一、关键字base搜索.docVIP

实验十八、计算机调查取证案例分析报告 实验目的： 掌握案例分析方法。 因为是一个网络诈骗案件，所以可以先从网页、邮件等网络手段入手，然后在已知的情况下再找别的线索 一、关键字base64搜索 邮件一、 邮件二、 邮件三、 内容如下： 老大： 听说你们班开什么计算机证据学的课啦，牛牛牛。我近期好像被骗了，那个骗子给我发了两个邮件，帮我看看这些邮件是从那里发的，我要找这个人算帐。加密口令就是咱们以前用的那个。 阿立 还有一个附件，因为在邮件里面提到“加密口令就是咱们以前用的那个”，所以可以猜测陈登立和张司文有一个共同的密码，而这个密码应该就存放在网站用户信息.mdb文件之中，否则许博士不会提供这个文件出来，通过口令一致性和e-mail一致性能够找到这么三个人 大卡路里、白色恐怖、云梯 这样就能得到下面两个邮件 邮件四、 邮件五、 使用ENCASE伴侣搜索“陈登立” 从邮件分析可以知道陈登立是一个主要线索，所以用ENCASE伴侣自动生成“陈登立”的高级脚本，可以得到下面线索 线索一 陈登立： 公司在美国总部的莫总裁会和你联系，他叫莫高，你就直接叫他莫总好了。我已经将你的邮件地址告诉他了。他的QQ是765643333。 　　　　　　　　张司文 线索二 线索三 陈登立,您好！ 叫那个郑志勇好好发贴，一个月2000元，让他先到各大网站发，发得不好两个星期后开了他。另外，我上次发给你的关于公司的所有汇款银行帐号的邮件你收到了吗？第一个帐号（也就是我们最早用的那个）和第四个帐号（中国银行帐号）停用了，以后只用第二个和第三个帐号。 张司文 张司文,您好！ 招募到发贴的人，叫郑志勇，他的银行帐号是工行：4371214976633218763，他问一个月给他多少钱？ 陈登立 陈登立，您好！ 有功夫的话招募点新人在网上发广告贴，现在公司业务形势很好，一定要尽量扩大规模。 　　　　　　　　致 礼！ 　　　　　　　　张司文 线索四 陈登立，您好！ 我们公司使用以下汇款帐号： 招商银行：4367424221250198669 工商银行：0200217101002947533 农业银行：0765771236741876533 中国银行：0200218931116754311 注意保密 　　　　　　　　致 礼！ 　　　　　　张司文 线索五 陈登立： 近日风声比较紧，不要用直接和我联系了。另外根据公司的决定，你的上司改为林平之，他的邮箱是nishangdangle@。以后不要再和我联系，我的手机号码、银行帐号均停止使用。 张司文 使用ENCASE伴侣搜索“郑志勇” 从上述内容可以知道“郑志勇”是一个涉案人员，以用ENCASE伴侣自动生成“郑志勇”的高级脚本，可以得到下面线索 线索一 郑志勇 请把我们的广告发到新浪、SOHU、猫扑、天涯、网易等各大网站。你申请做代理的事公司正在考虑，到时候会通知你，好好干。发贴一个月就拿1000大洋，公司不会亏待你的。帖子内容是： 出售手机，因货是从美国直接绕过海关进入境内，价格远低于市场价，有意合作或购买，请与成达公司联系，请有意者请将你的联系方式留下，本人将与你联系。批量购买，价格可以更加优惠。 注意要不断检查这些网站上留的帖子，另外注意安全，只在网吧上网或无线上网，不要在家里上网。 线索二 郑志勇的QQ号码张司文的QQ号码：865435222 每天20时上线联系 使用title关键字搜索 线索一 线索二 线索三 线索四 线索五 用关键字搜索搜索表格文件 从上诉资料可以分析出陈登立电脑之中有一个文件记录着汇款名字、数量帐号等等信息，怀疑为表格文件，于是用下列关键字搜索\xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1，找到important1.dat文件，查看这个文件，怀疑为表格文件，试着更改后缀名，打开发现有密码保护，再次猜测，利用口令一致性的原则，打开 其它线索 通过对镜像文件的注册表分析，得出本机IP为：。 根据提供的“大卡路里”用户登录网站BBS的时间 ，和该主机的上网历史记录访问该网站的时间。然后在网站日志bbs.log中找到相同时间登录的ip地址为。注：iis日志的时间需要加8小时。 结论 综上分析你可以得出什么结论？