灵猴泄密案取证分析

1、大作业的要求和内容：（包括题目选择范围、技术要求、递交时间、考核方法等）题目：设计稿泄密案取证分析案件背景：某公司报警称其公司的灵猴设计稿失窃，丢失一名为“EgisTec_ES603”的U盘,怀疑张三有泄漏公司机密的重大嫌疑，随即对他个人的一台笔记本硬盘进行了证据固定，并通过EnCaseV6生成了Monkey.E01镜像文件。技术要求:1、通过技术分析，找出此人涉嫌泄露公司机密信息的痕迹；2、分析出该对象使用的通讯工具；递交时间：项目完成时间：2015.5.142015.6.24 考核方法：1.独立完成，如出现抄袭以零分计。2.实验结果以报告形式提交，并且正确完成每项技术要求计25分，满分10

2、0分。一、第一阶段：分析人物关系1.使用取证大师新建案例“设计稿泄密案”，加载磁盘镜像Monkey.E012.在USB使用痕迹中发现了失窃U盘的使用记录，遂判断张三有重大嫌疑3.接着查看电脑的即时聊天使用记录，发现了zhangsan1681用户使用skype的痕迹查看zhangsan1681的联系人，发现有两人，分别为echo121和lisi16789（显示名为李四）5.只发现与李四有聊天记录6.查看详细聊天记录从即使聊天中可以得到以下信息：（1）zhangsan1681为张三,lisi6789为李四（2）2012年5月8日之前，张三通过邮件发给了李四一个“资料”，并且是有“酬金”的交易（3）

3、张三有更新的“资料”，需要一定的“方式”才能查看（4）两人通过支付宝或银行卡交易7.因聊天记录提及到了邮件，于是去查看邮件记录整理得到如下对话通过邮件可以得到以下信息：（1）张三在5月8日通过邮件发送给了李四若干个加密的分卷压缩包，密码“照旧” （2）从17点53分的李四发给张三的邮件主题“Re：Design资料3”来看，17点49分到53分之间，至少有一封张三发给李四的叫主题为“Design资料3”的邮件被删除了（3）张三启用了一个新的手机号码，尾数为86（4）李四针对“design”资料通过工行和支付宝向张三付了钱，即针对design进行了交易9.在硬盘中，以工行卡号特征设置搜索条件搜索工

4、行卡号（正则：0-9(6222|5309|5558)#|(6222|5309|5558) # # # #)0-9）未搜索到任何结果8.在硬盘中，以手机号码特征设置搜索条件搜索以86结尾的张三的手机号成功命中号隐藏在funny01.jpg的文件残留区内10.在硬盘中，以邮箱地址的特征设置搜索条件进行搜索搜索到643个结果仔细查看搜索到的条目时，发现以下两处关键的内容：（1）在“许慧欣孤单芭蕾.mp3”的文件残留区里，意外发现张三的alipay账号信息（2）发现4封处在未分配簇和浪费的扇区中的被删除的邮件，偏移量分别为52601917 , 5440519 , 511354

5、95 和69631495导出，整理内容如下其中主题为“图片资料”和“样板图”的邮件中，丢失的设计图作为附件出现了（3）出现第三人：小王。小王是李四的助手，在5月3日李四出差时代替李四与张三接洽。邮箱110119120。二、第一阶段梳理暂无新线索，梳理一下迄今为止获得的信息：1.即时聊天信息（1）2012年5月8日之前，张三通过邮件发给了李四一个“资料”，并且是有“酬金”的交易（暂未找到）（3）张三有更新的“资料”，需要一定的“方式”才能查看(加密压缩包)（4）两人通过支付宝或银行卡交易（支付宝账号zhs518，银行卡号暂未发现）2.邮件交流信息（1）张三在5月8日通过邮件发送给了李四若干个加密

6、的分卷压缩包(disigin.part1.rar、disigin.part1.rar、？)，密码“照旧” (加密压缩包，密码暂未找到)（2）从17点53分的李四发给张三的邮件主题“Re：Design资料3”来看，17点49分到53分之间，至少有一封张三发给李四的叫主题为“Design资料3”的邮件被删除了（暂未找到邮件“Design资料3”）（3）张三启用了一个新的手机号码，尾数为86（4）在“许慧欣孤单芭蕾.mp3”的文件残留区里，意外发现张三的alipay账号信息（zhs518）（5）发现4封处在未分配簇和浪费的扇区中的被删除的邮件，偏移量分别为52601917

7、, 5440519 , 51135495 和69631495其中主题为“图片资料”和“样板图”的邮件中，丢失的设计图作为附件出现了，确认两人交易物品为失窃的设计图（monkey7.jpg和monkey8.jpg）（6）出现第三人：小王。小王是李四的助手，在5月3日李四出差时代替李四与张三接洽。邮箱110119120。3、人物关系三、第二阶段：找证据文件1.搜索密码猜测磁盘中可能有保存了相关密码的文件，于是以“密码”作为关键词在磁盘中进行搜索。正则：(密码)|(a-zpassworda-z )|(a-zpwda-z )|(a-zpwa-z )|(a-zcodea-z )得到463个结果仔细查看搜

8、索到的结果，在未分配簇里发现了重要信息：发送资料记录和一个容器密码得到以下信息：（1）确实有disign.part3.rar的存在，即邮件中至少还有一封邮件被删除（3）除了压缩包，还发送过文档和容器（3）容器是PrivateDisk加密容器，密码是terry123在磁盘中过滤容器文件*.dpd，找到了86.dpd同时在磁盘中的反取证软件里发现了PrivateDisk，但是导出之后发现已经超过注册期无法使用在互联网上找到了最新试用版本的PrivateDisk程序，并成功加载了86.dpd文件，映射至Z盘符。容器映射的Z盘，大小为4.97MB打开发现了两个文件打开my bank.txt,找到了之前

9、未找到的张三的工行、建行的卡号、密码打开monkey.png，发现是失窃的设计图之一结合之前发现的“资料发送记录”里提到的容器来看，张三的确在和李四交易设计图2.用户痕迹最近访问的文档分析查找用户最近访问的文档寻找线索发现以下可疑文件：（1）20110124.jpg，被EFS加密（2）important.doc，在第二页存放了失窃的设计图3.文件分析签名不匹配检验文件签名过滤签名不匹配的文件修复签名后发现的可疑文件：（1）monkey.doc(JPEG)，被盗设计图（2）monkey2.mp3(JPEG)，被盗设计图（3）oktest.exe（RAR），加密压缩包4文件分析加密文件5文件分析文

10、件签名恢复进行签名恢复找到的有意义的文件：（1）important_00671.jpg（2）monkey1_00673.jpg（3）monkey2_00720.jpg（4）未分配簇_00790.jpg（5）未分配簇_00791.jpg（6）未分配簇_00792.jpg（7）未分配簇_00794.jpg（8）未分配簇_00804.jpg（9）未分配簇_00806.jpg6.文件分析磁盘深度恢复对三个磁盘依次进行深度恢复未找到新的有意义的文件（两张monkey设计图已经在签名恢复时被发现过）7.文件分析反取证分析张三共使用了虚拟容器：PrivateDisk、突网工具：自由门、数据擦除工具：无影无踪、信息隐写工具：BMPEncrypt其中PrvDisk已经解决，自由门与本案无关，无影无踪无法恢复，开始处理BmpEncrypt，先在磁盘中过滤并导出所有BMP图片导出BmpEncrypt，逐张图片进行测试，发现CoffeeBean.bmp加密了信息，但是没有密码，无法导出信息四、第三阶段：总结1.未解决的问题（1）被删除的包含附件“Disign.part3.rar”，主题为“Design资料3”的邮件未找到（2）oktest.rar、terry1