点击上方蓝字“小谢取证”一起玩耍
在取证中,你发现D盘被BitLocker 加密。U盘上可能有一些线索,你对U盘进行了取证。
1.参考David_USB_8GB.e01,David 的U盘文件系统的格式?
A:NTFS;
B:FAT32;
C:exFAT;
D:ReFS;
答案:A
解题思路:
使用X-ways选择文件-创建案件。
如果案件数据没有显示出来 可以在查看-显示-案件数据将其调出。
案件创建完成后选择添加镜像
即可看到文件系统
//NTFS (New Technology File System),是微软Windows NT内核系列操作系统支持的磁盘格式,为网络和磁盘配额、文件加密等管理安全特性设计
NFFS的基本数据结构
2.参考David_USB_8GB.e01,David 的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)?
A:128;
B:256;
C:512;
D:1024
答案:C
解题思路:加载完镜像直接查看即可。
3.参考David_USB_8GB.e01,David 的U盘中有多少个已删除的文件?
A:1;
B:2;
C:3;
D:4
答案:A
解题步骤:
4.承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少?
A:16;
B:32;
C:64;
D:128
答案:C
考点:首先该文件系统为NTFS,
解题步骤:右键该文件-导航-转至文件记录(即查看该文件的MFT文件记录)
bitlocker_key.jpg的MFT文件记录
属性列表(list):为MFT记录的主体,长度可变,起始偏移为0x30(相对于记录首字节的偏移),用于存放文件各种属性(大小、位置、时间等)。常见的是标准属性(0x10)、文件名属性(0x30)、数据流属性(0x80)和位图属性(0xB0)等,一个文件记录至少包含0x10和0x30属性。而每一属性又都有属性头(header)和属性体(body)的结构。MFT的结束标志为0x FF FF FF FF。
如果想查看属性列表所代表的含义,可以使用“查看”-“模版管理器”
因为这边的NTFS的文件系统,所以我们选择NTFS模板,再选择应用
我们可以看到对于0x10 0x30 0x80属性里头的具体内容
MFT中80属性
◇属性分常驻属性和非常驻属性:
(1)小文件和目录将全部(内容或索引信息)存储在MFT基本的文件记录里,其属性就称为常驻属性(residentattribute)。标准信息、文件名和索引根等属性总是常驻属性。NTFS对常驻属性的访问时间短。
(2)大文件(目录)如果属性值超过1KB时,在基本的文件记录中就用一个指针指向MFT基本文件记录之外的一个外部簇,以此形成B-Tree(B+树)结构。值存储在运行中而不是在MFT文件记录中的属性称为非常驻属性(nonresidentattribute)。
常驻属性和非常驻属性的判断方法为查看属性头的偏移(16进制)08是01还是00。00表示为常驻,01表示非常驻。所以此题我们参考非常驻属性头的分析表
属性头(Header)对照表:
回到题目当中,先定位到0x80,其后为DataRun数据。
已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是0x40,十进制为64。
所以这道题的运行偏移量为64(0x40转换为十进制为64)
5.承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少?
A:0x4C3F0DB522;
B:0x4C3F0D22B5;
C:0x224C3F0DB5;
D:0x3F4C0DB522
答案:A
步骤:鼠标停留在0x22后显示data runs 依据小端法,答案为0x0x4C3F0DB522
6.承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少?(答案格式:只需使用阿拉伯数字回答)
答案:1796178
步骤:点击“详细”即可看到文件的实际大小
7.承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少?(答案格式:只需使用阿拉伯数字回答)
答案:19519
解题思路:
运行偏移量是由NTFS系统下的DateRun格式决定的,例如,在此题中
Data runs:
22 B5 0D 3F 4C
Run 1:
Header = 0x22 - 2 byte length, 2 byte offset
Length = 0x0DB5 (2 byte)
Offset = 0x4C3F (2 bytes)
所以run offset 为0x4C3F,十进制为19519
MFT非常驻属性结构
上图中,“3”代表簇流起始簇号的0x02AD0B的3个字节,“2”代表的簇流长度的簇流长度的0x0388的2个字节。题干中的运行偏移量即为簇流的起始簇号,即该文件内容的起始扇区位置。
Run Length为0x0DB5 十进制为3509
这题可以理解为该文件内容的起始扇区位置,所以查看详情即可。
8.承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少?
A:2408;
B:3509;
C:3128;
D:4021
答案:B
解题思路如上。
9.承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少?
A:1000 x 2000;
B:2000 x 3000;
C:3000 x 4000;
D:4000 x 5000
答案:C
解题思路:文件详情即可查看。
10.承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄?
A:SAMSUNG SM-A425;
B:SAMSUNG SM-A4580;
C:SAMSUNG SM-A4260;
D:SAMSUNG SM-A5G
答案:C
解题思路:文件详情即可查看。
软件及检材链接:
https://pan.baidu.com/s/1Y7_T_BhgRoz0kVhmc5D9Vw?pwd=n343
提取码:n343
敬请各位大佬关注:小谢取证
扫取二维码获取
更多精彩
小谢取证
