[墨者学院]Windows硬盘文件分析取证(登陆用户的用户名)

题目

背景介绍

犯罪嫌疑人在使用电脑时&＃xff0c;登录过www.laifudao.com这个网站&＃xff0c;分析硬盘文件并找到登录这个网站的用户名。

实训目标

1、了解AccessData FTK Imager使用方法&＃xff1b;

2、了解XP保存的网站用户存放在什么文件里&＃xff1b;

解题方向

分析硬盘文件&＃xff0c;找到存放网站用户COOKIE文件。

解题步骤

下载文件&＃xff0c;是个zip压缩包&＃xff0c;解压出来为E01后缀ewf格式文件。

用AccessData FTK打开

File -> Add Evidence Item...&＃xff0c;选择打开image file

然后点一下finish

上面解题方向说了是COOKIE。那就去找浏览器的COOKIE文件。

COOKIE文件的存放位置是C:/Documents and Settings/lihua/COOKIEs

 题目要找的是laifudao的用户&＃xff0c;那我们就看到相关文件

 并且注意到COOKIE里username&＃61;momo123这段键值参数。

那答案应该就是momo123了