计算机取证实验报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《计算机取证技术》
实验报告
实验一
实验题目:
用应急工具箱收集易失性数据
实验目的:
(1)会创建应急工具箱,并生成工具箱校验和。
(2)能对突发事件进行初步调查,做出适当的响应。
(3)能在最低限度地改变系统状态的情况下收集易失性数据。
实验要求:
(1)Windows XP 或Windows 2000 Professional操作系统。
(2)网络运行良好。
(3)一张可用U盘(或其他移动介质)和PsTools工具包。
实验主要步骤:
(1)将常用的响应工具存入U盘,创建应急工具盘。应急工具盘中的常用工具有; ; ; ; ; ; ; ; ; ; ; 等。
(2)用命令md5sum(可用替代)创建工具盘上所有命令的校验和,生成文本文件保存到工具盘中,并将工具盘写保护。
(3)用time 和date命令记录现场计算机的系统时间和日期,第(4)、(5)、(6)、(7)和(8)步完成之后再运行一遍time 和date命令。
(4)用dir命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间。
(5)用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关,用ipconfig/all 命令获取更多有用的信息:如主机名、DNS服务器、节点类型、网络适配器的物理地址等。
(6)用netstat显示现场计算机的网络连接、路由表和网络接口信息,检查哪些端口是打开的,以及与这些监听端口的所有连接。
(7)用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。
(8)用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。实验结果:
心得体会:计算机取证工具箱简单方便,无需安装,应急工具箱收集易失性数据,在计算机取证过程中对案发现场计算机的取证起着关键性的作用,用它可以找出计算机当时所处的状态,从而收集证据。对于取证人员来说,这个是非常关键的一步。
实验二
实验题目:用应急工具箱收集易失性数据
实验目的:
1.理解文件存放的原理,懂得数据恢复的可能性。
2.丁解几种常用的数据恢复软件如Easy Recovery和RecoveryMyFiles
3.使用其中一种数据恢复软件、恢复已被删除的文件,恢复己被格式化磁盘上的数据。实验环境和设备:
(1) Windows Xp或Winfjows 2000 Professional操作系统。
(2)数据恢复安装软件。
(3)两张可用的软盘(或U盘)和一个安装有Windows系统的硬盘。
实验主要步骤和实验结果:
实验前的准备工作
在安装数据恢复软件或其他软件之前,先在计算机的逻辑盘(如D盘)中创建四个属于你自己的文件夹,如:Bak F'ilel(存放第一张软盘上的备份文件)、LostFile1(存放恢复第一张软盘后得到的数据) BakFile2(存放第二张软盘上的备份文件)和LoFile2(存放恢复第二张软盘后得到的数据)注意:存放备份文件所在的逻辑盘(如D盘)与你准备安装软件所在的逻辑盘(如C盘)不要相同,因为如果相同,安装软件时可能正好把你的备份文件给覆盖掉了。
(2) EasyRecovery安装和启动
这里选用Easy Recovery Professional软件作为恢复工具,点击Easy Recovery图标便可顺利安装,启动EasyRecovery应用程序,主界面上列出了Easy Recovery的所有功能:“磁盘诊断”、“数据恢复”、“文件修复”和“邮件修复”等功能按钮”在取证过程中用得最多的是“数据恢复”功能。
图 1 EasyRecovery安装和启动
图 2 EasyRecovery的数据恢复界面
(3)使用EasyRecovery恢复已被删除的文件。,
①将准备好的软盘(或U盘)插入计算机中,删除上面的一部分文件和文件夹如果原有磁盘中没有文件和文件夹,可以先创建几个,备份到BakFilel文件夹下,再将它删除。
②点击“数据恢复”,出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮,选择“删除恢复”进行快速扫描,查找已删除的目录和文件,接着选择要搜索的驱动器和文件夹(A盘或U盘图标)。出现所有被删除的文件,选择要恢复的文件输入文件存放的路径D:LostFilel,点击“下一步”恢复完成,并生成删除恢复报告。
图 3 EasyRecovery选择恢复删除的磁盘
图 4 EasyRecovery扫描文件
图 5 EasyRecovery扫描结果
③比较BakFilel文件夹中删除过的文件与LoatFilel文件夹中恢复得到的文件,将比较结果记录下来。
图 6 查看需要恢复的文件
图 6 保存需要恢复的文件
心得体会:使用Easy Recovery恢复已被删除的文件非常管用,而且使用方便,通过这次实验学会了如何恢复不小心被删除的文件。也能对计算机存储介质有了进一步的认识。
实验三
实验题目:
分析Windows系统中隐藏的文件和Cache信息
实验目的:
学会使用取证分析工具查看Windows操作系统下的一些特殊文件,找出深深隐藏的证据。学会使用网络监控工具监视Internet缓存,进行取证分析。
实验要求:
Windows Xp 或 Windows 2000 Professional 操作系统
Windows File Analyzer 和 CacheMonitor 安装软件
一张可用的软盘(或u盘)
实验主要步骤:
用Windows File Analyzer分析Windows 系统下隐藏的文件。
用CacheMonitor 监控Internet 缓存。
用Windows File Analyzer 和 CacheMonitor 进行取证分析。
实验结果:
软件界面
Analyzer分析文件
打开prefetch文件夹中存储的信息,打开结果,全部是.pf文件
Shortcut Analyzer找出桌面中的快捷方式,并显示存储在他们中的数据