朗威计算机保密检查取证工具用户手册

计算机保密检查取证工具计算机保密检查取证工具 用户手册用户手册 哈尔滨朗威电子技术开发有限公司哈尔滨朗威电子技术开发有限公司 计算机保密检查取证工具用户手册 目目 录录 第一章计算机保密检查取证工具简介 1 1 概述 1 2 主要功能 1 3 主要特点 2 第二章检查工具使用向导 3 第三章 检查工具使用方法 4 1 检查工具使用方法 4 1 1 检查功能 4 1 2 其他功能 8 1 2 1 文件恢复 8 1 2 2 隐藏文件检索 14 1 2 3 搜索文件 14 1 2 4 保存结果 16 2 涉密版和非涉密版区别 16 计算机保密检查取证工具用户手册 公司简介公司简介 哈尔滨朗威电子技术开发有限公司成立于 1999 年 11 月 5 日 注册资金 300 万元 注册地址在哈尔滨市南岗区学府路 36 2 号朗威大厦 哈尔滨朗威电子技术开发有限公司是国家商用密码产品生产定点单位 具 有涉及国家秘密的计算机信息系统集成资质 全面致力于 信息安全保密产品 信息安全应用产品 的研制 并且是 安全服务 提供商 朗威公司目前已 经形成了多项拥有自主知识产权的信息安全类产品 分别通过保密局 公安部 信息产业部等权威部门认证 并为用户提供专家级的咨询和安全服务 朗威电 子签章系统作为中间件在中央政府采购项目中中标 标志着朗威电子签章技术 在政府公文传输系统中获得认可 并得到广泛推广 多年来 哈尔滨朗威电子技术开发有限公司专注保密市场 专心于保密标 准的研究 专门制作符合保密单项要求的产品 在产品的研发 生产和销售各 个环节完全符合国家相关政策的规定 公司拥有自己的研发队伍 哈尔滨朗威电子技术开发有限公司现有安全产品 朗威桌面安全管理系统 朗威 USB 移动存储介质使用管理系统 朗威涉密信息实时监管系统 朗威电子 签章系统和朗威公文传输系统等 朗威公司凭借专业的行业背景 先进的软件 产品 成熟的技术优势 高素质的技术人才 优越的研发环境为用户提供了完 善的解决方案和专业的技术支持 广泛服务于政府 企业 教育 金融 电信 等领域 为全国各级涉密部门提供安全保障 为全国许多军工单位的军工资质 认证和系统评测提供咨询及技术服务 受到了市场的普遍欢迎 朗威公司充分意识到保密工作的严肃性和重要性 研制出的安全产品严格 执行国家相关标准 政策 得到了国家保密局 各地保密局和军工集团保密办 的肯定 其中 桌面安全管理系统率先通过国家认证 涉密信息实时监管系统 作为全国的优秀模式得到推广 而涉密介质管理系统则是目前唯一能做到对涉 密移动存储介质的外联进行监管的产品 居全国领先地位 哈尔滨朗威电子技术开发有限公司立足龙江 服务全国 提供本地化的安 全服务 以 管理严格 操作规范 功夫到家 的司训 诚信 进取 团队 创新 的企业精神 以服务赢得客户 以创新求得发展 的经营理念和 做一 项工程 树一座丰碑 的服务理念 不断提升公司的技术研发实力 立志使公 计算机保密检查取证工具用户手册 司产品成为全国同类产品最优 服务社会 构建完善的信息安全平台 计算机保密检查取证工具用户手册 1 第一章第一章 计算机保密检查取证工具简介计算机保密检查取证工具简介 1 概述概述 计算机保密检查取证工具 以下简称 检查工具 主要针对各级保密局 政府机 关 军工单位 科研院所等各类机关企事业单位保密管理工作机构使用 进行为保密 部门对本单位计算机系统的保密检查工作提供强有力的检查手段 检查涉密网及非涉 密网在运行中是否发生违规操作及不符合保密要求的操作行为 该产品可以准确 全 面 快捷 方便地提供被检查计算机的相关违规信息等 重点检查涉密计算机是否违 规上互联网 使用非合理的存储介质和非涉密计算机是否违规处理涉密信息等 并提 供数据恢复的深入检查功能 提供当前系统用户 共享 开放端口等相关信息 2 主要功能主要功能 1 系统信息检查 主机名 硬盘序列号 硬盘型号 IP 地址 MAC 地址 操作系统名称 操作 系统安装时间 用户账号情况 多操作系统信息 补丁安装情况 硬盘分区情况 系统驱动信息 2 违规外联检查 历史上网记录信息 Cookies 目录下遗留的上网记录信息 系统临时目录下上 网记录信息 收藏夹下网络信息 注册表上网记录 系统内是否安装无线网卡 常用网络工具 系统是否安装蓝牙设备 是否连接网络 拨号信息 手机设备 深度上网记录 3 违规接入检查 常规移动介质记录 深度移动介质记录 手机设备 打印机安装信息 导入 USB 介质信任列表 4 涉密隐患检查 端口信息 安全策略 多操作系统系统 其他软件信息 进程信息 服务信息 杀毒软件信息 常规系统日志信息 共享信息 深度系统日志信息 计算机保密检查取证工具用户手册 2 5 文件信息检查 历史文件操作记录 其它文件操作记录 最近操作的文档信息 系统数据库 中的文件操作信息 深度文件操作信息 常规文件信息 深度文件信息 删除文 件恢复 3 主要特点主要特点 1 能够准确的检查涉密计算机的上网记录 并进行数据取证 即使通过专业清理 工具对上网信息进行了清除处理 格式化硬盘或重新安装操作系统 本系统仍能够获 得准确的上网信息 2 支持内容检索功能 通过对文件信息检索技术 可以对不同的磁盘分区内的所 有 DOC XLS TXT WPS 等格式文件进行内容搜索 即使用户把存在磁盘的涉密文件或 处理过的涉密文件的操作记录清除掉 本系统也会应用数据恢复技术 把其恢复出来 并进行检查取证 3 系统使用简便 操作界面友好 本系统被存储在专用介质中 无需安装 可直 接在被检查计算机上自动运行 检查人员仅需输入必要的检测配置既可自动进行检测 检测整个过程无须用户干预 检测结束后自动生成检测报告供用户进行检查取证 4 自主知识产权 系统内部设计采用可扩充框架结构 实现检测模块化处理 方 便满足用户个性化二次开发需求 5 能够准确检查移动介质的插拔记录 并在取证报告中显示移动介质的设备名称 序列号 第一次使用时间 最后一次使用时间 PID VID 等信息详尽 6 界面简洁美观 检查结果清晰醒目 计算机保密检查取证工具用户手册 3 第二章第二章 检查工具使用向导检查工具使用向导 本向导会详细地讲解检查工具的各项功能 请您仔细查看使用向导 按照使用向 导的讲解 相信您会很快便能掌握检查工具的使用方法及其奥妙所在 检查工具总共分为了两个版本 一个是涉密专用版 一个是非涉密专用版 检查工具检查工具提供五大方面的检查功能 违规外联检查 涉密隐患检查 违规接入检 查 文件信息检查 系统基本信息检查 违规外联检查针对十二个方面进行检查 其 中包括 历史上网记录信息 Cookies 目录下遗留的上网记录信息 系统临时目录下上 网记录信息 收藏夹下网络信息 注册表上网记录 系统内是否安装无线网卡 常用 网络工具 系统是否安装蓝牙设备 是否连接网络 拨号信息 手机设备 深度上网 记录 涉密隐患检查针对十个方面进行检查 其中包括 端口信息 安全策略 多操 作系统系统 其他软件信息 进程信息 服务信息 杀毒软件信息 常规系统日志信 息 共享信息 深度系统日志信息 违规接入检查针对六个方面进行检查 其中包括 常规移动介质记录 深度移动介质记录 手机设备 打印机安装信息 导入 USB 介质 信任列表 文件信息检查针对七个方面进行检查 其中包括 历史文件操作记录 其 它文件操作记录 最近操作的文档信息 系统数据库中的文件操作信息 深度文件操 作信息 常规文件信息 深度文件信息 删除文件恢复 系统基本信息针对十二个方 面进行检查 其中包括 主机名 硬盘序列号 硬盘型号 IP 地址 MAC 地址 操 作系统名称 操作系统安装时间 用户账号情况 多操作系统信息 补丁安装情况 硬盘分区情况 系统驱动信息 下一章我们将为您讲解检查工具各个功能的具体使用方法 计算机保密检查取证工具用户手册 4 第三章第三章 检查工具使用方法检查工具使用方法 1 检查工具使用方法检查工具使用方法 检查工具主要是对涉密电脑进行全面并且综合的检查 检查计算机当前是否与互 联网相连接 是否存在违规上网记录和痕迹 检查涉密计算机是否曾经拨号上互联网 使用非合理的存储介质等 并提供数据恢复的深入检查 信息检索 文件检索等功能 提供当前系统用户 共享 开放端口等相关信息等 1 1 检查功能检查功能 将计算机保密检查取证工具 光盘 插入被检查计算机中 双击其中的检查工具 启动检查工具 当用户按照使用简介进入检查工具后 可进入检查工具主界面 如 图 1 所示 计算机保密检查取证工具用户手册 5 图 1 检查项目包括五大项 违规外联检查 涉密隐患检查 违规接入检查 文件信息 检查 系统基本信息检查 每一块又包括不同的分项 详细说明如下 系统基本信息检查 系统基本信息检查 主机名 硬盘序列号 硬盘型号 IP 地址 MAC 地址 操作系统名称 操作系统安装时间 用户账号情况 多操作系统信息 补丁安装 情况 硬盘分区情况 系统驱动信息 违规外联检查 违规外联检查 历史上网记录信息 Cookies 目录下遗留的上网记录信息 系统临 时目录下上网记录信息 收藏夹下网络信息 注册表上网记录 系统内是否安装 无线网卡 常用网络工具 系统是否安装蓝牙设备 是否连接网络 拨号信息 手机设备 深度上网记录 涉密隐患检查 涉密隐患检查 端口信息 安全策略 多操作系统系统 其他软件信息 进程信 息 服务信息 杀毒软件信息 常规系统日志信息 共享信息 深度系统日志信 息 违规接入检查 违规接入检查 常规移动介质记录 深度移动介质记录 手机设备 MP3 设备 打印机安装信息 导入 USB 介质信任列表 文件信息检查 文件信息检查 历史文件操作记录 其它文件操作记录 最近操作的文档信息 系统数据库中的文件操作信息 深度文件操作信息 常规文件信息 深度文件信 计算机保密检查取证工具用户手册 6 息 删除文件恢复 用户可通过两种方式对被检查计算机进行一系列检查操作 具体操作如下 方式一 方式一 通过点击 快速开始 菜单下的 检查常规信息 弹出如下对话框 图 2 用户可通过对想要检查的项目进行选择 选择确认后 点击 开始 按钮 既可 对选择的项目进行检查 如用户选择检查全部的项目 则检查结束后 可以在主窗口 中查看相关检查结果 方式二 方式二 通过直接点击工具栏中的 常规检查 功能与方式一方式一相同 常规检查是全面检查功能 如果想进行部分检查可点击 基本信息检查 违 规外联检查 违规接入检查 涉密隐患检查 文件信息检查 按钮 可对一个 或多个项目进行检查以及查看检查结果信息 例如点击 基本信息 工具栏按钮 点击 开始 可通过主窗口对检查结果进行 查看 如图 3 所示 计算机保密检查取证工具用户手册 7 图 3 如果要检查 基本信息 中的一个或者多个项有两种方法 具体操作如下 1 直接点击工具栏中的 基本信息 然后选择其中想要检查的项 如图 4 所示 计算机保密检查取证工具用户手册 8 图 4 2 选择菜单栏中的 系统信息检查 菜单下的单个选项进行检查 也可以在此勾 选其他项 1 2 其他功能其他功能 1 2 1 文件恢复文件恢复 文件恢复 主要分为正常搜索与深度搜索 正常搜索主要检查用户机器中现有存 在的文件 深度搜索主要实现对已经被完全删除文件的查询功能 辅助检查人员准确 地对上网行为等进行检查取证 用户可通过点击如图 1 所示主界面中 文件恢复 工具栏按钮 弹出 磁盘深度 搜索检查工具 界面 如图 5 所示 图 5 一 正常搜索一 正常搜索 正常搜索包括文件分类搜索 文件内容搜索 选择 文件搜索 菜单下的 正常搜索 项或单击工具栏中的 正常搜索 按钮 出现 正常检查 界面 如图 6 所示 计算机保密检查取证工具用户手册 9 图 6 1 文件分类搜索 普通选项 对指定的路径 根据文件或文件夹名 扩展名 日期进行搜索 在 搜索范围 处选择搜索路径 在 要搜索的文件或文件夹名为 处输入要搜 的文件或文件夹名称 在 日期 处选择要搜索的日期 扩展名 处输入要搜索的扩 展名 在 高级选项 处用户可以设置是否搜索子文件夹和搜索目录级别 设置完搜 索条件后 点击 开始 进行文件分类搜索 2 文件内容搜索 关键字选项 对文件正文内容进行搜索 支持 txt word excel wps ppt 等文件格式 在 搜索范围 处选择搜索路径 选中 启动关键字搜索 输入关键字 选择搜 索的格式 在 高级选项 处用户可以设置是否搜索子文件夹和搜索目录级别 设置 完搜索条件后 点击 开始 进行文件内容搜索 在搜索 PDF 压缩文件和图片时需要选择暂存盘 可以对搜索到的文件进行以下操作 打开文件 粉碎文件 查看文件属性 导出 报表 打开文件 在要打开的文件或文件夹上点击鼠标右键 在出现的菜单上选择 打 开文件 即可将该文件打开或将文件夹目录打开 计算机保密检查取证工具用户手册 10 粉碎文件 在要粉碎的文件或文件夹上点击鼠标右键 在出现的菜单上选择 粉 碎文件 或 文件夹粉碎 即可将该文件或文件夹删除 文件属性 在要查看文件属性的文件上点击鼠标右键 在出现的菜单上选择 文 件属性 出现 文件属性 界面 如图 7 所示 图 7 文件属性中包括文件名 所在目录 大小 占用空间 创建时间 修改时间 访 问时间和属性 导出报表 在搜索到的文件上点击鼠标右键 在出现的菜单上选择 导出报表 出现 保存 对话框 如图 8 所示 计算机保密检查取证工具用户手册 11 图 8 在弹出的对话框中 输入用户设定的文件名及选择保存路径后 点击 保存 按钮 既可将搜索到的详细记录以 HTML 形式的报表格式导出 用于查看取证 二 深度搜索二 深度搜索 深度搜索包括文件分类搜索 文件内容搜索 文件恢复 选择 文件搜索 菜单下的 深度搜索 或单击工具栏中的 深度搜索 按钮 打开 深度检查 界面 如图 9 所示 计算机保密检查取证工具用户手册 12 图 9 1 文件分类搜索 普通选项 对指定的路径 根据文件或文件夹名 扩展名 日期进行搜索 在 搜索范围 处选择搜索路径 在 要搜索的文件或文件夹名为 处输入要搜 的文件或文件夹名称 在 日期 处选择要搜索的日期 扩展名 处输入要搜索的扩 展名 在 高级选项 处用户可以设置是否搜索子文件夹和搜索目录级别 设置完搜 索条件后 点击 开始 进行文件分类搜索 2 文件内容搜索 关键字选项 对文件正文内容进行搜索 支持 txt word excel wps ppt 等文件格式 在 搜索范围 处选择搜索路径 选中 启动关键字搜索 输入关键字 选择搜 索的格式 在 高级选项 处用户可以设置是否搜索子文件夹和搜索目录级别 设置 完搜索条件后 点击 开始 进行文件内容搜索 在搜索 PDF 压缩文件和图片时需要选择暂存盘 3 文件恢复 将深度搜索查询到的文件进行恢复 进行文件搜索 对搜索到的已删除文件可以进行一个或多个文件恢复操作 在要 计算机保密检查取证工具用户手册 13 恢复的文件上点击鼠标右键 在出现的菜单上选择 恢复 出现 文件恢复 界面 如图 10 所示 图 10 文件默认恢复保存到 C 盘 选择保存路径以及要恢复的一个或多个文件后 注意 请不要选择与要恢复文件的磁盘相同的路径 选择完路径后 点击 开始 既可成功 恢复被删除的文件 还可以对搜索到的已删除文件进行以下操作 查看文件属性 导出报表 文件属性 在要查看文件属性的文件上点击鼠标右键 在出现的菜单上选择 文 件属性 出现 文件属性 界面 如图 8 所示 其中文件属性中包括文件名 所在目 录 大小 占用空间 创建时间 修改时间 访问时间和属性 导出报表 在搜索到的文件上点击鼠标右键 在出现的菜单上选择 导出报表 出现 保存 对话框 如图 9 所示 在弹出的对话框中 输入用户设定的文件名及选 择保存路径后 点击 保存 按钮 既可将搜索到的详细记录以 HTML 形式的报表格 式导出 用于查看取证 无论在正常搜索还是深度搜索过程中 都可以停止文件搜索 选择 文件搜索 菜单下的 停