随笔分类 - 电子取证
摘要:##取证初级案例操作大纲 一、证据文件中有没有存在被删除的Doc文档?如果有的话,请导出并记录文件名及路径: 操作步骤: 1.使用过滤脚本-用类别扩展名过滤-选中办公文档文件-勾选只显示删除的文件-点击OK,如下图所示: 2.检索出删除的Doc文档,一共检索出一个DOC文档D1.Doc,如下图所示:
阅读全文
摘要:##常用注册表的位置 使用注册表编辑器获取当前计算机的以下信息: 1、 windows系统的安装时间为:Tue, 05 October 2021 21:38:02 +0800 注册表的位置: 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\C
阅读全文
