計(jì)算機(jī)取證實(shí)驗(yàn)報(bào)告

..《計(jì)算機(jī)取證技術(shù)》實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)一實(shí)驗(yàn)題目：用應(yīng)急工具箱收集易失性數(shù)據(jù)實(shí)驗(yàn)?zāi)康模骸?會(huì)創(chuàng)建應(yīng)急工具箱,并生成工具箱校驗(yàn)和?！?能對突發(fā)事件進(jìn)行初步調(diào)查,做出適當(dāng)?shù)捻憫?yīng)。〔3能在最低限度地改變系統(tǒng)狀態(tài)的情況下收集易失性數(shù)據(jù)。實(shí)驗(yàn)要求：〔1WindowsXP或Windows2000Professional操作系統(tǒng)?！?網(wǎng)絡(luò)運(yùn)行良好。〔3一張可用U盤〔或其他移動(dòng)介質(zhì)和PsTools工具包。實(shí)驗(yàn)主要步驟：〔1將常用的響應(yīng)工具存入U(xiǎn)盤,創(chuàng)建應(yīng)急工具盤。應(yīng)急工具盤中的常用工具有cmd.exe;netstat.exe;fport.exe;nslookup.exe;nbtstat.exe;arp.exe;md5sum.exe;netcat.exe;cryptcat.exe;ipconfig.exe;time.exe;date.exe等?！?用命令md5sum<可用fsum.exe替代>創(chuàng)建工具盤上所有命令的校驗(yàn)和,生成文本文件commandsums.txt保存到工具盤中,并將工具盤寫保護(hù)?！?用time和date命令記錄現(xiàn)場計(jì)算機(jī)的系統(tǒng)時(shí)間和日期,第〔4、〔5、〔6、〔7和〔8步完成之后再運(yùn)行一遍time和date命令。〔4用dir命令列出現(xiàn)場計(jì)算機(jī)系統(tǒng)上所有文件的目錄清單,記錄文件的大小、訪問時(shí)間、修改時(shí)間和創(chuàng)建時(shí)間?！?用ipconfig命令獲取現(xiàn)場計(jì)算機(jī)的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān),用ipconfig/all命令獲取更多有用的信息：如主機(jī)名、DNS服務(wù)器、節(jié)點(diǎn)類型、網(wǎng)絡(luò)適配器的物理地址等?！?用netstat顯示現(xiàn)場計(jì)算機(jī)的網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息,檢查哪些端口是打開的,以及與這些監(jiān)聽端口的所有連接?！?用PsTools工具包中的PsLoggedOn命令查看當(dāng)前哪些用戶與系統(tǒng)保持著連接狀態(tài)?！?用PsTools工具包中的PsList命令記錄當(dāng)前所有正在運(yùn)行的進(jìn)程和當(dāng)前的連接。實(shí)驗(yàn)結(jié)果：心得體會(huì)：計(jì)算機(jī)取證工具箱簡單方便,無需安裝,應(yīng)急工具箱收集易失性數(shù)據(jù),在計(jì)算機(jī)取證過程中對案發(fā)現(xiàn)場計(jì)算機(jī)的取證起著關(guān)鍵性的作用,用它可以找出計(jì)算機(jī)當(dāng)時(shí)所處的狀態(tài),從而收集證據(jù)。對于取證人員來說,這個(gè)是非常關(guān)鍵的一步。實(shí)驗(yàn)二實(shí)驗(yàn)題目：用應(yīng)急工具箱收集易失性數(shù)據(jù)實(shí)驗(yàn)?zāi)康模豪斫馕募娣诺脑?懂得數(shù)據(jù)恢復(fù)的可能性。丁解幾種常用的數(shù)據(jù)恢復(fù)軟件如EasyRecovery和RecoveryMyFiles使用其中一種數(shù)據(jù)恢復(fù)軟件、恢復(fù)已被刪除的文件,恢復(fù)己被格式化磁盤上的數(shù)據(jù)。實(shí)驗(yàn)環(huán)境和設(shè)備：<1>WindowsXp或Winfjows2000Professional操作系統(tǒng)。<2>數(shù)據(jù)恢復(fù)安裝軟件。<3>兩張可用的軟盤〔或U盤和一個(gè)安裝有Windows系統(tǒng)的硬盤。實(shí)驗(yàn)主要步驟和實(shí)驗(yàn)結(jié)果：實(shí)驗(yàn)前的準(zhǔn)備工作在安裝數(shù)據(jù)恢復(fù)軟件或其他軟件之前,先在計(jì)算機(jī)的邏輯盤〔如D盤中創(chuàng)建四個(gè)屬于你自己的文件夾,如：BakF'ilel〔存放第一張軟盤上的備份文件、LostFile1〔存放恢復(fù)第一張軟盤后得到的數(shù)據(jù)BakFile2〔存放第二張軟盤上的備份文件和LoFile2〔存放恢復(fù)第二張軟盤后得到的數(shù)據(jù)注意：存放備份文件所在的邏輯盤〔如D盤與你準(zhǔn)備安裝軟件所在的邏輯盤〔如C盤不要相同,因?yàn)槿绻嗤?安裝軟件時(shí)可能正好把你的備份文件給覆蓋掉了。<2>EasyRecovery安裝和啟動(dòng)這里選用EasyRecoveryProfessional軟件作為恢復(fù)工具,點(diǎn)擊EasyRecovery圖標(biāo)便可順利安裝,啟動(dòng)EasyRecovery應(yīng)用程序,主界面上列出了EasyRecovery的所有功能："磁盤診斷"、"數(shù)據(jù)恢復(fù)"、"文件修復(fù)"和"郵件修復(fù)"等功能按鈕"在取證過程中用得最多的是"數(shù)據(jù)恢復(fù)"功能。圖1EasyRecovery安裝和啟動(dòng)圖2EasyRecovery的數(shù)據(jù)恢復(fù)界面<3>使用EasyRecovery恢復(fù)已被刪除的文件。,①將準(zhǔn)備好的軟盤〔或U盤插入計(jì)算機(jī)中,刪除上面的一部分文件和文件夾如果原有磁盤中沒有文件和文件夾,可以先創(chuàng)建幾個(gè),備份到BakFilel文件夾下,再將它刪除。②點(diǎn)擊"數(shù)據(jù)恢復(fù)",出現(xiàn)"高級(jí)恢復(fù)"、"刪除恢復(fù)"、"格式化恢復(fù)"和"原始恢復(fù)"等按鈕,選擇"刪除恢復(fù)"進(jìn)行快速掃描,查找已刪除的目錄和文件,接著選擇要搜索的驅(qū)動(dòng)器和文件夾<A盤或U盤圖標(biāo)>。出現(xiàn)所有被刪除的文件,選擇要恢復(fù)的文件輸入文件存放的路徑D：LostFilel,點(diǎn)擊"下一步"恢復(fù)完成,并生成刪除恢復(fù)報(bào)告。圖3EasyRecovery選擇恢復(fù)刪除的磁盤圖4EasyRecovery掃描文件圖5EasyRecovery掃描結(jié)果③比較BakFilel文件夾中刪除過的文件與LoatFilel文件夾中恢復(fù)得到的文件,將比較結(jié)果記錄下來。圖6查看需要恢復(fù)的文件圖6保存需要恢復(fù)的文件心得體會(huì):使用EasyRecovery恢復(fù)已被刪除的文件非常管用,而且使用方便,通過這次實(shí)驗(yàn)學(xué)會(huì)了如何恢復(fù)不小心被刪除的文件。也能對計(jì)算機(jī)存儲(chǔ)介質(zhì)有了進(jìn)一步的認(rèn)識(shí)。實(shí)驗(yàn)三實(shí)驗(yàn)題目：分析Windows系統(tǒng)中隱藏的文件和Cache信息實(shí)驗(yàn)?zāi)康模簩W(xué)會(huì)使用取證分析工具查看Windows操作系統(tǒng)下的一些特殊文件,找出深深隱藏的證據(jù)。學(xué)會(huì)使用網(wǎng)絡(luò)監(jiān)控工具監(jiān)視Internet緩存,進(jìn)行取證分析。實(shí)驗(yàn)要求：WindowsXp或Windows2000Professional操作系統(tǒng)WindowsFileAnalyzer和CacheMonitor安裝軟件一張可用的軟盤〔或u盤實(shí)驗(yàn)主要步驟：用WindowsFileAnalyzer分析Windows系統(tǒng)下隱藏的文件。用CacheMonitor監(jiān)控Internet緩存。用WindowsFileAnalyzer和CacheMonitor進(jìn)行取證分析。實(shí)驗(yàn)結(jié)果：軟件界面Index.datAnalyzer分析Index.dat文件打開prefetch文件夾中存儲(chǔ)的信息,打開結(jié)果,全部是.pf文件ShortcutAnalyzer找出桌面中的快捷方式,并顯示存儲(chǔ)在他們中的數(shù)據(jù)CacheMonitor操作心得體會(huì)：這個(gè)實(shí)驗(yàn)相對而言比較簡單,只要會(huì)使用WindowsFileAnalyzer,了解其功能和具體的使用方法,但是對其所得到的數(shù)據(jù)進(jìn)行分析,還需要進(jìn)一步的加強(qiáng)學(xué)習(xí)。實(shí)驗(yàn)四實(shí)驗(yàn)?zāi)康模涸诰C合的取證、分析環(huán)境中建立案例和保存證據(jù)鏈。模擬算機(jī)取證的全過程,包括保護(hù)現(xiàn)場、獲取證據(jù),保存證據(jù),分析證據(jù),提取證據(jù)。實(shí)驗(yàn)步驟和實(shí)驗(yàn)結(jié)果：用X-WaysForensics的WinHex版本創(chuàng)建一個(gè)新的案例newcase,記錄與計(jì)算機(jī)有關(guān)的的計(jì)算機(jī)媒體如硬盤,內(nèi)存,USB,CD-ROM和其他有用的文件信息,結(jié)合實(shí)際案例結(jié)構(gòu),設(shè)計(jì)生產(chǎn)一個(gè)證據(jù)實(shí)體或證據(jù)源,生產(chǎn)案例報(bào)告單。圖創(chuàng)建鏡像文件過程操作結(jié)束,將生成TXT格式操作日志,包含如磁盤參數(shù)、MD5值等信息。用X-WaysForensics的WinHex版本對磁盤克隆,將生成的映像文件分步采集,生成RAW原始數(shù)據(jù)映像文件中的完整目錄結(jié)構(gòu),刪除某個(gè)文件,對該文件自動(dòng)恢復(fù),并確定文件類型,接著進(jìn)行回復(fù),生成刪除回復(fù)報(bào)告。掃描完成后可以看到被刪除的文件如下圖文件已被恢復(fù)。用X-WaysCaptures將正在運(yùn)行狀態(tài)下計(jì)算機(jī)中的所有數(shù)據(jù)采集到外置USB硬盤中,如獲取的內(nèi)存數(shù)據(jù)被加密保護(hù),在其中找出有價(jià)值的口令信息。用X-WaysCaptures獲取物理內(nèi)存和虛擬內(nèi)存中所有正在運(yùn)行的進(jìn)程,分析進(jìn)程。用X-WaysTrace對計(jì)算機(jī)中的瀏覽器上網(wǎng)記錄信息,回收站的刪除記錄進(jìn)行追蹤和分析。將第〔2,〔3,〔4和〔5步中得到