操作痕迹检验报告

实验项目：计算机操作痕迹检查姓名：叶凌云

区队：08信息警务区队

学号：0804448

指导老师：项振茂

实验地点：3号机房

实验时间：2011年9月21日

叶凌云的实验报告

一、实验目的：巩固计算机操作痕迹的基础知识，进一步了解操作痕迹产生的原理。掌握文件时间属性、计算机开关机时间、最近访问的文档、打开文件痕迹、上网历史记录、临时文件夹、浏览器收藏夹等操作痕迹的一般方法。

二、实验要求：1、本实验分小组进行，每小组2人。

2、小组成员间互换计算机，互相检查对方计算机操作系统。

3、实验内容要求在2课时内完成，以小组为单位完成一份实验报告。实验报告必须按附录一的实验报告格式进行撰写，内容除本实验所要求的实验内容外，还必须包括本实验的思考题。

三、实验器材：每人一台计算机并接入互联网。

四、实验内容：1、在计算机中建立几个有内容的DOC、XLS、TXT、JPG文档，并对每个文档进行多次修改和访问，然后查看并记录每个文件的创建时间、修改时间、访问时间，解释各时间所代表的含义以及它们之间的相互关系。

2、拷贝刚建立的文档到另一盘中，检查文件的时间属性有无变化？分析什么时候已变化？什么时间不变化？并解释其原因。

3、分别采用缩略图、平铺、图标、列表、详细信息等方式检查各类文件，检查文件时间属性的变化是否与查看方式有关？、

4、浏览网上信息，打开3个以上网站和10个以上网页。

5、打开计算机中1—2个应用程序，如画图程序、QQ软件。

6、计算机开关机时间检查，主要检查系统日志ID为6005与6006的事件时间。

7、小组成员互换计算机，相互检查对方最近访问的文档。

8、检查对方曾经打开过的文件痕迹，主要检查WINDOWS 目录下PREFETCH文件下的文件。

9、检查对方上网痕迹，主要检查上网历史记录、收藏夹，临时文件。

五、实验步骤和实验结果：

1、文件时间属性检查。在桌面新建WORD文档“123”，右击文件“123”，然后单击“属性”。（如图1）

图（1）

2、计算机开关机时间检查。打开控制面板—管理工具—事件查看器，点击系统日志。然后打开来源为EVENTLOG，事件ID为6005的时间就是计算机的开机时间，事件ID为6006的时间则为计算机的关机时间。（如图2、图

3、图4）

图（2）

图（3）图（4）

3、最近访问的文档。在开始菜单—选择文档，就会显示最近访问的文档。（如图5）

图（5）

4、打开文件痕迹。在WINDOWS XP及其以后的操作系统中，位于

\WINDOWS\Prefetch文件夹中的文件包含应用程序的启动时间和启动位置信息。打开C盘—WINDOWS文件夹—找到Prefetch打开，然后任意选择一个扩展名为PF的文件，右击属性（如图5、图6）

图（5）图（6）

5、上网历史记录的检查。以“IE浏览器”为例，打开网页，点击“工具/INTERNET 选项”，选择常规标签，在INTERNET临时文件中点击“设置”，然后打开“查看文件”。（如图7、图8、图9）

图（7）图（8）

图（9）

6、临时文件夹的检查。当执行过安装软件、下载、打开文档等操作时，临时文件夹中往往会留下相应文件。这些文件存储在TEMP目录中。具体位置一般在：C:\WINDOWS\TEMP或者C:\DOCUMENTS AND SETTINGS\用户名LOCAL SETTINGS\TEMP。

7、浏览器收藏夹。以“IE浏览器”为例，点击收藏夹，就能查看用户的收藏网页。（如图10）

图（10）

五、实验总结：1、在文件时间查看过程中，发现FAT32分区下安装的WINDOWS 系统，访问时间只有日期，没有时间。还可以注意到NTFS的误差时间是一个小时。

2、一文件刚创建的时候，其创建时间、修改时间和访问时间是一致的。在正常情况下，其创建时间、修改时间、访问时间依次是从前到后。但也有例外，若将一文件从一台计算机复制到你的计算机中，复制后的文件的创建时间就变成你的计算机的系统时间了，修改时间就早于创建时间。

3、在查看计算机的开关机方法，若是windows默认情况下，“任务计划程序服务”是自动开启的，只要查看“任务计划程序服务”的启动和关闭，即可。查看方法就是打开C盘WINDOWS文件夹中的Schedlgu.txt，找出“任务计划程序服务”启动和关闭时间即可。通过计算机开关机检查的学习，可以为侦查破案提供线索，有利于案件的侦破。

4、在打开文件痕迹实验中，看到很多以pf为扩展名的文件，pf 文件包括了载入文件的详细信息和载入顺序。应用程序名后面跟随一连串的数字、字母是随机产生的，主要避免重名。