通过mke2fs 命令生成一个 ext2 文件系统的磁盘镜像，然后一个字节一个字节分析其格式，来了解linux文件系统！

一、实验项目名称 案例分析练习题3 二、实验目的 1、熟悉取证大师的使用。 2、使用取证大师加载磁盘镜像“Monkey.E01”，并对该镜像进行分析。 3. 对于相关案件背景的理解及关键词的选择。 4. 根据查找和发现线索描述泄密痕迹。 案件类型：泄密调查。 案件背景： 公司发现丢失一名为“EgisTec_ES603”的U盘，对张三电脑调查获取Monkey.E01，请对其进行分析，查找张三是否具有泄密资料嫌疑，如有，请描述其泄密痕迹，如资料接收者是谁，资料传输模式以及资金流转痕迹等。 调查要求： 通过镜像进行综合分析。 案件分析思路： 根据镜像中提取的信息自己归纳。

用于快捷检索nginx、mysql、php、node.js、python是否安装，以及快捷查询各用户的历史命令、历史登录信息、以及用户，还可以快捷检索想要查询的东西 ltuser——查询所有用户 lthistory——查询所有用户的历史操作命令 ltapp——查询镜像中存在哪些APP ltsearch——搜索命令 ltenv——查询配置环境 ltnginx——查询nginx配置 工具使用教程 unzip linux-tools.zip chmod 777 install.sh ./install . /etc/profile

一、实验项目名称 案例分析练习题1 二、实验目的 1、熟悉取证大师的使用 2、使用取证大师加载磁盘镜像“案例分析练习.E01”，并对该镜像进行分析。 要求寻找下列问题： 1)新建案例，命名为“计算机取证实验案例分析”，并填写调查人员姓名，添加设备镜像“案例分析练习.E01” 。 2)分析该案例中相关操作系统信息操作系统版本？ 3)系统安装时间？ 4)最后一次正常关机时间？ 5)嫌疑人登录Windows 的用户名为？ 6)网卡的IP 地址为？ 7)该对象曾在IE 浏览器输入哪些网址？ 8)该案例中Windows 最近运行记录包括哪些？ 9)该对象最近访问过哪些文档？ 10)在现场勘查中搜查到里对象的一个U 盘，设备名称为“SMI USB DISK USB Device”，请确认对象是否在该计算机中使用过，如果有，请找出其最后一次使用该设备的时间？ 11)通过取证分析，请确认对象是否删除过“201005210.jpg”图片，如果有请找出其具体的删除时间？ 12)该案例中网络映射的地址为？ 13)快速找出案例中被删除的jpg 和txt 文件数？ 14)该对象曾经使用了什么邮件客户端进行收发邮件？ 15)通过技术分析，可以得知对象计算机曾经用过哪些类型的反取证技术手段？ 16)分析出案例中对象恶意修改过扩展名的jpg 图片有几张？分别为？ 17)该案例镜像文件的md5 值为？ 18)该案例中文件“4.JPG”的md5 值为？