電腦取證工具測試專用映像檔
DD檔為NTFS檔案格式,共有 10 個JPEG 圖片。這些圖片有的是更改了文件附檔名的圖片、有的是嵌入在Word、zip壓縮文件中的圖片,以及可能包含在數據流中。
映像檔的MD5值為 8d322b5bf5df79e75d1c9a16b6ee4da6。下載
以下為圖片案例說明,用於對比測試結果。
| NO. | 名稱 | 註釋 |
| 1 | alloc\file1.jpg | 標準JPEG附檔名文件 |
| 2 | alloc\file2.dat | JPEG圖片,但附檔名改變 |
| 3 | invalid\file3.jpg | 非JPEG文件,但附檔名為JEG |
| 4 | invalid\file4.jpg | 一個隨機文件,但前兩個字節為 0xffd8 ,即JPEG 文件簽名。沒有其他簽名特徵和文件尾簽名 |
| 5 | invalid\file5.rtf | 一個隨機文件,但文件中包含多處 0xffd8 簽名值 |
| 6 | del1\file6.jpg - MFT | 刪除的JPEG 文件,附檔名為JPG |
| 7 | del2\file7.hmm - MFT | 刪除的JPEG 文件,附檔名改變 |
| 8 | archive\file8.zip | 一個標準 ZIP 文件,內含名為 file8.jpg的JPEG圖片 |
| | file8.jpg | 包含在上述ZIP文件中的圖片 |
| 9 | archive\file9.boo | 改變附檔名的ZIP文件,包含名為file9.jpg 的圖片 |
| | file9.jpg | 包含在上述更改附檔名的ZIP文件中的圖片 |
| 10 | archive\file10.tar | tar格式壓縮文件,包含名為file10.jpg 的圖片 |
| | file10.jpg | 包含在上述GZ文件中的圖片 |
| 11 | misc\file11.dat | 包含1572 字節的隨機數據文件,附加了一個JPEG 圖片。這是使用COPY.EXE命令 '+' 選項製作的。 |
| 12 | misc\file12.doc | 包含JPEG 圖片的WORD文件 |
| 13 | misc\wuaueng1.dll’here | 在ADS數據流中的數據文件 |
註:本測試案例中,有些普通工具可能無法發現8, 9, 10, 11, 12 幾個圖片。
案例由計算機取證技術 修改而來大家可以玩玩看~
發表文章
0 意見: