计算机取证技术实验报告.docx

计算机取证技术实验报告.docx

《计算机取证技术实验报告.docx》由会员分享，可在线阅读，更多相关《计算机取证技术实验报告.docx（25页珍藏版）》请在冰点文库上搜索。

计算机取证技术实验报告

中南大学

计算机取证技术

实验报告

学生姓名

学院信息科学与工程学院

专业班级

完成时间

计算机取证技术

1.实验一事发现场收集易失性数据

1.1实验目的

1.会创建应急工具箱，并生成工具箱校验和；

2.能对突发事件进行初步调查，做出适当的响应；

3.能在最低限度地改变系统状态的情况下收集易失性数据。

1.2实验环境和设备

1.WindowsXP或Windows2000Professional操作系统；

2.网络运行良好；

3.一张可用的软盘（或U盘）和PsTools工具包。

1.3实验内容和步骤

1.创建应急工作盘，用命令md5sum创建工具盘上所有命令的校验和，生成文本文件commandsums.txt：

2.用time和date命令记录现场计算机的系统时间和日期：

3.用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间：

4.用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关和网络接口信息：

5.用netstat显示现场计算机的网络连接、路由表和网络接口信息：

6.用PsLoggedOn命令查看当前哪些用户与系统保持着连接状态：

7.用PsTools工具包中的PsList命令记录所有正在运行的进程和当前的连接：

2.实验二磁盘数据映像备份

2.1实验目的

1.理解什么是合格的司法鉴定备份文件，了解选用备份工具的要求；

2.能用司法鉴定复制工具对磁盘数据进行备份；

3.查看映像备份文件的内容，将文件执行hash计算，保证文件的完整性。

2.2实验环境和设备

1.WindowsXP或Windows2000Professional操作系统；

2.网络运行良好；

3.一张可用的软盘（或U盘）和外置USB硬盘。

2.3实验内容和步骤

1.制作MS-DOS引导盘，给硬盘或分区做映像时提供干净的操作系统。

在DOS提示符下键入以下命令来制作引导盘，并将引导盘写保护。

C:

\formata:

\/s或C:

\sysa:

\

软盘的根目录下至少应该有以下三个文件：

IO.SYS，COMMAND和MSDOS.SYS。

2.下载ghost应用软件存放在A盘或其他盘上，但不要放在准备备份的硬盘或分区上。

在A盘上启动MS-DOS，找到ghost文件夹下ghost.exe文件，键入ghost回车。

3.使用ghost对磁盘数据进行映像备份，既可以对磁盘的某个分区进行备份，又可以对整个硬盘进行备份，还可以进行网络之间的映像备份。

（1）对磁盘的某个分区进行映像备份

首先点击“Local”之后，会弹出三个子项：

Disk：

对整个硬盘进行备份。

Partition：

对分区进行备份。

Check：

检查备份文件。

选择“Partition”选项，进行磁盘分区备份，现又会弹出三个选项：

ToPartition：

把一个分区完整地复制到另一个分区中。

ToImage：

把分区制作成一个映像文件存放。

FromImage：

回复映像文件。

选择“ToImage”来制作映像文件，出现的界面是当前硬盘的选择窗口，选中需要备份的分区之后，再键入映像文件的保存路径和文件名。

接下来，系统会询问是采用No（无压缩）、Fast（快速压缩）还是High（高压缩率）中的方式备份，如果选择High模式后，稍等片刻，磁盘分区的映像文件生成了。

（2）对整个磁盘进行映像备份

先将准备好的外置USB硬盘接到计算机上，再选择“Local”->“Disk”命令，接着确定目标硬盘（即接上的外置USB硬盘），此时可以对目标盘进行分区、格式化等操作。

最后，点击“Yes”按键开始备份，将现场计算机的硬盘完整复制到目标硬盘上。

要注意的是，现场计算机的硬盘不能太大，因为外置USB硬盘的容量一般有限，两者容量要相当，否则会导致复制出错。

（3）网络之间的映像备份

网络之间的映像备份需要两台计算机，且处在同一个网络内部，一台是现场可疑或被攻击的计算机（主机），另一台是存放映像备份文件的计算机（备份机）。

首先选定“Master”（主机）或者“Slave”（备份机），如在被攻击的计算机上操作，需要将它硬盘中的内容备份到另一台计算机上的话，就要选择“Master”，出现一个列表菜单，确定了备份机机器名后，后面的步骤与前两组类似，接着可快速地进行网络上的备份了。

4.在备份好硬盘和分区之后，用“Check”选项对硬盘或者已经生成的备份文件进行检查，看看能否可能因分区、硬盘损坏等原因造成备份或者是映像文件复原的失败。

接着双击ghost文件夹下ghostexp文件图标，打开文件后，选择窗口中的“文件”菜单，打开恰年保存的备份映像文件，可以看到展开映像后所有的文件列表。

5.将映像文件执行hash运算，保证文件的完整性。

3.实验三恢复已被删除的数据

3.1实验目的

1.理解文件存放的原理，懂得数据恢复的可能性。

2.了解几种常用的数据恢复软件如EasyRecovery和RecoverMyFiles。

3.使用其中的一种数据恢复软件、恢复已被删除的文件，恢复已被格式化磁盘上的数据。

3.2实验环境和设备

1.WindowsXP或Windows2000Professional操作系统；

2.数据恢复安装软件；

3.两张可用的软盘（或U盘）和一个安装有windows系统的硬盘。

3.3实验内容和步骤

1.使用EasyRecovery恢复已被删除的磁盘数据：

图-删除之前

图-EasyRecovery找到的文件

图-有一个文件恢复失败，对中文文件名支持也不好

2.使用EasyRecovery恢复已被格式化的磁盘数据：

图-把之前的数据拷回去之后格式化U盘

图-因为U盘太大，扫描耗时较多，就取消了，恢复步骤同上。

4.实验四进行网络监视和流量分析

4.1实验目的

1.理解什么是网络证据，应该采取什么办法收集网络证据。

2.了解网络监视和跟踪的目的，会用WinDump进行网络监视和跟踪。

3.使用Ethereal软件分析数据包，查看二进制捕获文件，找出有效的证据。

4.2实验环境和设备

1.WindowsXP或Windows2000Professional操作系统；

2.网络运行良好；

3.WinPcap、WinDump和Ethereal安装软件。

4.3实验内容和步骤

1.用WinDump和Ethereal模拟网络取证1——Telnet连接抓包：

2.用WinDump和Ethereal模拟网络取证2——SYN泛洪攻击抓包：

图-SYN泛洪攻击

（上半部分为攻击者伪造的SYN包，下面为正常的SYN包）

ARP协议下的数据包截取：

对部分报文的报头的分析：

5.实验五分析Windows系统中隐藏的文件和Cache信息

5.1实验目的

1.学会使用取证分析工具查看Windows操作系统下的一些特殊文件，找出深深隐藏的证据；

2.学会使用网络监控工具监视Internet缓存，进行取证分析。

5.2实验环境和设备

1.WindowsXp或Windows2000Professional操作系统。

2.WindowsFileAnalyzer和CacheMonitor安装软件。

3.一张可用的软盘（或U盘）。

5.3实验内容和步骤

1.用WindowsFileAnalyzer分析Windows系统下隐藏的文件。

WindowsFileAnalyzer软件不需要安装，点击图标可直接进入应用程序窗口，分析Windows操作系统中一些特定的文件，以报告的形式打印出来。

（1）用ThumbnailDatebaseAnalyzer读出Thumbs.db文件。

打开WindowsFileAnalyzer应用窗口，选择“File”->“AnalyzeThumbnail”下拉式菜单，查看Thumbs.db的内容，通过Thumbs.db得到此文件夹中所有的文件内容，导出其中的缩略图，包括那些有不健康内容的图片。

图-往里面加入了不健康的图片

（2）用Index.datAnalyzer分析Index.dat文件。

图-用PrefetchAnalyzer挖出Prefetch文件夹中存储的信息

图-用RecycleBinAnalyzer打开隐藏的回收站，

显示回收站中Info2文件信息

图-用ShortcutAnalyzer找出特定文件夹中的快捷方式，

并显示存储在他们里面的数据

2.用CacheMonitor监控Internet缓存。

3.用WindowsFileAnalyzer和CacheMonitor进行取证分析（注：

由于下载不到CacheMonitor软件，以上两个部分的实验无法完成！

）。

6.实验七数据解密

6.1实验目的

1）理解数据加密的原理，掌握常用的密码破解技术。

2）打开已被加密的现场可以计算机，找到有效的证据证据。

3）将犯罪嫌疑人的重要文件进行破解和分析。

6.2实验环境和设备

1）windowsXP或windows2000Professional操作系统。

2）一些常用密码破解工具。

3）网络运行良好。

6.3实验内容和步骤

（1）用工具软件Cmospwd破解CMOS密码。

（2）通过删除Windows安装目录下的*.pwl密码文件和Profiles子目录下的文件，破解windows密码。

（3）用解密软件UZPC破解ZIP压缩包密码，CRACK破解RAR压缩包密码

（4）使用破解工具AdvancedOfficeXPPasswordRecovery破解word密码。

（5）用GetIp将代表口令的密码号还原成真实的口令。

（6）用网络嗅探器（如Wireshark），嗅探登陆和数据传输事件，

捕获密码和敏感数据。

用工具软件Cmospwd破解CMOS密码：

通过删除Windows安装目录下的*.pwl密码文件和Profiles子目录下的文件，破解windows密码：

用解密软件UZPC破解ZIP压缩包密码，CRACK破解RAR压缩包密码。

使用破解工具AdvancedOfficeXPPasswordRecovery破解word密码：

设置word权限密码：

在工具——选项——安全性中设置密码为999

保存并关闭该文档，然后打开，就需要输入密码

使用工具软件AdvancedOfficeXPPasswordRecovery可以快速破解Word文档密码，点击工具栏按钮“OpenFile”，打开刚才建立的Word文档，程序打开成功后会在LogWindow中显示成功打开的消息：

用GetIp将代表口令的密码号还原成真实的口令：

用网络嗅探器（如Wireshark），嗅探登陆和数据传输事件，捕获密码和敏感数据：

7.实验总结

其实这种攻击和取证的实验在计算机网络以及信息安全工程的实验课上几乎都做过了，但是那时候没有很好的理解原理，所以这次实验也让我很有收获，对于很多相关法律知识和取证原理都有了更深的了解。

通过这几次实验，我发现了自身的不足，比如没有很好的工具使用习惯，考虑问题不周到，对于计算机取证技术的理解不够深入等。

实验过程中经常遇到改IP后就无法ping通的问题，但在实验的过程中我体验到了一分耕耘一分收获的喜悦；多次实验后程序成功运行得到了结果，那时候的欢乐是我以前无法想象的。

果然，学习任何一门课程，只要学得用心，都可以从中体会到学习的快乐。

今后我的进步，想必都是从这一点一点的学习中获得的。