计算机取证实验报告.docx
《计算机取证实验报告.docx》由会员分享,可在线阅读,更多相关《计算机取证实验报告.docx(23页珍藏版)》请在冰点文库上搜索。
计算机取证实验报告
《计算机取证技术》
实验报告
实验一
实验题目:
用应急工具箱收集易失性数据
实验目的:
(1)会创建应急工具箱,并生成工具箱校验和。
(2)能对突发事件进行初步调查,做出适当的响应。
(3)能在最低限度地改变系统状态的情况下收集易失性数据。
实验要求:
(1)WindowsXP或Windows2000Professional操作系统。
(2)网络运行良好。
(3)一张可用U盘(或其他移动介质)和PsTools工具包。
实验主要步骤:
(1)将常用的响应工具存入U盘,创建应急工具盘。
应急工具盘中的常用工具有cmd.exe;netstat.exe;fport.exe;nslookup.exe;nbtstat.exe;arp.exe;md5sum.exe;netcat.exe;cryptcat.exe;ipconfig.exe;time.exe;date.exe等。
(2)用命令md5sum(可用fsum.exe替代)创建工具盘上所有命令的校验和,生成文本文件commandsums.txt保存到工具盘中,并将工具盘写保护。
(3)用time和date命令记录现场计算机的系统时间和日期,第(4)、(5)、(6)、(7)和(8)步完成之后再运行一遍time和date命令。
(4)用dir命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间。
(5)用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关,用ipconfig/all命令获取更多有用的信息:
如主机名、DNS服务器、节点类型、网络适配器的物理地址等。
(6)用netstat显示现场计算机的网络连接、路由表和网络接口信息,检查哪些端口是打开的,以及与这些监听端口的所有连接。
(7)用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。
(8)用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。
实验结果:
心得体会:
计算机取证工具箱简单方便,无需安装,应急工具箱收集易失性数据,在计算机取证过程中对案发现场计算机的取证起着关键性的作用,用它可以找出计算机当时所处的状态,从而收集证据。
对于取证人员来说,这个是非常关键的一步。
实验二
实验题目:
用应急工具箱收集易失性数据
实验目的:
1.理解文件存放的原理,懂得数据恢复的可能性。
2.丁解几种常用的数据恢复软件如EasyRecovery和RecoveryMyFiles
3.使用其中一种数据恢复软件、恢复已被删除的文件,恢复己被格式化磁盘上的数据。
实验环境和设备:
(1)WindowsXp或Winfjows2000Professional操作系统。
(2)数据恢复安装软件。
(3)两张可用的软盘(或U盘)和一个安装有Windows系统的硬盘。
实验主要步骤和实验结果:
实验前的准备工作
在安装数据恢复软件或其他软件之前,先在计算机的逻辑盘(如D盘)中创建四个属于你自己的文件夹,如:
BakF'ilel(存放第一张软盘上的备份文件)、LostFile1(存放恢复第一张软盘后得到的数据)BakFile2(存放第二张软盘上的备份文件)和LoFile2(存放恢复第二张软盘后得到的数据)注意:
存放备份文件所在的逻辑盘(如D盘)与你准备安装软件所在的逻辑盘(如C盘)不要相同,因为如果相同,安装软件时可能正好把你的备份文件给覆盖掉了。
(2)EasyRecovery安装和启动
这里选用EasyRecoveryProfessional软件作为恢复工具,点击EasyRecovery图标便可顺利安装,启动EasyRecovery应用程序,主界面上列出了EasyRecovery的所有功能:
“磁盘诊断”、“数据恢复”、“文件修复”和“邮件修复”等功能按钮”在取证过程中用得最多的是“数据恢复”功能。
图1EasyRecovery安装和启动
图2EasyRecovery的数据恢复界面
(3)使用EasyRecovery恢复已被删除的文件。
,
①将准备好的软盘(或U盘)插入计算机中,删除上面的一部分文件和文件夹如果原有磁盘中没有文件和文件夹,可以先创建几个,备份到BakFilel文件夹下,再将它删除。
②点击“数据恢复”,出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮,选择“删除恢复”进行快速扫描,查找已删除的目录和文件,接着选择要搜索的驱动器和文件夹(A盘或U盘图标)。
出现所有被删除的文件,选择要恢复的文件输入文件存放的路径D:
LostFilel,点击“下一步”恢复完成,并生成删除恢复报告。
图3EasyRecovery选择恢复删除的磁盘
图4EasyRecovery扫描文件
图5EasyRecovery扫描结果
③比较BakFilel文件夹中删除过的文件与LoatFilel文件夹中恢复得到的文件,将比较结果记录下来。
图6查看需要恢复的文件
图6保存需要恢复的文件
心得体会:
使用EasyRecovery恢复已被删除的文件非常管用,而且使用方便,通过这次实验学会了如何恢复不小心被删除的文件。
也能对计算机存储介质有了进一步的认识。
实验三
实验题目:
分析Windows系统中隐藏的文件和Cache信息
实验目的:
学会使用取证分析工具查看Windows操作系统下的一些特殊文件,找出深深隐藏的证据。
学会使用网络监控工具监视Internet缓存,进行取证分析。
实验要求:
WindowsXp或Windows2000Professional操作系统
WindowsFileAnalyzer和CacheMonitor安装软件
一张可用的软盘(或u盘)
实验主要步骤:
用WindowsFileAnalyzer分析Windows系统下隐藏的文件。
用CacheMonitor监控Internet缓存。
用WindowsFileAnalyzer和CacheMonitor进行取证分析。
实验结果:
软件界面
Index.datAnalyzer分析Index.dat文件
打开prefetch文件夹中存储的信息,打开结果,全部是.pf文件
ShortcutAnalyzer找出桌面中的快捷方式,并显示存储在他们中的数据
CacheMonitor操作
心得体会:
这个实验相对而言比较简单,只要会使用WindowsFileAnalyzer,了解其功能和具体的使用方法,但是对其所得到的数据进行分析,还需要进一步的加强学习。
实验四
实验目的:
(1)在综合的取证、分析环境中建立案例和保存证据链。
(2)模拟算机取证的全过程,包括保护现场、获取证据,保存证据,分析证据,提取证据。
实验步骤和实验结果:
(1)用X-WaysForensics的WinHex版本创建一个新的案例newcase,记录与计算机有关的的计算机媒体如硬盘,内存,USB,CD-ROM和其他有用的文件信息,结合实际案例结构,设计生产一个证据实体或证据源,生产案例报告单。
图创建镜像文件过程
操作结束,将生成TXT格式操作日志,包含如磁盘参数、MD5值等信息。
(2)用X-WaysForensics的WinHex版本对磁盘克隆,将生成的映像文件分步采集,生成RAW原始数据映像文件中的完整目录结构,删除某个文件,对该文件自动恢复,并确定文件类型,接着进行回复,生成删除回复报告。
扫描完成后可以看到被删除的文件如下图
文件已被恢复。
(3)用X-WaysCaptures将正在运行状态下计算机中的所有数据采集到外置USB硬盘中,如获取的内存数据被加密保护,在其中找出有价值的口令信息。
(4)用X-WaysCaptures获取物理内存和虚拟内存中所有正在运行的进程,分析进程。
(5)用X-WaysTrace对计算机中的浏览器上网记录信息,回收站的删除记录进行追踪和分析。
(6)将第
(2),(3),(4)和(5)步中得到的数据信息和分析结果计算hash值后保存,再将数据信息和分析结果添加到第一步的案例管理中进行组合和分类,并且对其可信度进行检验,将有效的证据纳入最终的证据集。
心得体会:
这个实验比较难,做这个实验最大的感触是计算机取证是一件需要很大的耐心和细心的事情,在实验指导书和自己的摸索下才会使用X-WaysForensics,这个工具非常不错。
升级会员 