还不写下来，就真怕自己给忘了，也忘了当时是怎么做的了。情况是这样的：“如果要你在硬盘里搜索同时出现A和B的文件”，你会怎么做？

      估计答案会很多，比如用win自带的win+F、用第三方搜索软件、用……当然，用win+F的确可以搜索，不过印象中只能搜txt中的文本。那，第三方软件呢？或许也可以吧，那，如果我要找的是可能被删除的数据呢？

      问题就来了，其实，算是要去磁盘中找出一些证据来证明磁盘中以前出现过这个A和B，也或者说，以前存在过一个文件，其中或许包含有A和B。嗯，这是引子，用来引出这篇文章。我要做是从硬盘中找出证据用来判断某个xls文件是否被改动过，手里有的信息：该xls文件名字、存放位置、文件中改动前数据、改动后数据、C盘img镜像文件。

      计算机取证，第一点就是，不能因为你的取证过程而造成原来数据的改动，我的思路以及解决办法是：

open "I:\C_pan.img"
assign n1 1
{
	find 0x600FE440 down        //查找条件A
	iffound
		assign m1 currentpos
		move 28
		assign m3 currentpos
		read m2 4
		ifequal m2 0x008EE240     //查找条件B
			create "D:\result\C\right_addr+n1+.txt" 32   //若同时满足A和B则将偏移位置写入rightxx.txt
			write m1
			write m3
			write m2
			save
			close
		else
			create "D:\result\C\juge_addr+n1+.txt" 32  //若只满足A则将偏移位置写入juge_add以供人工分析
			write m1
			save
			close
		endif
		inc n1
	endif
}[unlimited]

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课