13、计算机取证常见问题及FTK软件使用指南

计算机取证常见问题及FTK软件使用指南

1. 计算机取证常见问题分析

1.1 远程桌面登录验证

每种事件都有唯一的事件 ID，远程桌面登录的事件 ID 是 “4624”。搜索该事件 ID 可返回所有与远程桌面登录相关的日志条目。若发现相关日志条目、远程桌面处于启用状态或防火墙规则允许远程桌面连接，就难以反驳嫌疑人的相关说法。反之，若这些情况都不存在，则强烈表明嫌疑人的说法有误，不仅能证明计算机未被远程控制，还可能降低嫌疑人的可信度。

1.2 确定计算机使用者

在调查中，确定谁在使用计算机是个难题。通常难以确定使用计算机的人的身份，但在特定时间有可能做到。例如，分析聊天记录、网上银行登录记录等信息，能推断出某一时刻谁在使用计算机。在默认的 Windows 环境中，同一时间只能有一个图形会话，若能识别出一个用户，基本可确定其为唯一用户。

Timelining 是一种确定用户身份的方法，具体步骤如下：
1. 找出与犯罪活动相关的事件，并将其标注在时间轴上。
2. 寻找能识别计算机用户的痕迹，如在线填写表单、聊天消息、网上银行登录和社交媒体活动等，并将这些事件也标注在同一时间轴上。
3. 寻找犯罪事件和识别事件的重叠部分，或彼此接近的事件。重叠部分越多、包含重叠的时间段越长，就越能明确实际用户的身份。

1.3 设备是否曾在特定地点

在某些调查中，设备的物理位置比其存储的数据更重要。分析设备曾在何处，可通过分析两种痕迹：GPS 坐标和网络连接。
- GPS 坐标 ：许多事件会包含 GPS 坐标，如照片、Facebook 活动和推文等。在 FT