靈猴泄密案取證分析

1、大作業(yè)的要求和內(nèi)容：（包括題目選擇范圍、技術(shù)要求、遞交時間、考核方法等）題目：設(shè)計(jì)稿泄密案取證分析案件背景：某公司報(bào)警稱其公司的靈猴設(shè)計(jì)稿失竊，丟失一名為“EgisTec_ES603”的U盤,懷疑張三有泄漏公司機(jī)密的重大嫌疑，隨即對他個人的一臺筆記本硬盤進(jìn)行了證據(jù)固定，并通過EnCaseV6生成了Monkey.E01鏡像文件。技術(shù)要求:1、通過技術(shù)分析，找出此人涉嫌泄露公司機(jī)密信息的痕跡；2、分析出該對象使用的通訊工具；遞交時間：項(xiàng)目完成時間：2015.5.142015.6.24 考核方法：1.獨(dú)立完成，如出現(xiàn)抄襲以零分計(jì)。2.實(shí)驗(yàn)結(jié)果以報(bào)告形式提交，并且正確完成每項(xiàng)技術(shù)要求計(jì)25分，滿分10

2、0分。一、第一階段：分析人物關(guān)系1.使用取證大師新建案例“設(shè)計(jì)稿泄密案”，加載磁盤鏡像Monkey.E012.在USB使用痕跡中發(fā)現(xiàn)了失竊U盤的使用記錄，遂判斷張三有重大嫌疑3.接著查看電腦的即時聊天使用記錄，發(fā)現(xiàn)了zhangsan1681用戶使用skype的痕跡查看zhangsan1681的聯(lián)系人，發(fā)現(xiàn)有兩人，分別為echo121和lisi16789（顯示名為李四）5.只發(fā)現(xiàn)與李四有聊天記錄6.查看詳細(xì)聊天記錄從即使聊天中可以得到以下信息：（1）zhangsan1681為張三,lisi6789為李四（2）2012年5月8日之前，張三通過郵件發(fā)給了李四一個“資料”，并且是有“酬金”的交易（3）

3、張三有更新的“資料”，需要一定的“方式”才能查看（4）兩人通過支付寶或銀行卡交易7.因聊天記錄提及到了郵件，于是去查看郵件記錄整理得到如下對話通過郵件可以得到以下信息：（1）張三在5月8日通過郵件發(fā)送給了李四若干個加密的分卷壓縮包，密碼“照舊” （2）從17點(diǎn)53分的李四發(fā)給張三的郵件主題“Re：Design資料3”來看，17點(diǎn)49分到53分之間，至少有一封張三發(fā)給李四的叫主題為“Design資料3”的郵件被刪除了（3）張三啟用了一個新的手機(jī)號碼，尾數(shù)為86（4）李四針對“design”資料通過工行和支付寶向張三付了錢，即針對design進(jìn)行了交易9.在硬盤中，以工行卡號特征設(shè)置搜索條件搜索工

4、行卡號（正則：0-9(6222|5309|5558)#|(6222|5309|5558) # # # #)0-9）未搜索到任何結(jié)果8.在硬盤中，以手機(jī)號碼特征設(shè)置搜索條件搜索以86結(jié)尾的張三的手機(jī)號成功命中號隱藏在funny01.jpg的文件殘留區(qū)內(nèi)10.在硬盤中，以郵箱地址的特征設(shè)置搜索條件進(jìn)行搜索搜索到643個結(jié)果仔細(xì)查看搜索到的條目時，發(fā)現(xiàn)以下兩處關(guān)鍵的內(nèi)容：（1）在“許慧欣孤單芭蕾.mp3”的文件殘留區(qū)里，意外發(fā)現(xiàn)張三的alipay賬號信息（2）發(fā)現(xiàn)4封處在未分配簇和浪費(fèi)的扇區(qū)中的被刪除的郵件，偏移量分別為52601917 , 5440519 , 511354

5、95 和69631495導(dǎo)出，整理內(nèi)容如下其中主題為“圖片資料”和“樣板圖”的郵件中，丟失的設(shè)計(jì)圖作為附件出現(xiàn)了（3）出現(xiàn)第三人：小王。小王是李四的助手，在5月3日李四出差時代替李四與張三接洽。郵箱110119120。二、第一階段梳理暫無新線索，梳理一下迄今為止獲得的信息：1.即時聊天信息（1）2012年5月8日之前，張三通過郵件發(fā)給了李四一個“資料”，并且是有“酬金”的交易（暫未找到）（3）張三有更新的“資料”，需要一定的“方式”才能查看(加密壓縮包)（4）兩人通過支付寶或銀行卡交易（支付寶賬號zhs518，銀行卡號暫未發(fā)現(xiàn)）2.郵件交流信息（1）張三在5月8日通過郵件發(fā)送給了李四若干個加密

6、的分卷壓縮包(disigin.part1.rar、disigin.part1.rar、？)，密碼“照舊” (加密壓縮包，密碼暫未找到)（2）從17點(diǎn)53分的李四發(fā)給張三的郵件主題“Re：Design資料3”來看，17點(diǎn)49分到53分之間，至少有一封張三發(fā)給李四的叫主題為“Design資料3”的郵件被刪除了（暫未找到郵件“Design資料3”）（3）張三啟用了一個新的手機(jī)號碼，尾數(shù)為86（4）在“許慧欣孤單芭蕾.mp3”的文件殘留區(qū)里，意外發(fā)現(xiàn)張三的alipay賬號信息（zhs518）（5）發(fā)現(xiàn)4封處在未分配簇和浪費(fèi)的扇區(qū)中的被刪除的郵件，偏移量分別為52601917

7、, 5440519 , 51135495 和69631495其中主題為“圖片資料”和“樣板圖”的郵件中，丟失的設(shè)計(jì)圖作為附件出現(xiàn)了，確認(rèn)兩人交易物品為失竊的設(shè)計(jì)圖（monkey7.jpg和monkey8.jpg）（6）出現(xiàn)第三人：小王。小王是李四的助手，在5月3日李四出差時代替李四與張三接洽。郵箱110119120。3、人物關(guān)系三、第二階段：找證據(jù)文件1.搜索密碼猜測磁盤中可能有保存了相關(guān)密碼的文件，于是以“密碼”作為關(guān)鍵詞在磁盤中進(jìn)行搜索。正則：(密碼)|(a-zpassworda-z )|(a-zpwda-z )|(a-zpwa-z )|(a-zcodea-z )得到463個結(jié)果仔細(xì)查看搜

8、索到的結(jié)果，在未分配簇里發(fā)現(xiàn)了重要信息：發(fā)送資料記錄和一個容器密碼得到以下信息：（1）確實(shí)有disign.part3.rar的存在，即郵件中至少還有一封郵件被刪除（3）除了壓縮包，還發(fā)送過文檔和容器（3）容器是PrivateDisk加密容器，密碼是terry123在磁盤中過濾容器文件*.dpd，找到了86.dpd同時在磁盤中的反取證軟件里發(fā)現(xiàn)了PrivateDisk，但是導(dǎo)出之后發(fā)現(xiàn)已經(jīng)超過注冊期無法使用在互聯(lián)網(wǎng)上找到了最新試用版本的PrivateDisk程序，并成功加載了86.dpd文件，映射至Z盤符。容器映射的Z盤，大小為4.97MB打開發(fā)現(xiàn)了兩個文件打開my bank.txt,找到了之前

9、未找到的張三的工行、建行的卡號、密碼打開monkey.png，發(fā)現(xiàn)是失竊的設(shè)計(jì)圖之一結(jié)合之前發(fā)現(xiàn)的“資料發(fā)送記錄”里提到的容器來看，張三的確在和李四交易設(shè)計(jì)圖2.用戶痕跡最近訪問的文檔分析查找用戶最近訪問的文檔尋找線索發(fā)現(xiàn)以下可疑文件：（1）20110124.jpg，被EFS加密（2）important.doc，在第二頁存放了失竊的設(shè)計(jì)圖3.文件分析簽名不匹配檢驗(yàn)文件簽名過濾簽名不匹配的文件修復(fù)簽名后發(fā)現(xiàn)的可疑文件：（1）monkey.doc(JPEG)，被盜設(shè)計(jì)圖（2）monkey2.mp3(JPEG)，被盜設(shè)計(jì)圖（3）oktest.exe（RAR），加密壓縮包4文件分析加密文件5文件分析文

10、件簽名恢復(fù)進(jìn)行簽名恢復(fù)找到的有意義的文件：（1）important_00671.jpg（2）monkey1_00673.jpg（3）monkey2_00720.jpg（4）未分配簇_00790.jpg（5）未分配簇_00791.jpg（6）未分配簇_00792.jpg（7）未分配簇_00794.jpg（8）未分配簇_00804.jpg（9）未分配簇_00806.jpg6.文件分析磁盤深度恢復(fù)對三個磁盤依次進(jìn)行深度恢復(fù)未找到新的有意義的文件（兩張monkey設(shè)計(jì)圖已經(jīng)在簽名恢復(fù)時被發(fā)現(xiàn)過）7.文件分析反取證分析張三共使用了虛擬容器：PrivateDisk、突網(wǎng)工具：自由門、數(shù)據(jù)擦除工具：無影無蹤、信息隱寫工具：BMPEncrypt其中PrvDisk已經(jīng)解決，自由門與本案無關(guān)，無影無蹤無法恢復(fù)，開始處理BmpEncrypt，先在磁盤中過濾并導(dǎo)出所有BMP圖片導(dǎo)出BmpEncrypt，逐張圖片進(jìn)行測試，發(fā)現(xiàn)CoffeeBean.bmp加密了信息，但是沒有密碼，無法導(dǎo)出信息四、第三階段：總結(jié)1.未解決的問題（1）被刪除的包含附件“Disign.part3.rar”，主題為“Design資料3”的郵件未找到（2）oktest.rar、terry1