計(jì)算機(jī)取證技術(shù)實(shí)驗(yàn)報(bào)告.doc

計(jì)算機(jī)取證技術(shù)中南大學(xué)計(jì)算機(jī)取證技術(shù)實(shí)驗(yàn)報(bào)告學(xué)生姓名 學(xué) 院 信息科學(xué)與工程學(xué)院 專業(yè)班級 完成時(shí)間 目 錄1. 實(shí)驗(yàn)一 事發(fā)現(xiàn)場收集易失性數(shù)據(jù)31.1 實(shí)驗(yàn)?zāi)康?1.2 實(shí)驗(yàn)環(huán)境和設(shè)備31.3 實(shí)驗(yàn)內(nèi)容和步驟32. 實(shí)驗(yàn)二 磁盤數(shù)據(jù)映像備份82.1 實(shí)驗(yàn)?zāi)康?2.2 實(shí)驗(yàn)環(huán)境和設(shè)備82.3 實(shí)驗(yàn)內(nèi)容和步驟83. 實(shí)驗(yàn)三 恢復(fù)已被刪除的數(shù)據(jù)153.1 實(shí)驗(yàn)?zāi)康?53.2 實(shí)驗(yàn)環(huán)境和設(shè)備153.3 實(shí)驗(yàn)內(nèi)容和步驟154. 實(shí)驗(yàn)四 進(jìn)行網(wǎng)絡(luò)監(jiān)視和流量分析194.1 實(shí)驗(yàn)?zāi)康?94.2 實(shí)驗(yàn)環(huán)境和設(shè)備194.3 實(shí)驗(yàn)內(nèi)容和步驟195. 實(shí)驗(yàn)五 分析Windows系統(tǒng)中隱藏的文件和Cache信息225.1 實(shí)驗(yàn)?zāi)康?25.2 實(shí)驗(yàn)環(huán)境和設(shè)備225.3 實(shí)驗(yàn)內(nèi)容和步驟236. 實(shí)驗(yàn)七 數(shù)據(jù)解密266.1 實(shí)驗(yàn)?zāi)康?66.2 實(shí)驗(yàn)環(huán)境和設(shè)備276.3 實(shí)驗(yàn)內(nèi)容和步驟277.實(shí)驗(yàn)總結(jié)30計(jì)算機(jī)取證技術(shù)1. 實(shí)驗(yàn)一 事發(fā)現(xiàn)場收集易失性數(shù)據(jù)1.1 實(shí)驗(yàn)?zāi)康?.會創(chuàng)建應(yīng)急工具箱，并生成工具箱校驗(yàn)和；2.能對突發(fā)事件進(jìn)行初步調(diào)查，做出適當(dāng)?shù)捻憫?yīng)；3.能在最低限度地改變系統(tǒng)狀態(tài)的情況下收集易失性數(shù)據(jù)。1.2 實(shí)驗(yàn)環(huán)境和設(shè)備1.Windows XP 或 Windows 2000 Professional 操作系統(tǒng)；2.網(wǎng)絡(luò)運(yùn)行良好；3.一張可用的軟盤（或U盤）和PsTools工具包。1.3 實(shí)驗(yàn)內(nèi)容和步驟 1.創(chuàng)建應(yīng)急工作盤，用命令md5sum創(chuàng)建工具盤上所有命令的校驗(yàn)和，生成文本文件commandsums.txt： 2.用time和date命令記錄現(xiàn)場計(jì)算機(jī)的系統(tǒng)時(shí)間和日期： 3.用dir命令列出現(xiàn)場計(jì)算機(jī)系統(tǒng)上所有文件的目錄清單，記錄文件的大小、訪問時(shí)間、修改時(shí)間和創(chuàng)建時(shí)間： 4.用ipconfig命令獲取現(xiàn)場計(jì)算機(jī)的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和網(wǎng)絡(luò)接口信息： 5.用netstat顯示現(xiàn)場計(jì)算機(jī)的網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息： 6.用PsLoggedOn命令查看當(dāng)前哪些用戶與系統(tǒng)保持著連接狀態(tài)： 7.用PsTools工具包中的PsList命令記錄 所有正在運(yùn)行的進(jìn)程和當(dāng)前的連接：2. 實(shí)驗(yàn)二 磁盤數(shù)據(jù)映像備份2.1 實(shí)驗(yàn)?zāi)康?.理解什么是合格的司法鑒定備份文件，了解選用備份工具的要求；2.能用司法鑒定復(fù)制工具對磁盤數(shù)據(jù)進(jìn)行備份；3.查看映像備份文件的內(nèi)容，將文件執(zhí)行hash計(jì)算，保證文件的完整性。2.2 實(shí)驗(yàn)環(huán)境和設(shè)備1.Windows XP 或 Windows 2000 Professional 操作系統(tǒng)；2.網(wǎng)絡(luò)運(yùn)行良好；3.一張可用的軟盤（或U盤）和外置USB硬盤。2.3 實(shí)驗(yàn)內(nèi)容和步驟1.制作MS-DOS引導(dǎo)盤，給硬盤或分區(qū)做映像時(shí)提供干凈的操作系統(tǒng)。在DOS提示符下鍵入以下命令來制作引導(dǎo)盤，并將引導(dǎo)盤寫保護(hù)。C:format a: /s 或 C:sys a:軟盤的根目錄下至少應(yīng)該有以下三個(gè)文件：IO.SYS，COMMAND和MSDOS.SYS。2. 下載ghost應(yīng)用軟件存放在A盤或其他盤上，但不要放在準(zhǔn)備備份的硬盤或分區(qū)上。在A盤上啟動MS-DOS，找到ghost文件夾下ghost.exe文件，鍵入ghost回車。3. 使用ghost對磁盤數(shù)據(jù)進(jìn)行映像備份，既可以對磁盤的某個(gè)分區(qū)進(jìn)行備份，又可以對整個(gè)硬盤進(jìn)行備份，還可以進(jìn)行網(wǎng)絡(luò)之間的映像備份。（1） 對磁盤的某個(gè)分區(qū)進(jìn)行映像備份首先點(diǎn)擊“Local”之后，會彈出三個(gè)子項(xiàng)：Disk：對整個(gè)硬盤進(jìn)行備份。Partition：對分區(qū)進(jìn)行備份。Check：檢查備份文件。選擇“Partition”選項(xiàng)，進(jìn)行磁盤分區(qū)備份，現(xiàn)又會彈出三個(gè)選項(xiàng)：To Partition：把一個(gè)分區(qū)完整地復(fù)制到另一個(gè)分區(qū)中。To Image：把分區(qū)制作成一個(gè)映像文件存放。From Image：回復(fù)映像文件。選擇“To Image”來制作映像文件，出現(xiàn)的界面是當(dāng)前硬盤的選擇窗口，選中需要備份的分區(qū)之后，再鍵入映像文件的保存路徑和文件名。接下來，系統(tǒng)會詢問是采用No（無壓縮）、Fast（快速壓縮）還是High（高壓縮率）中的方式備份，如果選擇High模式后，稍等片刻，磁盤分區(qū)的映像文件生成了。（2） 對整個(gè)磁盤進(jìn)行映像備份先將準(zhǔn)備好的外置USB硬盤接到計(jì)算機(jī)上，再選擇“Local”-“Disk”命令，接著確定目標(biāo)硬盤（即接上的外置USB硬盤），此時(shí)可以對目標(biāo)盤進(jìn)行分區(qū)、格式化等操作。最后，點(diǎn)擊“Yes”按鍵開始備份，將現(xiàn)場計(jì)算機(jī)的硬盤完整復(fù)制到目標(biāo)硬盤上。要注意的是，現(xiàn)場計(jì)算機(jī)的硬盤不能太大，因?yàn)橥庵肬SB硬盤的容量一般有限，兩者容量要相當(dāng)，否則會導(dǎo)致復(fù)制出錯(cuò)。（3） 網(wǎng)絡(luò)之間的映像備份網(wǎng)絡(luò)之間的映像備份需要兩臺計(jì)算機(jī)，且處在同一個(gè)網(wǎng)絡(luò)內(nèi)部，一臺是現(xiàn)場可疑或被攻擊的計(jì)算機(jī)（主機(jī)），另一臺是存放映像備份文件的計(jì)算機(jī)（備份機(jī)）。首先選定“Master”（主機(jī)）或者“Slave”（備份機(jī)），如在被攻擊的計(jì)算機(jī)上操作，需要將它硬盤中的內(nèi)容備份到另一臺計(jì)算機(jī)上的話，就要選擇“Master”，出現(xiàn)一個(gè)列表菜單，確定了備份機(jī)機(jī)器名后，后面的步驟與前兩組類似，接著可快速地進(jìn)行網(wǎng)絡(luò)上的備份了。4. 在備份好硬盤和分區(qū)之后，用“Check”選項(xiàng)對硬盤或者已經(jīng)生成的備份文件進(jìn)行檢查，看看能否可能因分區(qū)、硬盤損壞等原因造成備份或者是映像文件復(fù)原的失敗。接著雙擊ghost文件夾下ghostexp文件圖標(biāo)，打開文件后，選擇窗口中的“文件”菜單，打開恰年保存的備份映像文件，可以看到展開映像后所有的文件列表。5. 將映像文件執(zhí)行hash運(yùn)算，保證文件的完整性。3. 實(shí)驗(yàn)三 恢復(fù)已被刪除的數(shù)據(jù)3.1 實(shí)驗(yàn)?zāi)康?.理解文件存放的原理，懂得數(shù)據(jù)恢復(fù)的可能性。2.了解幾種常用的數(shù)據(jù)恢復(fù)軟件如EasyRecovery和RecoverMyFiles。3.使用其中的一種數(shù)據(jù)恢復(fù)軟件、恢復(fù)已被刪除的文件，恢復(fù)已被格式化磁盤上的數(shù)據(jù)。3.2 實(shí)驗(yàn)環(huán)境和設(shè)備1.Windows XP 或 Windows 2000 Professional 操作系統(tǒng)；2.數(shù)據(jù)恢復(fù)安裝軟件；3.兩張可用的軟盤（或U盤）和一個(gè)安裝有windows系統(tǒng)的硬盤。3.3 實(shí)驗(yàn)內(nèi)容和步驟1. 使用EasyRecovery恢復(fù)已被刪除的磁盤數(shù)據(jù)：圖-刪除之前圖-EasyRecovery找到的文件圖-有一個(gè)文件恢復(fù)失敗，對中文文件名支持也不好2. 使用EasyRecovery恢復(fù)已被格式化的磁盤數(shù)據(jù)：圖-把之前的數(shù)據(jù)拷回去之后格式化U盤圖-因?yàn)閁盤太大，掃描耗時(shí)較多，就取消了，恢復(fù)步驟同上。4. 實(shí)驗(yàn)四 進(jìn)行網(wǎng)絡(luò)監(jiān)視和流量分析4.1 實(shí)驗(yàn)?zāi)康?.理解什么是網(wǎng)絡(luò)證據(jù)，應(yīng)該采取什么辦法收集網(wǎng)絡(luò)證據(jù)。2.了解網(wǎng)絡(luò)監(jiān)視和跟蹤的目的，會用WinDump進(jìn)行網(wǎng)絡(luò)監(jiān)視和跟蹤。3.使用Ethereal軟件分析數(shù)據(jù)包，查看二進(jìn)制捕獲文件，找出有效的證據(jù)。4.2 實(shí)驗(yàn)環(huán)境和設(shè)備1.Windows XP或Windows 2000 Professional操作系統(tǒng)；2.網(wǎng)絡(luò)運(yùn)行良好；3.WinPcap、WinDump和Ethereal安裝軟件。4.3 實(shí)驗(yàn)內(nèi)容和步驟 1.用WinDump和Ethereal模擬網(wǎng)絡(luò)取證1Telnet連接抓包： 2.用WinDump和Ethereal模擬網(wǎng)絡(luò)取證2SYN泛洪攻擊抓包：圖-SYN泛洪攻擊（上半部分為攻擊者偽造的SYN包，下面為正常的SYN包） ARP協(xié)議下的數(shù)據(jù)包截取： 對部分報(bào)文的報(bào)頭的分析：5. 實(shí)驗(yàn)五 分析Windows系統(tǒng)中隱藏的文件和Cache信息5.1 實(shí)驗(yàn)?zāi)康?.學(xué)會使用取證分析工具查看Windows操作系統(tǒng)下的一些特殊文件，找出深深隱藏的證據(jù)；2.學(xué)會使用網(wǎng)絡(luò)監(jiān)控工具監(jiān)視Internet緩存，進(jìn)行取證分析。5.2 實(shí)驗(yàn)環(huán)境和設(shè)備1.Windows Xp或Windows 2000 Professional操作系統(tǒng)。2.Windows File Analyzer和CacheMonitor安裝軟件。3.一張可用的軟盤（或U盤）。5.3 實(shí)驗(yàn)內(nèi)容和步驟 1.用Windows File Analyzer分析Windows系統(tǒng)下隱藏的文件。Windows File Analyzer軟件不需要安裝，點(diǎn)擊圖標(biāo)可直接進(jìn)入應(yīng)用程序窗口，分析Windows操作系統(tǒng)中一些特定的文件，以報(bào)告的形式打印出來。（1）用Thumbnail Datebase Analyzer讀出Thumbs.db文件。打開Windows File Analyzer應(yīng)用窗口，選擇“File”-“Analyze Thumbnail”下拉式菜單，查看Thumbs.db的內(nèi)容，通過Thumbs.db得到此文件夾中所有的文件內(nèi)容，導(dǎo)出其中的縮略圖，包括那些有不健康內(nèi)容的圖片。圖 - 往里面加入了不健康的圖片（2）用Index.dat Analyzer分析Index.dat文件。圖-用Prefetch Analyzer挖出Prefetch文件夾中存儲的信息圖-用Recycle Bin Analyzer打開隱藏的回收站，顯示回收站中Info2文件信息圖-用Shortcut Analyzer找出特定文件夾中的快捷方式，并顯示存儲在他們里面的數(shù)據(jù) 2.用CacheMonitor監(jiān)控Internet緩存。3.用Windows File Analyzer和CacheMonitor進(jìn)行取證分析（注：由于下載不到CacheMonitor軟件，以上兩個(gè)部分的實(shí)驗(yàn)無法完成?。?。6. 實(shí)驗(yàn)七 數(shù)據(jù)解密6.1 實(shí)驗(yàn)?zāi)康?)理解數(shù)據(jù)加密的原理，掌握常用的密碼破解技術(shù)。2)打開已被加密的現(xiàn)場可以計(jì)算機(jī)，找到有效的證據(jù)證據(jù)。3)將犯罪嫌疑人的重要文件進(jìn)行破解和分析。6.2 實(shí)驗(yàn)環(huán)境和設(shè)備1)windows XP 或windows 2000 Professional操作系統(tǒng)。2)一些常用密碼破解工具。3)網(wǎng)絡(luò)運(yùn)行良好。6.3 實(shí)驗(yàn)內(nèi)容和步驟（1）用工具軟件Cmospwd破解CMOS密碼。（2）通過刪除Windows安裝目錄下的*.pwl密碼文件和Profiles子目錄下的文件，破解windows密碼。（3）用解密軟件UZPC破解ZIP壓縮包密碼，CRACK破解RAR壓縮包密碼（4）使用破解工具Advanced Office XP Password Recovery破解word密碼。（5） 用GetIp將代表口令的密碼號還原成真實(shí)的口令。（6） 用網(wǎng)絡(luò)嗅探器（如Wireshark），嗅探登陸和數(shù)據(jù)傳輸事件，捕獲密碼和敏感數(shù)據(jù)。用工具軟件Cmospwd破解CMOS密碼： 通過刪除Windows安裝目錄下的*.pwl密碼文件和Profiles子目錄下的文件，破解windows密碼： 用解密軟件UZPC破解ZIP壓縮包密碼，CRACK破解RAR壓縮包密碼。使用破解工具Advanced Office XP Password Recovery破解word密碼： 設(shè)置word權(quán)限密碼：在工具選項(xiàng)安全性中設(shè)置密碼為999 保存并關(guān)閉該文檔，然后打開，就需要輸入密碼 使用工具軟件Advanced Office XP Password Recovery可以快速破解Word文檔密碼，點(diǎn)擊工具欄按鈕“Open File”，打開剛才建立的Word文檔，程序打開成功后會在Log Window中顯示成功打開的消息： 用GetIp將代表口令的密碼號還原成真實(shí)的口令：用網(wǎng)絡(luò)嗅探器（如Wireshark），嗅探登陸和數(shù)據(jù)傳輸事件，捕獲密碼和敏感數(shù)據(jù)：7.實(shí)驗(yàn)總結(jié)其實(shí)這種攻擊和取證的實(shí)驗(yàn)在計(jì)算機(jī)網(wǎng)絡(luò)以及信息安全工程的實(shí)驗(yàn)課上幾乎都做過了，但是那時(shí)候沒有很好的理解原