标签: forensics

三周前，我的笔记本电脑在校园里被偷了。我立即向警方和制造商的网站报告了此事。几天前，一个人打电话给制造商，说他在网上买了一台二手笔记本电脑，想通过序列号查看保修。厂家看到被偷了，警察联系了那个可怜的买家，从他那里拿走了笔记本电脑，还给了我。

警察告诉我，他们会根据买家的描述尝试找到小偷；然而，他们甚至连看都没看就把笔记本电脑还给了我！

我打开它看到小偷在出售之前重新安装了Windows（Windows 7 Professional）。
我很肯定系统中一定有关于谁重新安装的线索，比如安装发生的 IP 地址等，或者重新安装的软件的许可证可以给我关于小偷身份的线索。

问题：

1. 我可以在日志中的何处找到有关安装后计算机首次连接到 Web 的位置的详细信息？
2. 我在哪里可以找到有关已安装 Windows 和 Office 的产品密钥\许可证的信息？
3. 关于我如何追踪 SOB（他也可能在一周前偷了另一台计算机）的任何其他想法？

是否可以确定 CD 是否是由特定的 CD/DVD 刻录机刻录的？该刻录机是否有任何标识符始终写入它刻录的任何光盘？

这是我想在计算取证课程中了解的内容。我个人很想知道。我从来没有想过这么多...

我前几天看到这个

这种行为并不统一。如果我使用 MS Paint 或任何其他编辑器，则不会发生同样的情况。

题：

是否有方法可以发现使用哪个编辑器来创建/编辑图像？
我想知道的东西，如：使用X编辑器总是让这个 在文件的结尾或使用Ÿ增加了这些标记的图像。

我已经知道：

此类痕迹可能不可信，这意味着创建/屏蔽此类痕迹可能很简单

有人以用户身份登录并删除了 Google Chrome 用户的所有应用、扩展程序、书签、历史记录和设置。之后，他们关闭浏览器窗口并重新启动（覆盖 Chrome 制作的隐藏备份文件）。这些更改已通过 Google Sync 传播到其他计算机。

我怎样才能恢复这些数据？理想情况下，拥有尽可能多的取证信息（删除、访问的日期/时间等）。我需要尽快恢复这些数据。

我现在正在谷歌上挖掘，但还没有取得任何真正的进展。我将用我找到/尝试的任何信息更新此线程。

我正在学习使用 Tshark。我正在尝试使用 Tshark 检索两个 IP 地址之间的所有对话的列表。这两个IP是：

• 192.168.1.158
• 64.12.24.50

在 Wireshark 中我可以看到 IP 之间的通信

在命令行中，我发出以下命令：

tshark -r mypcap.pcap -T fields -e ip.src==192.168.1.158 -e ip.dst==64.12.24.50

由于某种原因，我没有得到任何输出。我不知道为什么？

输入：HDD 的 RAW/DD 图像。fdisk -l显示分区

fdisk -l image.dd 
Disk image.dd: 15 GiB, 16106127360 bytes, 31457280 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00093f57

Device            Boot  Start      End  Sectors  Size Id Type
image-1.dd1 *      2048   499711   497664  243M 83 Linux
image-1.dd2      501758 31455231 30953474 14.8G  5 Extended
image-1.dd5      501760 31455231 30953472 14.8G 8e Linux LVM …

我有一台 Windows 10 电脑，其中一个硬盘完全损坏（因为 BIOS 无法识别，发出奇怪的噪音并且无法使用）。它不是系统盘，但主要包含私人数据。我不太记得光盘上有什么，这就是问题所在。为了评估损失（并评估硬盘上的进一步数据恢复程序是否值得付出代价），我想获得有关光盘上内容的所有可能线索（文件名，可能带有文件夹名称就足够了）。

我想也许 Windows 搜索及其所有文件索引可能包含一些有关光盘上存储的内容的信息，并且该信息（即使只是部分信息）可以以某种方式检索。

是否可以访问 Windows 搜索数据库并检索带有丢失驱动器路径的文件列表，如果可以，如何检索？

请注意，这个问题不是关于损坏硬盘的数据恢复，而是关于 Windows 保留硬盘驱动器上的文件（但目前不存在）的哪些信息。Windows 文件搜索索引似乎是存储此类信息的潜在位置。

假设您收到一个扩展名已被删除或更改的文件（file.tar.gz --> file.blah）。该文件被解压缩，其内容由应用程序使用。但是您无权访问该应用程序以了解如何操作。那么你如何确定文件的扩展名才能自己解压呢？例如，您可以通过使用十六进制编辑器检查文件来做到这一点吗？

我正在将我的笔​​记本电脑退还给零售商，但我已经使用了 1 个月，这次我存储了一些机密信息，因此我计划使用http://cmrr.ucsd.edu/people对我的 SSD 进行零填充/Hughes/secure-erase.html或https://www.piriform.com/defraggler

完成零填充后，我能否轻松地重新安装 Windows 8.1？简单我的意思是一种正常的方法，可能涉及一些格式化/分区。

我必须能够安装 Windows 8.1，因为零售商会检查它是否有效。

我不担心零填充会减少 SSD 读/写周期，因为无论如何笔记本电脑在其他方面都有问题。

安全擦除问答页面中的一个除外状态

Q:  What is the difference between secure erase and enhanced secure erase?

A:  Secure erase overwrites all user data areas with binary zeroes.  Enhanced 
secure erase writes predetermined data patterns (set by the manufacturer) to 
all user data areas, including sectors that are no longer in use due to 
reallocation. ***NOTE:  the enhanced secure erase option is …