灵猴泄密案取证分析 (1)

一、第一阶段：分析人物关系

1.使用取证大师新建案例“设计稿泄密案”，加载磁盘镜像Monkey.E01

2.在USB使用痕迹中发现了失窃U盘的使用记录，遂判断张三有重大嫌疑

3.接着查看电脑的即时聊天使用记录，发现了zhangsan1681用户使用skype

的痕迹

查看zhangsan1681的联系人，发现有两人，分别为echo121和lisi16789（显示名为李四）

5.只发现与李四有聊天记录

6.查看详细聊天记录

从即使聊天中可以得到以下信息：

（1）zhangsan1681为张三,lisi6789为李四

（2）2012年5月8日之前，张三通过邮件发给了李四一个“资料”，并且是有“酬金”的交易

（3）张三有更新的“资料”，需要一定的“方式”才能查看

（4）两人通过支付宝或银行卡交易

7.因聊天记录提及到了邮件，于是去查看邮件记录

整理得到如下对话

通过邮件可以得到以下信息：

（1）张三在5月8日通过邮件发送给了李四若干个加密的分卷压缩包，密码“照旧”

（2）从17点53分的李四发给张三的邮件主题“Re：Design资料3”来看，17点49分到53分之间，至少有一封张三发给李四的叫主题为“Design资料3”的邮件被删除了

（3）张三启用了一个新的手机号码，尾数为86

进行了交易

9.在硬盘中，以工行卡号特征设置搜索条件搜索工行卡号

（正则：[^0-9]((6222|5309|5558)###############|(6222|5309|5558) #### #### #### ###)[^0-9]）

未搜索到任何结果

8.在硬盘中，以手机号码特征设置搜索条件搜索以86结尾的张三的手机号

成功命中号码135********，隐藏在funny01.jpg的文件残留区内

10.在硬盘中，以邮箱地址的特征设置搜索条件进行搜索

搜索到643个结果

仔细查看搜索到的条目时，发现以下两处关键的内容：

（1）在“许慧欣孤单芭蕾.mp3”的文件残留区里，意外发现张三的alipay 账号信息

（2）发现4封处在未分配簇和浪费的扇区中的被删除的邮件，偏移量分别为52601917 , 5440519 , 51135495 和69631495

导出，整理内容如下

现了

（3）出现第三人：小王。小王是李四的助手，在5月3日李四出差时代替李四与张三接洽。邮箱110119120@https://www.360docs.net/doc/8715528717.html, 。

二、第一阶段梳理

暂无新线索，梳理一下迄今为止获得的信息：

1.即时聊天信息

（1）2012年5月8日之前，张三通过邮件发给了李四一个“资料”，并且是有“酬金”的交易（暂未找到）

（3）张三有更新的“资料”，需要一定的“方式”才能查看(加密压缩包)

（4）两人通过支付宝或银行卡交易（支付宝账号zhs518@https://www.360docs.net/doc/8715528717.html,，银行卡号暂未发现）

2.邮件交流信息

（1）张三在5月8日通过邮件发送给了李四若干个加密的分卷压缩包(disigin.part1.rar、disigin.part1.rar、…？)，密码“照旧”(加密压缩包，密码暂未找到)

17点49分到53分之间，至少有一封张三发给李四的叫主题为“Design资料3”的邮件被删除了（暂未找到邮件“Design资料3”）

（3）张三启用了一个新的手机号码，尾数为86（135********）

（4）在“许慧欣孤单芭蕾.mp3”的文件残留区里，意外发现张三的alipay 账号信息（zhs518@https://www.360docs.net/doc/8715528717.html,）

（5）发现4封处在未分配簇和浪费的扇区中的被删除的邮件，偏移量分别为52601917 , 5440519 , 51135495 和69631495

其中主题为“图片资料”和“样板图”的邮件中，丢失的设计图作为附件出现了，确认两人交易物品为失窃的设计图（monkey7.jpg和monkey8.jpg）

（6）出现第三人：小王。小王是李四的助手，在5月3日李四出差时代替李四与张三接洽。邮箱110119120@https://www.360docs.net/doc/8715528717.html,。

3、人物关系

三、第二阶段：找证据文件

1.搜索密码

猜测磁盘中可能有保存了相关密码的文件，于是以“密码”作为关键词在磁盘中进行搜索。

正则：

(密码)|([^a-z]password[^a-z] )|([^a-z]pwd[^a-z] )|([^a-z]pw[^a-z] )|([^a-z]code[^a-z] )

得到463个结果

仔细查看搜索到的结果，在未分配簇里发现了重要信息：发送资料记录和一个容器密码

得到以下信息：

（1）确实有disign.part3.rar的存在，即邮件中至少还有一封邮件被删除

（3）除了压缩包，还发送过文档和容器

（3）容器是PrivateDisk加密容器，密码是terry123

在磁盘中过滤容器文件*.dpd，找到了86.dpd

注册期无法使用

在互联网上找到了最新试用版本的PrivateDisk程序，并成功加载了86.dpd文件，映射至Z盘符。

容器映射的Z盘，大小为4.97MB

打开发现了两个文件

打开my bank.txt,找到了之前未找到的张三的工行、建行的卡号、密码

打开monkey.png，发现是失窃的设计图之一

结合之前发现的“资料发送记录”里提到的容器来看，张三的确在和李四交易设计图

2.用户痕迹——最近访问的文档

分析查找用户最近访问的文档寻找线索

（1）20110124.jpg，被EFS加密

（2）important.doc，在第二页存放了失窃的设计图