实验六：计算机犯罪现场勘查取证实验

实验六：计算机犯罪现场勘查取证实验

实验项目学时：2 实验要求：■必修□选修

一、实验目的及要求：

了解现场勘查的目标、要求，熟练掌握计算机犯罪现场勘查规则，了解各种现场环境、掌握证据识别、提取、固定等工作内容、掌握各种现场勘查表格的记录；了解常用取证工具以及勘查箱的使用方法。

二、实验原理

1 保护现场和现场勘查

现场勘查是获取证据的第一步，主要是物理证据的获取。这项工作可为下面的环节打下基础。包括封存目标计算机系统并避免发生任何的数据破坏或病毒感染，绘制计算机犯罪现场图、网络拓扑图等，在移动或拆卸任何设备之前都要拍照存档，为今后模拟和还原犯罪现场提供直接依据。在这一阶段使用的工具软件由现场自动绘图软件、检测和自动绘制网络拓扑图软件等组成。

2 获取证据

证据的获取从本质上说就是从众多的未知和不确定性中找到确定性的东西。这一步使用的工具一般是具有磁盘镜像、数据恢复、解密、网络数据捕获等功能的取证工具。

3 鉴定证据

计算机证据的鉴定主要是解决证据的完整性验证和确定其是否符合可采用标准。计算机取证工作的难点之一是证明取证人员所搜集到的证据没有被修改过。而计算机获取的证据又恰恰具有易改变和易损毁的特点。例如，腐蚀、强磁场的作用、人为的破坏等等都会造成原始证据的改变和消失。所以，取证过程中应注重采取保护证据的措施。在这一步骤中使用的取证工具包括含有时间戳、数字指纹和软件水印等功能的软件，主要用来确定证据数据的可靠性。

三、实验步骤

1．了解勘查箱的配置与使用（包含：DC-8650，DC-8200pro、DC-8000及各种软件等）。

2．掌握CyberBlock-IDE3-2只读锁的操作使用

（1）设备连接：

在只读锁断电状态下，通过1394或USB2.0与主机连接；将1.8寸的ZIF硬盘通过ZIF to IDE转换卡接到只读锁的源设备端口上；最后接上只读锁的电源适配器，请勿通电。

（2）调整只读设备的设置：

将只读锁的接口模式切换到1394/USB-IDE模式，写保护模式切换到只读模式；然后打开只读锁的电源开关，确认PC机识别到只读锁设备及硬盘，并给目标设备分配盘符。

（3）检测设备各种模式下的有效性：

1）在只读模式下，对目标硬盘进行新建文件或对其文件进行修改时，都提示没有写入权限，确认无法对目标硬盘进行写入操作。

2）在读写模式下，对目标硬盘进行新建文件或对其文件进行修改时，都可以完成操作并保存文件，确认可以对目标硬盘进行写入操作。

3）在IDE-IDE模式下，操作系统的磁盘管理无法识别到有效的硬盘设备。