计算机取证实验报告

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

《计算机取证技术》

实验报告

实验一

实验题目:

用应急工具箱收集易失性数据

实验目的:

(1)会创建应急工具箱,并生成工具箱校验和。

(2)能对突发事件进行初步调查,做出适当的响应。

(3)能在最低限度地改变系统状态的情况下收集易失性数据。

实验要求:

(1)Windows XP 或Windows 2000 Professional操作系统。

(2)网络运行良好。

(3)一张可用U盘(或其他移动介质)和PsTools工具包。

实验主要步骤:

(1)将常用的响应工具存入U盘,创建应急工具盘。应急工具盘中的常用工具有; ; ; ; ; ; ; ; ; ; ; 等。

(2)用命令md5sum(可用替代)创建工具盘上所有命令的校验和,生成文本文件保存到工具盘中,并将工具盘写保护。

(3)用time 和date命令记录现场计算机的系统时间和日期,第(4)、(5)、(6)、(7)和(8)步完成之后再运行一遍time 和date命令。

(4)用dir命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间。

(5)用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关,用ipconfig/all 命令获取更多有用的信息:如主机名、DNS服务器、节点类型、网络适配器的物理地址等。

(6)用netstat显示现场计算机的网络连接、路由表和网络接口信息,检查哪些端口是打开的,以及与这些监听端口的所有连接。

(7)用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。

(8)用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。实验结果:

心得体会:计算机取证工具箱简单方便,无需安装,应急工具箱收集易失性数据,在计算机取证过程中对案发现场计算机的取证起着关键性的作用,用它可以找出计算机当时所处的状态,从而收集证据。对于取证人员来说,这个是非常关键的一步。

实验二

实验题目:用应急工具箱收集易失性数据

实验目的:

1.理解文件存放的原理,懂得数据恢复的可能性。

2.丁解几种常用的数据恢复软件如Easy Recovery和RecoveryMyFiles

3.使用其中一种数据恢复软件、恢复已被删除的文件,恢复己被格式化磁盘上的数据。实验环境和设备:

(1) Windows Xp或Winfjows 2000 Professional操作系统。

(2)数据恢复安装软件。

(3)两张可用的软盘(或U盘)和一个安装有Windows系统的硬盘。

实验主要步骤和实验结果:

实验前的准备工作

在安装数据恢复软件或其他软件之前,先在计算机的逻辑盘(如D盘)中创建四个属于你自己的文件夹,如:Bak F'ilel(存放第一张软盘上的备份文件)、LostFile1(存放恢复第一张软盘后得到的数据) BakFile2(存放第二张软盘上的备份文件)和LoFile2(存放恢复第二张软盘后得到的数据)注意:存放备份文件所在的逻辑盘(如D盘)与你准备安装软件所在的逻辑盘(如C盘)不要相同,因为如果相同,安装软件时可能正好把你的备份文件给覆盖掉了。

(2) EasyRecovery安装和启动

这里选用Easy Recovery Professional软件作为恢复工具,点击Easy Recovery图标便可顺利安装,启动EasyRecovery应用程序,主界面上列出了Easy Recovery的所有功能:“磁盘诊断”、“数据恢复”、“文件修复”和“邮件修复”等功能按钮”在取证过程中用得最多的是“数据恢复”功能。

图 1 EasyRecovery安装和启动

图 2 EasyRecovery的数据恢复界面

(3)使用EasyRecovery恢复已被删除的文件。,

①将准备好的软盘(或U盘)插入计算机中,删除上面的一部分文件和文件夹如果原有磁盘中没有文件和文件夹,可以先创建几个,备份到BakFilel文件夹下,再将它删除。

②点击“数据恢复”,出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮,选择“删除恢复”进行快速扫描,查找已删除的目录和文件,接着选择要搜索的驱动器和文件夹(A盘或U盘图标)。出现所有被删除的文件,选择要恢复的文件输入文件存放的路径D:LostFilel,点击“下一步”恢复完成,并生成删除恢复报告。

图 3 EasyRecovery选择恢复删除的磁盘

图 4 EasyRecovery扫描文件

图 5 EasyRecovery扫描结果

③比较BakFilel文件夹中删除过的文件与LoatFilel文件夹中恢复得到的文件,将比较结果记录下来。

图 6 查看需要恢复的文件

图 6 保存需要恢复的文件

心得体会:使用Easy Recovery恢复已被删除的文件非常管用,而且使用方便,通过这次实验学会了如何恢复不小心被删除的文件。也能对计算机存储介质有了进一步的认识。

实验三

实验题目:

分析Windows系统中隐藏的文件和Cache信息

实验目的:

学会使用取证分析工具查看Windows操作系统下的一些特殊文件,找出深深隐藏的证据。学会使用网络监控工具监视Internet缓存,进行取证分析。

实验要求:

Windows Xp 或 Windows 2000 Professional 操作系统

Windows File Analyzer 和 CacheMonitor 安装软件

一张可用的软盘(或u盘)

实验主要步骤:

用Windows File Analyzer分析Windows 系统下隐藏的文件。

用CacheMonitor 监控Internet 缓存。

用Windows File Analyzer 和 CacheMonitor 进行取证分析。

实验结果:

软件界面

Analyzer分析文件

打开prefetch文件夹中存储的信息,打开结果,全部是.pf文件

Shortcut Analyzer找出桌面中的快捷方式,并显示存储在他们中的数据

相关文档
最新文档