Encase脚本库使用手册
,1,
广东省公安厅网监处
二,XX年三月
一、 IE
本部分脚本用于对微软IE浏览器进行分析。
1、 IE History
查IE历史记录并进行解码~能解码HTTP头部信息。公安部许剑卓编写。
2、 IE历史记录
具备恢复残缺历史记录功能~能对IE历史记录文件或恢复的残缺历史记录进行解码~同时生成搜索文件,见搜索文件部分内容,~支持关键字。
3、 根据搜索文件和关键字搜索IE历史记录
根据搜索文件,见搜索文件部分内容,和输入的关键字搜索IE历史记录~并进行解码。
4、 解码Cookie文件和残缺Cookie记录
能对Cookie文件和恢复的残缺Cookie记录进行解码。
二、 QQ
5、 QQ号码和好友(FAT32版)
针对FAT文件系统搜索本机使用过的QQ号码、好友QQ号、QQ组信息。公安部许剑卓编写
6、 残缺QQ号码目录(FAT)
针对FAT文件系统搜索名称全部为数字的目录~很可能是本机使用过的QQ号码~要求QQ号码长度不超过10位。可用于在安装还
原软件的网吧计算机查嫌疑人QQ号码。
7、 残缺QQ号码目录,NTFS,
针对NTFS文件系统搜索名称全部为数字的目录~很可能是本机使用过的QQ号码。
三、 查恢复
8、 FileFinder(v4)
查恢复文件~包括AOL、BMP、EMF、GIF、JPG、Photoshop、PNG、TIF、Word/Excel、ZIP、GZIP、RAR等类型~还能自定义文件类型~可以指定搜索范围。
9、 FileMounter(v4)
自动打开复合文档~以便后期分析。可打开DBX、GZIP、PST、TAR、Thumbs.db、ZIP等类型~既可根据扩展名打开~也可根据文件签名打开。注:慎用~因打开大量复合文件需占用大量内存~可能导致Encase运行非常缓慢甚至出错。
10、 PartitionFinder(v4)
搜索FAT、NTFS、EXT2分区的首扇区~用于恢复分区。
11、 文本编码查询v0.9
生成文本的UNICODE、GB、BIG5编码关键字。
12、 查Excel数字
查Excel中的数字~但只能查7至9位整数,因其他数字都是使用浮点数进行编码~在Encase脚本编程中无法实现,。可指定搜索范围,XLS文件、选中文件、复合文档、整个硬盘,。注意:
具体位数取决于整数型变量的最大值~使用前应先测试能否到该数字。
13、 查残缺Word内容
查残缺Word文档~提取其中的内容,个别情况不能完整提取,。可指定搜索范围,DOC文件、选中文件、复合文档、未分配空间、整个硬盘,。注意:因纯英文内容,不包括任何全角字符,的Word文档不是使用UNOCIDE编码存放~而是使用ASCII码存放~对其按照UNICODE编码提取出来的内容不正确。
14、 查多媒体Exif信息
搜索并提取RIFF格式多媒体内容中Exif信息~可指定搜索范围,RIFF格式文件、选中文件、未分配空间、整个硬盘,~支持关键字~可以根据特定信息查多媒体文件。
15、 查数码相片
搜索并提取JPG图片内容中Exif信息~可指定搜索范围,JPG后缀文件、选中文件、未分配空间、整个硬盘,~支持关键字~可以根据数码相机型号、拍摄时间等特定信息查数码相片。
16、 查图片Exif信息
搜索并提取图片内容中Exif信息,包括JPG和TIF格式图片,~可指定搜索范围,JPG/TIF后缀文件、选中文件、未分配空间、整个硬盘,~支持关键字~可以根据数码相机型号、拍摄时间等特定信息查EXIF信息。
17、 带关键字查Word文档v2.0
根据关键字查/恢复Word文档~并将其内容导出成文本文件~同时提取Word文档的编辑记录。可指定搜索范围。
18、 恢复RM文件
搜索RM文件的开头部分~取其后10兆内容生成RM文件。
19、 连续关键字搜索
脚本先搜索第一个关键字~然后在指定的间隔内搜索第二个关键字~如果搜索成功则加入书签。关键字支持
GB/UNICODE/UTF8/BASE64/QP等编码自动转换~可指定搜索范围,选中文件、未分配空间、整个硬盘,。注意:本脚本使用GREP语法则不进行编码转换~关键字大小写不敏感。
20、 生成关键字各种编码
本脚本根据输入的关键字生成各种编码~包括
GB/BIG5/UNICODE/UTF8/BASE64/QP编码。生成的关键字文件名为~可在encase中导入关键字。注意:本脚本不支持GREP语法~关键字尽量不使用生僻字。
四、 访问记录
21、 解析LNK文件
shell创建文件并写入内容能对最近访问的LNK文件,包括最近打开文件列表内LNK文件、最近运行程序列表内LNK文件、桌面上的LNK文件,和恢复的LNK文件进行解析。如果脚本无法判断系统是NT/2000还是9X~会提示由用户选择。
22、 注册表内访问记录,2000,
提取注册表内记录的最近访问的文件记录~还提取自动运行程序、“运行”程序列表、TypeURL列表、SVCHOST服务、SHELL设臵、HotFix补丁等信息。提取信息写入文件中~文件中每个空行代表一个新的注册表文件~第二行为注册表文件的路径~其后紧跟着提取出来的内容。脚本运行后生成以下文件:
,
调用ComDlg32打开保存文件对话框的全部记录~包括程序
最后访问的目录~最近打开保存的文件路径等信息。
,
最近打开的文件记录~与系统自动生成的LNK文件一一对
应。注:其中一些二进制的内容没有搞清楚~没有进行解析。
,
一些应用软件的最近打开的文件列表。
,
使用“开始/运行”窗口运行的命令列表。
,

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。