Ddigital-Forensics-Lab-2
实验目的
学会使用TSK工具对磁盘镜像进行电子数据校验。
实验环境
安装有kali linux的虚拟机、磁盘镜像文件dfr-11-mft-ntfs.dd.bz2。
实验步骤
1、使用bzip2命令解压文件 dfr-11-mft-ntfs.dd.bz2 bzip2 -d dfr-11-mft-ntfs.dd.bz2
2、使用mmls命令查看磁盘镜像的分区布局,将相关信息记录下来 mmls -t dos dfr-11-mft-ntfs.dd。
3、使用dcfldd命令从磁盘镜像中提取分区镜像 dcfldd if=dfr-11-mft-ntfs.dd bs=512 skip=128 count=2091008 of=ntfs.dd
4、使用fsstat命令显示分区中文件系统的详细信息,查看磁盘详细信息 fsstat -f ntfs ntfs.dd
5、使用fls命令来解析文件系统。-r选项用于递归遍历所有目录 fls -r ntfs.dd
6、使用fls命令显示已删除的文件和目录 fls -r -d ntfs.dd
7、使用icat命令恢复被删除的文件,-r表示如果文件被删除,icat将使用文件恢复技术。数字41是被删除文件对应的MFT表项编号,这里的41是Sheliak.txt这个文件对应的。恢复的文件保存到以前缀recovered_开头的文件中 icat -r ntfs.dd 41\>recovered_文件名
8、使用cat命令显示恢复的文件 cat recovered_文件名
试验记录
| 分区的起始扇区地址和分区结束扇区地址 | 分区的起始扇区地址:0000000128 分区的结束扇区地址:0002091135 |
|---|---|
| 分区中文件系统详细信息 | FILE SYSTEM INFORMATION -------------------------------------------- File System Type: NTFS Volume Serial Number: 2ACADB0FCADAD5E3 OEM Name: NTFS Volume Name: ntfs Version: Windows XP |
| 被删除的文件名称(3个) | Sheliak.txt,Vega.txt,Sulafat.txt |