Admin2099/Wildlife-Trafficking-Investigation

# 数字犯罪现场调查 ## 概述 本项目的目标是分析取证磁盘镜像，并揭露与**非法野生动物交易**（特别是涉及猫头鹰）相关的证据。 本次调查遵循行业标准的取证程序，包括**数据获取、保存、分析和报告**，确保证据的完整性和法律可采性。 ## 案例研究 本案涉及： - 非法交易猫头鹰（受保护物种） - 包含潜在数字证据的嫌疑人系统 - 需要使用专业工具分析取证镜像 ## 目标 - 对磁盘镜像执行取证分析 - 识别并提取相关的数字痕迹 - 分析用户活动与意图 - 使用哈希技术保持完整性 - 以结构化的取证报告形式展示调查结果 ## 使用的工具与技术 - **FTK Imager** – 带有哈希校验的磁盘镜像工具 - **Autopsy (Sleuth Kit)** – 取证分析与痕迹提取 - **fdisk, hdparm, smartctl** – 磁盘检查 - **sha256sum** – 哈希校验 - **写阻断器** – 证据完整性保存 ## 方法论 ### 1. 证据获取 - 使用 `FTK Imager` 进行逐位磁盘镜像 - 同时生成 MD5 和 SHA-256 哈希值 - 校验取证镜像的完整性 ### 2. 分析过程 - 将镜像加载到 Autopsy 中 - 使用自动摄取模块： - 关键词搜索 - 文件类型分析 - 已删除文件恢复 - 用户活动追踪 ### 3. 痕迹提取 识别出的关键痕迹包括： - 用户目录和操作系统信息 - 猫头鹰物种的图像文件 - 与猫头鹰护理相关的 PDF 文档 - 下载的研究文件和参考书目 ## 关键发现 取证调查揭示： - 嫌疑人 (**Sarah McAvoy**) 表现出与饲养猫头鹰相关的**明确的研究和意图模式** :contentReference[oaicite:1]{index=1} - 多张猫头鹰图片被存储在结构化的文件夹中，例如： - `Desktop/pets` - `Documents/New Pet Care` - 诸如以下的文档： - `Owl_Keeping.pdf` - `Owl_Emergency_Care.pdf` 表明其为**非法饲养宠物做准备** - 时间线分析显示： - **2017年1月27日** → 初步研究（图片） - **2017年2月1日** → 深入准备（护理文档） ## 证据亮点 - 雪鸮图像和特定物种的研究 - 表明有长期饲养计划的护理指南 - 有组织的文件夹结构暗示了蓄意意图 - 已删除的文件表明企图隐瞒证据 ## 取证结论 分析表明，嫌疑人为了非法获取并将猫头鹰作为宠物饲养，做出了**循序渐进且蓄意的努力**。 嫌疑人的行为包括： - 系统性研究 - 饲养准备 - 证据整理 - 企图删除有罪的文件 这有力地支持了**有预谋的非法活动**这一结论。 ## 学习成果 - 数字取证工具的实际应用 - 了解取证调查的生命周期 - 证据处理与完整性校验 - 网络犯罪案件中的分析推理 ## 如何使用此仓库 1. 克隆仓库： https://github.com/Admin2099/Wildlife-Trafficking-Investigation.git

标签：Autopsy, FTK Imager, 域渗透, 数字取证, 数据恢复, 电子数据取证, 磁盘镜像分析, 自动化脚本