本測試中,Sprite利用的是Whinex 15.2(法證版)對前面FAT32 DD鏡像中的刪除數據進行恢復。題目中的15個文件均成功被恢復出來,而且操作非常簡單。但恢覆文件中有3個文件的MD5值與原作者提供的MD5值不匹 配。分析原因為通過文件簽名搜索回的數據大小出現稍微的偏差,造成對文件MD5值計算出現了不同結果。視頻最後部分,Sprite將不同的md5簽名文件 標示了出來,供參考。
通過,通過觀看Sprite的操作,大家可以看到利用Winhex法證版/X-Ways Forensics對dd鏡像操作的基本過程。這個過程非常簡單,由此可以理解為什麼說X-Ways Forensics是一個操作簡單,功能強大的工具了。
轉自計算機取證技術
發表文章
0 意見: