电子数据取证工作中，加载、查看镜像文件数据是非常高频的需求，也是取证软件最基础最功能，但这并不意味着每个取证软件都能把这一功能做到极致。大部分取证软件加载镜像需要比较长的时间。国内的取证软件，一般需要先新建案例后添加镜像，完成文件系统解析才能浏览其中的数据。个人一直不习惯这一逻辑，因为每天要加载查看很多的镜像，但大多数情况下都是临时分析，每次创建案例耗时容易打断思路，而且软件启动后看到一堆无...

大约是2017年，又一件重案的分析任务落到我头上。检材是一块台式电脑硬盘和一块移动硬盘，需要提取或检验其中的特定内容。制作完镜像后，使用取证软件加载，发现台式电脑硬盘第二分区有Bitlocker加密，移动硬盘也有Bitlocker加密。于是打电话和办案单位沟通，可是对方表示嫌疑人不愿意交代密码等任何相关信息。Bitlocker是Windows平台下常用分区加密方案，高效而安全。我自己十年前就...

电子数据取证中常用序列号来唯一标识检材。在检材的众多属性中，一般只有序列号可以出厂即固定且长期不变，所以理所当然被作为唯一标识信息的首选。但是，序列号真的就永远可以唯一标识一个检材？一个案件中，被告对鉴定意见书中提到的优盘提出了质疑，称鉴定的优盘并不是他的优盘，因为序列号对不上。原来嫌疑人对电子数码比较感兴趣，平时有对优盘进行各种折腾操作的经历，正好对其优盘的序列号有印象。嫌疑人后来甚至还找...

Windows操作系统中有很多种种方式可以检验应用程序运行记录，例如预读取文件（*.pf）、Shimcache、RecentFileCache.bcf、Amcache.hev、跳转列表等等，这些已经有很多资料介绍了。今天给大家介绍一个我最近才注意到的程序运行痕迹的地方——RADAR。我们在Windows注册表编辑器中展开“HKLMSOFTWAREMicrosoft RADARHeapLeak...