入“0”、A4单元格输入“1”，可以发现A3单元格显示的是“1900-01-00 00:00:00”，A4单元格则是“1900-01-01 00:00:00”，如下图所示。

所以，xlsx文件中时间的“起点”是1899年12月31日00:00:00。

跳转微信打开

]]> Sun, 16 Apr 2023 21:10:00 +0800 X-Ways Forensics处理Linux软RAID https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484098&idx=1&sn=77050343a2f4dd6c8bdefab30dc53a1e 第八届全国取证赛马上就要开始了，不少人都在摩拳擦掌积极备赛。今天突然有人问我Linux 软RAID的相关问题原创取证杂谈胡壮 2022-10-27 22:39 福建

第八届全国取证赛马上就要开始了，不少人都在摩拳擦掌积极备赛。今天突然有人问我Linux 软RAID的相关问题

第八届全国取证赛马上就要开始了，不少人都在摩拳擦掌积极备赛。今天突然有人问我Linux 软RAID的相关问题，我直接推荐UFS Explorer RAID Recovery，但试用版无法导出大文件（其实可以变通地先导出分区镜像，然后用其他工具加载并分析）。由于日常使用X-Ways Forensics更多一些，便尝试了一番，发现X-Ways其实处理软RAID也挺方便的。

Linux下的软RAID一般是Mdadm（全称Multiple Disk and Device Administration），2017年取证赛和2018年取证赛的团队赛中均有涉及，下面以2017年为例，介绍一下X-Ways的详细处理步骤。

三个镜像文件分别为“efc-hd1.E01”、“efc-hd2.E01”、“efc-hd3.E01”，大小分别为21.5GB、21.4GB、21.5GB。

X-Ways中新建案例，添加三个镜像文件。如图1所示。

图 1 X-Ways加载镜像后识别出了RAID分区

X-Ways没有直接解析出RAID中的分区，但识别出了软RAID（MD RAID Container）。对于每个镜像，X-Ways均列出了RAID头及RAID容器，并对RAID头虚拟分区添加了RAID信息注释（见图一名称列的黄色图标），注释中包含RAID的UUID、RAID类型、磁盘数量、条带大小等信息。

图 2 X-Ways从镜像中识别出的RAID信息

双击打开每个镜像中的MD RAID Container分区，保证这些分区处于活动状态。此时这些分区中的数据暂时还无法查看。

点击主菜单“Specialist”→“Reconstruct RAID System”，如果当前使用普通权限打开的X-Ways，会弹出需要管理员权限的提示，可忽略。

在RAID设置界面，组件选择各镜像中的MD RAID Container分区，RAID头大小保持默认（0）。通过图2 X-Ways注释信息可知RAID类型为RAID 5 (backward dynamic)，条带大小为1024。如图3所示。

图 3 设置RAID参数

点击“OK”后，X-Ways 目录浏览器（Directory Explorer）中会多出一个磁盘，里面有三个分区，其中分区1为LVM2容器，分区2、分区3存在于LVM2容器中，大小分别为25.1GB、27.0GB。如4所示。

图 4 X-Ways解析后的RAID分区

此时X-Ways已经成功解析了RAID，但双击分区2、分区无法正常打开，尝试将识别的分区添加到案例，提示“Component partition cannot be remembered”，不知道是不是Bug。

图 5 X-Ways无法解析RAID中的分区

图 6 X-Ways报错

分别双击打开RAID中的分区2、分区3，然后点击主菜单中的File→Save As，将整个未识别的分区保存为单个文件，并作为镜像重新添加到案例，即可查看其中的内容。如图7所示。

图 7 将分区保存为DD镜像后重新加载

总结一下要点：

1、X-Ways的RAID重组功能，数据源只能是磁盘或分区（可以是本地设备，也可以是X-Ways解析得到的），不能直接加载镜像。

2、对于软RAID，数据源应该是RAID容器分区，而不是磁盘。

3、软RAID参数，可以从X-Ways解析的RAID中查看。

4、对于本案例，X-Ways无法直接解析RAID中的两个卷（Volume）。RAID中看起来是两个卷，但是单独保存后重新加载，发现实际是分区（Partition）。

跳转微信打开

]]> Thu, 27 Oct 2022 22:39:00 +0800 分享图片 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484085&idx=1&sn=d5c6f4c39628f850572f2b0c37ce86eb 2022-05-24 18:11 福建

跳转微信打开

]]> Tue, 24 May 2022 18:11:00 +0800 分享图片 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484080&idx=1&sn=9b4a6063a373317be6cee39003016f26 2022-05-22 18:18 福建

跳转微信打开

]]> Sun, 22 May 2022 18:18:00 +0800 电子数据取证怎么学？以第七届美亚杯资格赛第10题为例 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484064&idx=1&sn=921691f1424e80d1c33026662fb4e136 以第七届美亚杯资格赛中某题为例，分享电子数据取证的发散思维。原创取证杂谈胡壮 2021-11-28 23:16

以第七届美亚杯资格赛中某题为例，分享电子数据取证的发散思维。

最近，特别是取证赛前后，经常有学生问我电子数据取证该怎么学？感觉刚刚入了门，好像什么都懂一点，又好像什么都不怎么懂，做题还行，实践就抓瞎了。个人觉得，想学好电子数据取证，最重要的是多思考，把各个细小的知识点串起来，从而形成自己的取证知识体系。

下面以今年取证赛资格赛第十题为例，分享一下自己的解题过程及相关的思考。题目为：工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? 此题对应的检材为VTM-computer.e01。

看到题目，我想到的解题思路如下：

思路1：使用镜像挂载工具挂载镜像文件，通过Windows资源管理器尝试解密并查看恢复密钥标识符。

思路2：取证取证软件尝试解密并查看恢复密钥。

思路3：如果用户保存恢复密钥后又打开查看过，用户痕迹中可能会找到对应的BitLocker标识信息（如果BitLocker以txt格式保存，文件名中包含恢复密钥标识）。

接下来按照上面的思路，逐一进行实践。

思路1。使用FTK Imager等工具挂载VTM-computer.e01，稍等片刻屏幕右上角会弹出解密界面（如果没有自动弹出，资源管理器中双击带有BitLocker锁定图标的分区即可弹出）。在解密界面中，点击“更多选项”，然后选择“输入恢复密钥”，便会弹出带有BitLocker恢复密钥标识符的解密窗口，但标识符不完整。故此方法无法用来解题。

思路2。取证大师加载镜像文件，右击存在BitLocker加密的分区，选择“BitLocker解密”，然后选择“恢复密钥串”，即可看到恢复密钥标识。

思路3。取证大师自动取证结果中，多次出现了恢复密钥相关的痕迹，例如“快捷方式文件解析”节点、“最近访问的文档”节点、“最近打开保存文档”节点、“IE浏览器历史记录”节点。用户曾打开过“C:\Users\PC1\Desktop\BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.TXT”，结合思路，可以判定“36EBC180-95F7-41FF-BE5B-4E56E7AF48B1”即是所需的标识符。

如果仅仅为了解题，至此，题目的正确答案已经得到，思路2或及思路3结合思路1全部可行。但其实我们可以继续拓展一下。

如果这一题不是填空，而是选择题，我们是不是又多了一种解题思路？没错，将各选项作为关键词在检材中进行搜索。接下来使用用已知的BitLocker恢复密钥标识在检材中进行搜索，看有没有意外的发现。

在取证大师中点击“搜索”图标，选择“原始数据搜索” ，关键词为“36EBC180”，搜索范围选择“磁盘设备”，并限定分区3（操作系统所在分区）。

经过数分钟的等待，搜索终于结束。取证大师得到231条命中结果，相同文件合并后，得到17条记录，即共有17个文件中存在“36EBC180”。

接下来我们对这17条记录进行大致的解读。

上图第一个命中文件为“pagefile.sys”，这是Windows内存交换文件，功能类似Linux的swap分区，物理内存不足时，内存中的数据可能会临时写入到此文件。“pagefile.sys”中出现命中结果，说明BitLocker恢复密钥标识曾经出现在内存中。

第17个命中文件为“$MFT”。$MFT文件中出现命中结果，说明分区中目前或曾经存在过文件名中含有“36EBC180”的文件记录。由于保存BitLocker恢复密钥的txt文件很小，不到1KB，所以在文件系统中一般以常驻文件存在。这意味着，如果命中结果真的就是BitLocker恢复密钥文件，在命中结果前后可以找到恢复密钥字符串。

但是很可惜，通过查看上下文，命中的仅仅是快捷方式文件而已。只能说明用户曾经打开过恢复密钥文件。

第16个命中文件为“$UsnJrnl•$J”，命中记录27条。该文件是NTFS文件系统日志，命中此文件说明BitLocker恢复密钥文件存在更改、移动、删除等操作。

使用取证神探加载镜像文件，解析NTFS日志，得到347447条记录。对“名称”列进行过滤，过滤关键词为“36EBC180”，正好得到27条结果。

通过第一条记录可以得知，用户于2021-10-18 18:13:59导出了恢复密钥文件“BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.TXT”到桌面。

通过最后一条记录可以得知，用户于2021-10-18 18:16:14对该文件进行了重命名。

接下来我们按时间进行过滤，范围为改名后的两分钟，即2021-10-18 18:16:14至2021-10-18 18:17:00，得到168条记录。

根据18:16:14至18:16:17的NTFS日志得知用户先将“BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.TXT”重命名为了“BitLocker Recovery Key 1.TXT”，接着又重命名为了“BitLocker Recovery Key.TXT”，最后又命名为了“$RR64YMU.TXT”，路径也变成了“$Recycle.Bin\S-1-5-21-1376663006-2626393931-4032423365-1001\$RR64YMU.TXT”，即移动到了回收站，同时根据路径中的SID得知操作者为“PC1”。

接下来按文件名进行过滤，关键词为“$RR64YMU.TXT”，可以得知用户于18:16:26清空了回收站。至此，恢复密钥文件的创建时间、删除时间都清晰了。

继续回到恢复密钥标识符命中结果。第13个命中文件“NTUSER.DAT”及第14个命中文件“ntuser.dat.LOG2”说明注册表中存在恢复密钥相关内容，进一步分析分析可以得知这些内容实际来自MRU痕迹。

时间关系，其他命中的文件本文就不一一分析了。

上面举的这些例子，只是想告诉初学者，电子数据取证的学习，要形式知识体系。参加取证赛前，可能会重点突击练习解题技巧，但在赛后，更重要的知识点的梳理，一套取证题，发散开来，足以涉及大多数取证知识。取证赛由于时间、工具等关系，能拿名次不简单，但赛后如果能慢慢将各题涉及的知识点领悟透，也依然算得上是取证大佬！甚至，慢慢分析的过程中，去体会出题人出题时的思路，去思考哪些题目可以出的更完美，也不失为一种乐趣。

最后，给大家留下一些思考题，感兴趣的可以尝试看看，可以将思考结果通过邮件发给我（huzhuang（at）hustrong.com），全部答对的，我会送一份自己整理的《X-Ways Forensics入门指南》。

1.本文中，取证大师搜索结果为231条记录，如果你按照同样的步骤进行搜索，结果是否也为231条记录，如果不是，可能的原因是什么？

2.本问题提到的“BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.TXT”曾经被打开过，请问是否由用户“PC1”打开？以及由什么应用打开的？请说明详细的判断理由。

3.本文中提到的恢复密钥标识符命中记录中，有一条记录命中的文件名为“recent”，该文件的完整路径是什么？是否是普通的文件？该文件中内容是什么？SHA-1值是多少？最后4字节内容是什么？

4.文件“BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.TXT”是否被外传？如果有，通过什么方式传到了哪里？

5.现场数据固定，电脑已关机，但怀疑可能有BitLocker加密，请简述你的工作方案，请考虑到各种可能，注意各种操作的后果及影响。

跳转微信打开

]]> Sun, 28 Nov 2021 23:16:00 +0800 发现每年的美亚杯出题团队都挺喜欢用X-Ways的[呲牙]今年的检材中，出现了两个xmet文件，说明出题人自己用X-Ways加载镜像验证过[调皮]为了提高E01文件的加载速度，X-Ways会自动在镜像文件所在目录或案例目录（取决于设置）中生成xmet格式的文件保存E01镜像的元数据 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484045&idx=1&sn=be3d1871a5212a2def977d98fca1673b 发现每年的美亚杯出题团队都挺喜欢用X-Ways的[呲牙]今年的检材中，出现了两个xmet文件，说明出题人自己用X-Ways加载镜像验证过[调皮]为了提高E01文件的加载速度，X-Ways会自动在镜像文件所在目录或案例目录（取决于设置）中生成xmet格式的文件保存E01镜像的元数据 2021-11-14 07:13

发现每年的美亚杯出题团队都挺喜欢用X-Ways的[呲牙]今年的检材中，出现了两个xmet文件，说明出题人自己用X-Ways加载镜像验证过[调皮]为了提高E01文件的加载速度，X-Ways会自动在镜像文件所在目录或案例目录（取决于设置）中生成xmet格式的文件保存E01镜像的元数据

跳转微信打开

]]> Sun, 14 Nov 2021 07:13:00 +0800 压缩包炸弹 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484044&idx=1&sn=14da19acd075021a3f1111b5005747b7 这个例子让我再次意识到取证工作中软件不是万能的，如果条件允许最好使用多种工具进行交叉验证，必要的话，直接手工分析！原创取证杂谈胡壮 2021-07-06 00:33

这个例子让我再次意识到取证工作中软件不是万能的，如果条件允许最好使用多种工具进行交叉验证，必要的话，直接手工分析！

今天在使用X-Ways处理工作的时候，不经意间注意到X-Ways提示框弹出了Archive bomb的相关提示，内容大致如下：

仔细回想，貌似前几天就出现过类似的提示，只是太忙直接忽略了。

Archive bomb是什么？根据经验，推测是X-Ways遇到了处理不了的文件。个人猜测应该是这个压缩包里面有逻辑错误，导致软件无法解析。什么错误会被称为“bomb”呢？好奇心让我忍不住打开谷歌一探究竟。

压缩包炸弹是指让解压软件（或其他处理软件）处理时会崩溃或无法正常处理的压缩包，大致原理是这类文件解压需要极大的资源（例如时间、磁盘空间或内容）。早期压缩包炸弹被用来过隐藏恶意代码，杀毒扫描时会崩溃或自动跳过检查。

一个比较经典的压缩包炸弹是“42.zip”，该文件仅42KB大小，但打开后发现里面又有16个压缩包，继续打开任意一个压缩包，会发现里面又有16个压缩包……，一共有5层嵌套，最终的压缩包里面是一个4.3G的压缩包。

那么这个42.zip完全解压有多大呢？最内层，4.3G×16=68GB；到倒数第二层，68G×16=1TB；到倒数第三层，16GB×16=17TB；到倒数第四层，17TB×16=281TB；到第五层（最外层），281×16=4.5PB。一个小小的压缩包，处理起来估计没有哪台电脑的内存或硬盘够用。

上面这个文件可以从网站“42.zip”（域名https://unforgettable.dk/）下载得到，解压密码为42。压缩包炸弹除了42.zip，还有很多，大家可以网上搜搜看。

这个例子让我再次意识到取证工作中人才是最重要的，软件不是万能的，如果条件允许最好使用多种工具进行交叉验证，必要的话，直接手工分析！据我了解，对于这种压缩包炸弹，X-Ways会弹出提示，而其他大部分无法解析却没有任何警示信息！

跳转微信打开

]]> Tue, 06 Jul 2021 00:33:00 +0800 Windows11要求硬件必须有TPM2.0，以后Windows很可能也会和Android、iOS、macOS一样全盘加密。对普通用户来说，系统更安全了，对取证工作者来说，却喜忧参半。 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484035&idx=1&sn=8c23593a8fa9b17b3fa13bdc7bab076e 2021-06-25 09:20

跳转微信打开

]]> Fri, 25 Jun 2021 09:20:00 +0800 取证小知识102 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484034&idx=1&sn=fc2315a1b4def6a7c6a0f73654e61dbe 取证小知识102 2021-03-16 20:34

取证小知识102

跳转微信打开

]]> Tue, 16 Mar 2021 20:34:00 +0800 2021年度司法鉴定能力验证报名即将截止 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484033&idx=1&sn=69b020ad5340c49489e6a06ab75084a3 2021年度司法鉴定能力验证报名即将截止 2021-03-12 18:09

2021年度司法鉴定能力验证报名即将截止

跳转微信打开

]]> Fri, 12 Mar 2021 18:09:00 +0800 取证小知识-100 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484031&idx=1&sn=1424c22df11dded6d949c10438d2a773 取证小知识-100 2021-01-27 08:06

取证小知识-100

跳转微信打开

]]> Wed, 27 Jan 2021 08:06:00 +0800 取证小知识-99 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484030&idx=1&sn=ff11a5f2474a3323ea2834a77836ce8c 取证小知识-99 2021-01-20 17:58

取证小知识-99

跳转微信打开

]]> Wed, 20 Jan 2021 17:58:00 +0800 取证小知识-98 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484029&idx=1&sn=073afc4e3da4a981cdbf6f4f58d65be6 取证小知识-98 2020-12-30 18:21

取证小知识-98

跳转微信打开

]]> Wed, 30 Dec 2020 18:21:00 +0800 取证小知识-97 volatility与Windows10 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484028&idx=1&sn=e722d20cd328396529824053dd5950ec 取证小知识-97 volatility与Windows10 2020-12-29 17:38

取证小知识-97

volatility与Windows10

跳转微信打开

]]> Tue, 29 Dec 2020 17:38:00 +0800 取证小知识-96 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484027&idx=1&sn=1b6c4d3757ae84cb62c0390c5b8772a4 取证小知识-96 2020-12-28 17:52

取证小知识-96

跳转微信打开

]]> Mon, 28 Dec 2020 17:52:00 +0800 取证小知识-95 知识点：电子数据司法鉴定分类 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484026&idx=1&sn=93155849d69348c818184bef6992a742 取证小知识-95 知识点：电子数据司法鉴定分类 2020-12-23 09:02

取证小知识-95

知识点：电子数据司法鉴定分类

跳转微信打开

]]> Wed, 23 Dec 2020 09:02:00 +0800 取证小知识-94 新书推荐 https://mp.weixin.qq.com/s?__biz=MzI3Mjc0MjkwMQ==&mid=2247484025&idx=1&sn=3068bfe80d02f300aa3c7dffb0ee226a 取证小知识-94 新书推荐 2020-12-18 18:08

取证小知识-94

新书推荐

跳转微信打开

]]> Fri, 18 Dec 2020 18:08:00 +0800