檢視文件內容或網頁瀏覽紀錄中,並未發現任何與毒品相關的跡證。但在LNK File的分析結果中,卻發現有大量的可疑文件存取痕跡,皆與毒品有關,如下圖所示,包括搖頭丸、海洛因、K它命、冰毒、FM2之特性、成份、製作方法等相關文件。取證人員仔細查看這些LNK File所指向的文件的路徑為F: 開頭,非屬本機磁盤代號的C、D或E,即表示這個磁盤代號F應是外接式儲存設備。但檢視阿強所使用的U盤,未發現相關文件內容。且比對阿強筆電的USB裝置使用痕跡分析結果中的Volume Serial Number,與LNK File的解析結果所得到的"2CC8-5685"(紅色框住部份所示)並不符合。當然,若是對U盤進行格式化,新的分割區的Volume Serial Number便會與先前不同,也不排除此一可能性。
再仔細檢視其它LNK File,一個名為data2.vhd.lnk(如下圖所示)引起了取證人員的注意。取證人員分析它應該就是阿強能夠將毒品相關文件"隱身"的重要關鍵所在,因此將data2.vhd於取證工作站上進行掛載,果不其然,它就是"虛擬磁盤",裡頭所存放的文件正是上述LNK File分析結果中所指向的文件名無誤。
706830-20160414153307176-1235907082.png (74.29 KB, 下載次數: 5)
2016-5-13 04:34 上傳
取證人員憑藉經驗與判斷,並未因.vhd看似為不知名的奇怪擴展名而將其忽略,最終順利找到了關鍵文件,將歹徒繩之以法。
《免責聲明》
一. 所有軟體皆由網路蒐集轉載測試,不承擔任何技術及版權等等問題。
二. 所有資訊作為測試用途,請於24小時內刪除,請購買正版,並且尊重智慧財產權。
三. 請於下載完後24小時以內將檔案刪除,請勿作商業上之用途。
四. 軟體若有侵權,請立即告知,本人將立刻做出刪除之動作。
作者: mkore0519 時間: 2016-8-14 09:51
很實用喔
作者: p812386 時間: 2016-8-16 09:03
感謝分享 實用^^
| 歡迎光臨 Android 台灣中文網 (https://apk.tw/) | Powered by Discuz! X3.1 |