Ddigital-Forensics-Lab-6

实验目的

了解哈希、文件签名、隐写术。

实验环境

安装有 x-ways forensics 的 windows 系统、file signature test 文件。

实验步骤

1、这个文件默认 pdf 拓展名，可以正常打开查看。

2、改成 zip 拓展名，依然可以打开查看。

3、改成 html，打开后按提示操作，又可以生成 png、exe、mp4 格式的文件，而且全部可以打开查看。

（上面的操作在主机中进行，接下来的操作都在虚拟机 win7 中进行）

4、打开 x-ways forensics 先在 help -- setting 中把语言改为中文，然后在 文件 -- 创建案例 中创建新案例。

5、打开 文件 -- 打开目录，打开文件所在目录。

6、选中带计算文件，在 专业工具 -- 磁盘快照 中进行 MD5 计算。

7、发现未显示 md5 值，单击项目名称列表上面一行，打开显示列表，更改 md5 值为 500，发现 md5 值已经显示且都相同。

8、计算 sha1 值，发现并不完全相同：由网页生成的 mp4 文件、ex 文件和 png 文件拥有不同的 sha1 值，而之前直接改后缀的 zip 文件、html 文件、pdf 文件和 网页生成的 pdf 文件拥有相同的 sha1 值。

9、查看文件签名：可以发现一个文件有多个不同的签名。

探究报告

查看这些文件的签名，是否一致

答：并不完全相同：由网页生成的 mp4 文件、ex 文件和 png 文件拥有不同的签名，而之前直接改后缀的 zip 文件、html 文件、pdf 文件和 网页生成的 pdf 文件拥有相同的签名。

上述 pdf 文件和 html 及 zip 文件，为什么更改拓展名后可以被不同应用打开

答：一个文件内含有多个文件签名，不同的应用程序在读取这个文件时，只找对应的文件签名部分读取。

取证软件对上述文件进行签名分析的结果及启示（文件签名的用途及理解及局限）

1、文件签名的用途：文件签名是一种用来识别文件类型的技术，它是一种特定的字节序列，它们出现在文件的特定位置，用来识别文件的类型。

2、文件签名的理解：文件签名是一种特定的字节序列，它们出现在文件的特定位置，用来识别文件的类型。不同的应用程序在读取这个文件时，只找对应的文件签名部分读取。

3、文件签名的局限性在于，一个文件不一定只有一个文件签名，所以找到某个格式的签名不能作为判断这个文件的唯一标准。

上述所有文件的 md5、sha1 值比对情况

答：md5 值完全相同，sha1 值并不完全相同：由网页生成的 mp4 文件、ex 文件和 png 文件拥有不同的 sha1 值，而之前直接改后缀的 zip 文件、html 文件、pdf 文件和 网页生成的 pdf 文件拥有相同的 sha1 值。

对取证的启示

1、留心文件大小：超出正常格式大小太多的文件，很可能隐藏了其他文件。

2、更改拓展名不会更改文件内容，只会更改打开该文件的默认应用，而相应的应用会打开不同的部分，因此可以被不同应用打开。

3、md5 值易被碰撞，md5 值相同其他 hash 值不一定相同。