计算机取证技术实验报告

中南大学计算机取证技术实验报告学生姓名学院信息科学与工程学院专业班级完成时间《计算机取证技术》第2页共31页目录1.实验一事发现场收集易失性数据.........................................................................31.1实验目的.........................................................................................................31.2实验环境和设备.............................................................................................31.3实验内容和步骤.............................................................................................32.实验二磁盘数据映像备份.....................................................................................82.1实验目的.........................................................................................................82.2实验环境和设备.............................................................................................82.3实验内容和步骤.............................................................................................83.实验三恢复已被删除的数据...............................................................................153.1实验目的.......................................................................................................153.2实验环境和设备...........................................................................................153.3实验内容和步骤...........................................................................................154.实验四进行网络监视和流量分析.......................................................................194.1实验目的.......................................................................................................194.2实验环境和设备...........................................................................................194.3实验内容和步骤...........................................................................................195.实验五分析Windows系统中隐藏的文件和Cache信息.................................225.1实验目的.......................................................................................................225.2实验环境和设备...........................................................................................235.3实验内容和步骤...........................................................................................236.实验七数据解密...................................................................................................276.1实验目的.......................................................................................................276.2实验环境和设备...........................................................................................286.3实验内容和步骤...........................................................................................287.实验总结...................................................................................................................31《计算机取证技术》第3页共31页计算机取证技术1.实验一事发现场收集易失性数据1.1实验目的1.会创建应急工具箱，并生成工具箱校验和；2.能对突发事件进行初步调查，做出适当的响应；3.能在最低限度地改变系统状态的情况下收集易失性数据。1.2实验环境和设备1.WindowsXP或Windows2000Professional操作系统；2.网络运行良好；3.一张可用的软盘（或U盘）和PsTools工具包。1.3实验内容和步骤1.创建应急工作盘，用命令md5sum创建工具盘上所有命令的校验和，生成文本文件commandsums.txt：《计算机取证技术》第4页共31页2.用time和date命令记录现场计算机的系统时间和日期：《计算机取证技术》第5页共31页3.用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间：《计算机取证技术》第6页共31页4.用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关和网络接口信息：5.用netstat显示现场计算机的网络连接、路由表和网络接口信息：《计算机取证技术》第7页共31页6.用PsLoggedOn命令查看当前哪些用户与系统保持着连接状态：7.用PsTools工具包中的PsList命令记录所有正在运行的进程和当前的连接：《计算机取证技术》第8页共31页2.实验二磁盘数据映像备份2.1实验目的1.理解什么是合格的司法鉴定备份文件，了解选用备份工具的要求；2.能用司法鉴定复制工具对磁盘数据进行备份；3.查看映像备份文件的内容，将文件执行hash计算，保证文件的完整性。2.2实验环境和设备1.WindowsXP或Windows2000Professional操作系统；2.网络运行良好；3.一张可用的软盘（或U盘）和外置USB硬盘。2.3实验内容和步骤1.制作MS-DOS引导盘，给硬盘或分区做映像时提供干净的操作系统。在DOS提示符下键入以下命令来制作引导盘，并将引导盘写保护。C:\formata:\/s或C:\sysa:\软盘的根目录下至少应该有以下三个文件：IO.SYS，COMMAND《计算机取证技术》第9页共31页和MSDOS.SYS。2.下载ghost应用软件存放在A盘或其他盘上，但不要放在准备备份的硬盘或分区上。在A盘上启动MS-DOS，找到ghost文件夹下ghost.exe文件，键入ghost回车。3.使用ghost对磁盘数据进行映像备份，既可以对磁盘的某个分区进行备份，又可以对整个硬盘进行备份，还可以进行网络之间的映《计算机取证技术》第10页共31页像备份。（1）对磁盘的某个分区进行映像备份首先点击“Local”之后，会弹出三个子项：Disk：对整个硬盘进行备份。Partition：对分区进行备份。Check：检查备份文件。选择“Partition”选项，进行磁盘分区备份，现又会弹出三个选项：ToPartition：把一个分区完整地复制到另一个分区中。ToImage：把分区制作成一个映像文件存放。FromImage：回复映像文件。选择“ToImage”来制作映像文件，出现的界面是当前硬盘的选择窗口，选中需要备份的分区之后，再键入映像文件的保存路径和文件名。《计算机取证技术》第11页共31页接下来，系统会询问是采用No（无压缩）、Fast（快速压缩）还是High（高压缩率）中的方式备份，如果选择High模式后，稍等片刻，磁盘分区的映像文件生成了。（2）对整个磁盘进行映像备份先将准备好的外置USB硬盘接到计算机上，再选择“Local”-“Disk”命令，接着确定目标硬盘（即接上的外置USB硬盘），此时可以对目标盘进行分区、格式化等操作。最后，点击“Yes”按键开始备份，将现场计算机的硬盘完整复制到目标硬盘上。要注意的是，现场计算机的硬盘不能太大，因为外置USB硬盘的容量一般有限，两者容量要相当，否则会导致复制出错。《计算机取证技术》第12页共31页（3）网络之间的映像备份网络之间的映像备份需要两台计算机，且处在同一个网络内部，一台是现场可疑或被攻击的计算机（主机），另一台是存放映像备份文件的计算机（备份机）。首先选定“Master”（主机）或者“Slave”（备份机），如在被攻击的计算机上操作，需要将它硬盘中的内容备份到另一台计算机上的话，就要选择“Master”，出现一个列表菜单，确定了备份机机器名后，后面的步骤与前两组类似，接着可快速地进行网络上的备份了。《计算机取证技术》第13页共31页《计算机取证技术》第14页共31页4.在备份好硬盘和分区之后，用“Check”选项对硬盘或者已经生成的备份文件进行检查，看看能否可能因分区、硬盘损坏等原因造成备份或者是映像文件复原的失败。接着双击ghost文件夹下ghostexp文件图标，打开文件后，选择窗口中的“文件”菜单，打开恰年保存的备份映像文件，可以看到展开映像后所有的文件列表。5.将映像文件执行hash运算，保证文件的完整性。《计算机取证技术》第15页共31页3.实验三恢复已被删除的数据3.1实验目的1.理解文件存放的原理，懂得数据恢复的可能性。2.了解几种常用的数据恢复软件如EasyRecovery和RecoverMyFiles。3.使用其中的一种数据恢复软件、恢复已被删除的文件，恢复已被格式化磁盘上的数据。3.2实验环境和设备1.WindowsXP或Windows2000Professional操作系统；2.数据恢复安装软件；3.两张可用的软盘（或U盘）和一个安装有windows系统的硬盘。3.3实验内容和步骤1.使用EasyRecovery恢复已被删除的磁盘数据：《计算机取证技