計(jì)算機(jī)取證實(shí)驗(yàn)報(bào)告

1、計(jì)算機(jī)取證明驗(yàn)報(bào)告計(jì)算機(jī)取證明驗(yàn)報(bào)告7/7計(jì)算機(jī)取證明驗(yàn)報(bào)告計(jì)算機(jī)取證技術(shù)實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)一實(shí)驗(yàn)題目：用應(yīng)急工具箱收集易失性數(shù)據(jù)實(shí)驗(yàn)?zāi)康模海?）會(huì)創(chuàng)辦應(yīng)急工具箱，并生成工具箱校驗(yàn)和。（2）能對(duì)突發(fā)事件進(jìn)行初步檢查，做出合適的響應(yīng)。（3）能在最低限度地改變系統(tǒng)狀態(tài)的情況下收集易失性數(shù)據(jù)。實(shí)驗(yàn)要求：（1）WindowsXP或Windows2000Professional操作系統(tǒng)。2）網(wǎng)絡(luò)運(yùn)行優(yōu)異。3）一張可用U盤(pán)（或其他搬動(dòng)介質(zhì)）和PsTools工具包。實(shí)驗(yàn)主要步驟：（1）將常用的響應(yīng)工具存入U(xiǎn)盤(pán)，創(chuàng)辦應(yīng)急工具盤(pán)。應(yīng)急工具盤(pán)中的常用工具有;等。2）用命令md5sum(可用取代)創(chuàng)辦工具盤(pán)上全部命令的校

2、驗(yàn)和，生成文本文件保存到工具盤(pán)中，并將工具盤(pán)寫(xiě)保護(hù)。（3）用time和date命令記錄現(xiàn)場(chǎng)計(jì)算機(jī)的系統(tǒng)時(shí)間和日期，第（4）、（5）、（6）、（7）和（8）步完成此后再運(yùn)行一遍time和date命令。4）用dir命令列出現(xiàn)場(chǎng)計(jì)算機(jī)系統(tǒng)上全部文件的目錄清單，記錄文件的大小、接見(jiàn)時(shí)間、更正時(shí)間和創(chuàng)辦時(shí)間。（5）用ipconfig命令獲取現(xiàn)場(chǎng)計(jì)算機(jī)的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)，用ipconfig/all命令獲取更多適用的信息：如主機(jī)名、DNS服務(wù)器、節(jié)點(diǎn)種類、網(wǎng)絡(luò)適配器的物理地址等。6）用netstat顯示現(xiàn)場(chǎng)計(jì)算機(jī)的網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息，檢查哪些端口是打開(kāi)的，以及與這些監(jiān)聽(tīng)端口的全部連接

3、。7）用PsTools工具包中的PsLoggedOn命令查察當(dāng)前哪些用戶與系統(tǒng)保持著連接狀態(tài)。8）用PsTools工具包中的PsList命令記錄當(dāng)前全部正在運(yùn)行的進(jìn)度和當(dāng)前的連接。實(shí)驗(yàn)結(jié)果：心得領(lǐng)悟：計(jì)算機(jī)取證工具箱簡(jiǎn)單方便，無(wú)需安裝，應(yīng)急工具箱收集易失性數(shù)據(jù)，在計(jì)算機(jī)取證過(guò)程中對(duì)案發(fā)現(xiàn)場(chǎng)計(jì)算機(jī)的取證起著要點(diǎn)性的作用，用它可以找出計(jì)算機(jī)當(dāng)時(shí)所處的狀態(tài)，從而收集憑據(jù)。對(duì)于取證人員來(lái)說(shuō)，這個(gè)是特別要點(diǎn)的一步。實(shí)驗(yàn)二實(shí)驗(yàn)題目：用應(yīng)急工具箱收集易失性數(shù)據(jù)實(shí)驗(yàn)?zāi)康模豪斫馕募娣诺脑?，懂得?shù)據(jù)恢復(fù)的可能性。丁解幾種常用的數(shù)據(jù)恢復(fù)軟件如EasyRecovery和RecoveryMyFiles使用其中一種數(shù)

4、據(jù)恢復(fù)軟件、恢復(fù)已被刪除的文件，恢復(fù)己被格式化磁盤(pán)上的數(shù)據(jù)。實(shí)驗(yàn)環(huán)境和設(shè)備：(1)WindowsXp或Winfjows2000Professional操作系統(tǒng)。數(shù)據(jù)恢復(fù)安裝軟件。兩張可用的軟盤(pán)（或U盤(pán)）和一個(gè)安裝有Windows系統(tǒng)的硬盤(pán)。實(shí)驗(yàn)主要步驟和實(shí)驗(yàn)結(jié)果：實(shí)驗(yàn)前的準(zhǔn)備工作在安裝數(shù)據(jù)恢復(fù)軟件或其他軟件從前，先在計(jì)算機(jī)的邏輯盤(pán)（如D盤(pán)）中創(chuàng)辦四個(gè)屬于你自己的文件夾，如：BakFilel（存放第一張軟盤(pán)上的備份文件）、LostFile1（存放恢復(fù)第一張軟盤(pán)后獲取的數(shù)據(jù)）BakFile2（存放第二張軟盤(pán)上的備份文件）和LoFile2（存放恢復(fù)第二張軟盤(pán)后獲取的數(shù)據(jù)）注意：存放備份文件所在的邏輯

5、盤(pán)（如D盤(pán)）與你準(zhǔn)備安裝軟件所在的邏輯盤(pán)（如C盤(pán)）不要相同，因?yàn)榧俸孟駱?，安裝軟件時(shí)可能正好把你的備份文件給覆蓋掉了。(2)EasyRecovery安裝和啟動(dòng)這里采納EasyRecoveryProfessional軟件作為恢復(fù)工具，點(diǎn)擊EasyRecovery圖標(biāo)即可順利安裝，啟動(dòng)EasyRecovery應(yīng)用程序，主界面上列出了EasyRecovery的全部功能：“磁盤(pán)診斷”、“數(shù)據(jù)恢復(fù)”、“文件修復(fù)”和“郵件修復(fù)”等功能按鈕”在取證過(guò)程中用得最多的是“數(shù)據(jù)恢復(fù)”功能。圖1EasyRecovery安裝和啟動(dòng)圖2EasyRecovery的數(shù)據(jù)恢復(fù)界面使用EasyRecovery恢復(fù)已被刪除的文件

6、。，將準(zhǔn)備好的軟盤(pán)（或U盤(pán)）插入計(jì)算機(jī)中，刪除上面的一部分文件和文件夾若是原有磁盤(pán)中沒(méi)有文件和文件夾，可以先創(chuàng)辦幾個(gè)，備份到BakFilel文件夾下，再將它刪除。點(diǎn)擊“數(shù)據(jù)恢復(fù)”，出現(xiàn)“高級(jí)恢復(fù)”、“刪除恢復(fù)”、“格式化恢復(fù)”和“原始恢復(fù)”等按鈕，選擇“刪除恢復(fù)”進(jìn)行快速掃描，查找已刪除的目錄和文件，接著選綱要找尋的驅(qū)動(dòng)器和文件夾(A盤(pán)或U盤(pán)圖標(biāo))。出現(xiàn)全部被刪除的文件，選綱要恢復(fù)的文件輸入文件存放的路徑D：LostFilel，點(diǎn)擊“下一步”恢復(fù)完成，并生成刪除恢復(fù)報(bào)告。圖3EasyRecovery選擇恢復(fù)刪除的磁盤(pán)圖4EasyRecovery掃描文件圖5EasyRecovery掃描結(jié)果比較B

7、akFilel文件夾中刪除過(guò)的文件與LoatFilel文件夾中恢復(fù)獲取的文件，將比較結(jié)果記錄下來(lái)。圖6查察需要恢復(fù)的文件圖6保存需要恢復(fù)的文件心得領(lǐng)悟:使用EasyRecovery恢復(fù)已被刪除的文件特別管用，而且使用方便，經(jīng)過(guò)此次實(shí)驗(yàn)學(xué)會(huì)了如何恢復(fù)不小心被刪除的文件。也能對(duì)計(jì)算機(jī)儲(chǔ)藏介質(zhì)有了進(jìn)一步的認(rèn)識(shí)。實(shí)驗(yàn)三實(shí)驗(yàn)題目：解析Windows系統(tǒng)中隱蔽的文件和Cache信息實(shí)驗(yàn)?zāi)康模簩W(xué)會(huì)使用取證解析工具查察Windows操作系統(tǒng)下的一些特別文件，找出深深隱蔽的憑據(jù)。學(xué)會(huì)使用網(wǎng)絡(luò)監(jiān)控工具監(jiān)察Internet緩存，進(jìn)行取證解析。實(shí)驗(yàn)要求：WindowsXp或Windows2000Professiona

8、l操作系統(tǒng)WindowsFileAnalyzer和CacheMonitor安裝軟件一張可用的軟盤(pán)（或u盤(pán)）實(shí)驗(yàn)主要步驟：用WindowsFileAnalyzer解析Windows系統(tǒng)下隱蔽的文件。用CacheMonitor監(jiān)控Internet緩存。用WindowsFileAnalyzer和CacheMonitor進(jìn)行取證解析。實(shí)驗(yàn)結(jié)果：軟件界面Analyzer解析文件打開(kāi)prefetch文件夾中儲(chǔ)藏的信息，打開(kāi)結(jié)果，全部是.pf文件ShortcutAnalyzer找出桌面中的快捷方式，并顯示儲(chǔ)藏在他們中的數(shù)據(jù)CacheMonitor操作心得領(lǐng)悟：這個(gè)實(shí)驗(yàn)相對(duì)而言比較簡(jiǎn)單，只要會(huì)使用Window

9、sFileAnalyzer，認(rèn)識(shí)其功能和詳盡的使用方法，但是對(duì)其所獲取的數(shù)據(jù)進(jìn)行解析，還需要進(jìn)一步的加強(qiáng)學(xué)習(xí)。實(shí)驗(yàn)四實(shí)驗(yàn)?zāi)康模?）在綜合的取證、解析環(huán)境中建立案例和保存憑據(jù)鏈。2）模擬算機(jī)取證的全過(guò)程，包括保護(hù)現(xiàn)場(chǎng)、獲取憑據(jù)，保存憑據(jù)，解析憑據(jù)，提取憑據(jù)。實(shí)驗(yàn)步驟和實(shí)驗(yàn)結(jié)果：（1）用X-WaysForensics的WinHex版本創(chuàng)辦一個(gè)新的案例newcase，記錄與計(jì)算機(jī)有關(guān)的的計(jì)算機(jī)媒體如硬盤(pán)，內(nèi)存，USB，CD-ROM和其他適用的文件信息，結(jié)合實(shí)質(zhì)案例結(jié)構(gòu)，設(shè)計(jì)生產(chǎn)一個(gè)憑據(jù)明體或憑據(jù)源，生產(chǎn)案例報(bào)告單。圖創(chuàng)辦鏡像文件過(guò)程操作結(jié)束，將生成TXT格式操作日志，包括如磁盤(pán)參數(shù)、MD5值等信息。

10、2）用X-WaysForensics的WinHex版本對(duì)磁盤(pán)克隆，將生成的映像文件分步收集，生成RAW原始數(shù)據(jù)映像文件中的完滿目錄結(jié)構(gòu)，刪除某個(gè)文件，對(duì)該文件自動(dòng)恢復(fù)，并確定文件種類，接著進(jìn)行回復(fù)，生成刪除回復(fù)報(bào)告。掃描完成后可以看到被刪除的文件以以下圖文件已被恢復(fù)。（3）用X-WaysCaptures將正在運(yùn)行狀態(tài)下計(jì)算機(jī)中的全部數(shù)據(jù)收集到外置USB硬盤(pán)中，如獲取的內(nèi)存數(shù)據(jù)被加密保護(hù)，在其中找出有價(jià)值的口令信息。4）用X-WaysCaptures獲取物理內(nèi)存和虛假內(nèi)存中全部正在運(yùn)行的進(jìn)度，解析進(jìn)度。（5）用X-WaysTrace對(duì)計(jì)算機(jī)中的閱讀器上網(wǎng)記錄信息，回收站的刪除記錄進(jìn)行追蹤和解析。（6）將第（2），（3），（4）和（5）步中獲取的數(shù)據(jù)信息和解析