前情提要:警方接获线报,黑道份子阿强涉及制造与贩卖毒品,警方在其住处扣得笔记本电脑及数个U盘,送往实验室进行取证分析。

取证人员对证物进行证物镜像制作,并进行证物处理(Evidence Processing),开始进行取证分析。得知阿强的笔电的操作系统为Windows 10 专业版 64bit,本机的硬盘分割区为C盘与E盘,而D盘则是光驱,如下图所示。

检视文件内容或网页浏览纪录中,并未发现任何与毒品相关的迹证。但在LNK File的分析结果中,却发现有大量的可疑文件存取痕迹,皆与毒品有关,如下图所示,包括摇头丸、海洛因、K它命、冰毒、FM2之特性、成份、制作方法等相关文件。取证人员仔细查看这些LNK File所指向的文件的路径为F:\ 开头,非属本机磁盘代号的C、D或E,即表示这个磁盘代号F应是外接式储存设备。但检视阿强所使用的U盘,未发现相关文件内容。且比对阿强笔电的USB装置使用痕迹分析结果中的Volume Serial Number,与LNK File的解析结果所得到的"2CC8-5685"(红色框住部份所示)并不符合。当然,若是对U盘进行格式化,新的分割区的Volume Serial Number便会与先前不同,也不排除此一可能性。

再仔细检视其它LNK File,一个名为data2.vhd.lnk(如下图所示)引起了取证人员的注意。取证人员分析它应该就是阿强能够将毒品相关文件"隐身"的重要关键所在,因此将data2.vhd于取证工作站上进行挂载,果不其然,它就是"虚拟磁盘",里头所存放的文件正是上述LNK File分析结果中所指向的文件名无误。

取证人员凭借经验与判断,并未因 .vhd看似为不知名的奇怪扩展名而将其忽略,最终顺利找到了关键文件,将歹徒绳之以法。

Windows 10 LNK File分析的更多相关文章

  1. Samba windows 10 share: mount error(112): Host is down

    Windows 10 Share File: //10.108.xx.xx/lnxvda-rf/ROBOT [root@rhels73 robot]# mount -t cifs -o usernam ...

  2. 《连载 | 物联网框架ServerSuperIO教程》-4.如开发一套设备驱动,同时支持串口和网络通讯。附:将来支持Windows 10 IOT

    1.C#跨平台物联网通讯框架ServerSuperIO(SSIO)介绍 <连载 | 物联网框架ServerSuperIO教程>1.4种通讯模式机制. <连载 | 物联网框架Serve ...

  3. [深入浅出Windows 10]应用实战:Bing在线壁纸

    本章介绍一个使用Bing搜索引擎背景图接口实现的一个应用——Bing在线壁纸,讲解如何使用网络的接口来实现一个壁纸下载,壁纸列表展示和网络请求封装的内容.通过该例子我们可以学习到如何使用网络编程的知识 ...

  4. Windows SMBv3 CVE-2020-0796 漏洞分析和l漏洞复现

    0x00  漏洞描述 漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码.攻击者利用该漏洞无须权限即可实现远 ...

  5. Windows 10 部署Enterprise Solution 5.5

    Windows 10正式版发布以后,新操作系统带来了许多的变化.现在新购买的电脑安装的系统应该是Windows 10.与当初用户不习惯Windows 7,购买新电脑后第一个想做的事情就是重装成XP,估 ...

  6. Windows 10不能拨L2TP协议的VPN

    之前是Windows 10版本1607版本14393.102升级14393.187过后,突然出现不能拨公司防火墙的L2TPVPN了. 网上众说纷纭,原来遇到这个问题的人真不少,不过我是第一次遇到.结合 ...

  7. What's new in Windows 10 Enterprise with Microsoft Edge.(Windows 10 新功能)

    What's new in Windows 10 Enterprise with Microsoft Edge --带有Edge浏览器的Windows 10 企业版的新功能 本文摘录自公司群发邮件, ...

  8. Windows 10 技术预览版9926 “未知源”引起系统休眠后自启的解决办法

    问题的由来: 自从安装上了最新发布的Windows 10 ,使用起来有诸多的改进:无论是重绘的图标还是通知消息中心的整合还是更智能的OneDrive客户端都使得工作起来非常愉悦. 不过笔者这两天频繁遇 ...

  9. Windows 10 版本 1507 中的新 AppLocker 功能

    要查看 Windows 10 版本信息,使用[运行]> dxdiag  回车 下表包含 Windows 10 的初始版本(版本 1507)中包括的一些新的和更新的功能以及对版本 1511 的 W ...

随机推荐

  1. HTML格式与布局

    一.position:fixed 锁定位置(相对于浏览器的位置),例如有些网站的右下角的弹出窗口. <head> <title>123</title> <st ...

  2. C#(二维数组/集合)

    一.二维数组int [,] array = new int[5,3];//有五个一维数组,每一个一维数组有3个元素 /打印出来一个“王”这个字string[,] wang = new string[, ...

  3. OOP三个基本特征:封装、继承、多态

    面向对象的三个基本特征是:封装.继承.多态. 封装 封装最好理解了.封装是面向对象的特征之一,是对象和类概念的主要特性. 封装,也就是把客观事物封装成抽象的类,并且类可以把自己的数据和方法只让可信的类 ...

  4. Yii 2.0 单文件上传

    先创建一个(UploadForm.php)模型层 <?phpnamespace app\models; use yii\base\Model;use yii\web\UploadedFile; ...

  5. 运用BigDecimal精确计算

    package com.wzh.test; import java.math.BigDecimal; public class test { /** * @param args */ public s ...

  6. code md5

    using System; using System.Collections.Generic; using System.Linq; using System.Security.Cryptograph ...

  7. Bugtags,产品经理的瑞士军刀

    做为设计移动应用的产品经理,每天的主要工作就是在手机上不停的体验自己的产品,发现问题.优化体验.你是否经常工作在这样的尴尬场景: 发现界面问题,将问题界面截屏传到电脑,用图片标记工具将问题标记出来,然 ...

  8. .NET单元测试

    原文链接:http://www.cnblogs.com/edisonchou/p/5467573.html

  9. 一些BOOTSTRAP的问题

    老师好,有几个点不是很明白,劳烦老师帮忙解惑 <1>不是特别清楚nav和navbar的区别,视频中用的是nav标签,而class则标明navbar,是不是这里的nav其实没有什么作用,而c ...

  10. [SQL]SQL语言入门级教材_SQL功能与特性(一)

    SQL功能与特性 其实,在前面的文章中,已经提及SQL命令的一些基本功能.然而,通过 SQL命令,程序设计师或数据库管理员(DBA)可以: (一)建立数据库的表格.(包括设置表格所可以使用之空间) ( ...