计算机取证实验报告

计算机取证技术计算机取证技术 实验报告实验报告 实验一实验一 实验题目 实验题目 用应急工具箱收集易失性数据 实验目的 实验目的 1 会创建应急工具箱 并生成工具箱校验和 2 能对突发事件进行初步调查 做出适当的响应 3 能在最低限度地改变系统状态的情况下收集易失性数据 实验要求 实验要求 1 Windows XP 或Windows 2000 Professional操作系统 2 网络运行良好 3 一张可用U盘 或其他移动介质 和PsTools工具包 实验主要步骤 实验主要步骤 1 将常用的响应工具存入U盘 创建应急工具盘 应急工具盘中的常用工具有 cmd exe netstat exe fport exe nslookup exe nbtstat exe arp exe md5sum exe netcat exe cryptcat exe ipconfig exe time exe date exe等 2 用命令md5sum 可用fsum exe替代 创建工具盘上所有命令的校验和 生成文本文 件commandsums txt保存到工具盘中 并将工具盘写保护 3 用time 和date命令记录现场计算机的系统时间和日期 第 4 5 6 7 和 8 步完成之后再运行一遍time 和date命令 4 用dir命令列出现场计算机系统上所有文件的目录清单 记录文件的大小 访问 时间 修改时间和创建时间 5 用ipconfig命令获取现场计算机的IP地址 子网掩码 默认网关 用 ipconfig all命令获取更多有用的信息 如主机名 DNS服务器 节点类型 网络适配器的 物理地址等 6 用netstat显示现场计算机的网络连接 路由表和网络接口信息 检查哪些端口 是打开的 以及与这些监听端口的所有连接 7 用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态 8 用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接 实验结果 实验结果 心得体会 心得体会 计算机取证工具箱简单方便 无需安装 应急工具箱收集易失性数据 在计 算机取证过程中对案发现场计算机的取证起着关键性的作用 用它可以找出计算机当时所 处的状态 从而收集证据 对于取证人员来说 这个是非常关键的一步 实验二实验二 实验题目实验题目 用应急工具箱收集易失性数据 实验目的实验目的 1 理解文件存放的原理 懂得数据恢复的可能性 2 丁解几种常用的数据恢复软件如 Easy Recovery 和 RecoveryMyFiles 3 使用其中一种数据恢复软件 恢复已被删除的文件 恢复己被格式化磁盘上的数据 实验环境和设备 实验环境和设备 1 Windows Xp 或 Winfjows 2000 Professional 操作系统 2 数据恢复安装软件 3 两张可用的软盘 或 U 盘 和一个安装有 Windows 系统的硬盘 实验主要步骤和实验结果 实验主要步骤和实验结果 实验前的准备工作 在安装数据恢复软件或其他软件之前 先在计算机的逻辑盘 如 D 盘 中创建四 个属于你自己的文件夹 如 Bak F ilel 存放第一张软盘上的备份文件 LostFile1 存放恢复第一张软盘后得到的数据 BakFile2 存放第二张软盘上的备份 文件 和 LoFile2 存放恢复第二张软盘后得到的数据 注意 存放备份文件所在的逻 辑盘 如 D 盘 与你准备安装软件所在的逻辑盘 如 C 盘 不要相同 因为如果相同 安装软件时可能正好把你的备份文件给覆盖掉了 2 EasyRecovery 安装和启动 这里选用 Easy Recovery Professional 软件作为恢复工具 点击 Easy Recovery 图标便可 顺利安装 启动 EasyRecovery 应用程序 主界面上列出了 Easy Recovery 的所有功能 磁盘诊断 数据恢复 文件修复 和 邮件修复 等功能按钮 在取证过程中用得 最多的是 数据恢复 功能 图 1 EasyRecovery 安装和启动 图 2 EasyRecovery 的数据恢复界面 3 使用 EasyRecovery 恢复已被删除的文件 将准备好的软盘 或 U 盘 插入计算机中 删除上面的一部分文件和文件夹如果原 有磁盘中没有文件和文件夹 可以先创建几个 备份到 BakFilel 文件夹下 再将它删除 点击 数据恢复 出现 高级恢复 删除恢复 格式化恢复 和 原始恢复 等按钮 选择 删除恢复 进行快速扫描 查找已删除的目录和文件 接着选择要搜索的 驱动器和文件夹 A 盘或 U 盘图标 出现所有被删除的文件 选择要恢复的文件输入文件 存放的路径 D LostFilel 点击 下一步 恢复完成 并生成删除恢复报告 图 3 EasyRecovery 选择恢复删除的磁盘 图 4 EasyRecovery 扫描文件 图 5 EasyRecovery 扫描结果 比较 BakFilel 文件夹中删除过的文件与 LoatFilel 文件夹中恢复得到的文件 将比较结果 记录下来 图 6 查看需要恢复的文件 图 6 保存需要恢复的文件 心得体会心得体会 使用 Easy Recovery 恢复已被删除的文件非常管用 而且使用方便 通过这次 实验学会了如何恢复不小心被删除的文件 也能对计算机存储介质有了进一步的认识 实验三实验三 实验题目实验题目 分析Windows系统中隐藏的文件和Cache信息 实验目的实验目的 学会使用取证分析工具查看Windows操作系统下的一些特殊文件 找出深深隐藏的证据 学会使用网络监控工具监视Internet缓存 进行取证分析 实验要求 实验要求 Windows Xp 或 Windows 2000 Professional 操作系统 Windows File Analyzer 和 CacheMonitor 安装软件 一张可用的软盘 或u盘 实验主要步骤 实验主要步骤 用Windows File Analyzer分析Windows 系统下隐藏的文件 用CacheMonitor 监控Internet 缓存 用Windows File Analyzer 和 CacheMonitor 进行取证分析 实验结果 实验结果 软件界面 Index dat Analyzer分析Index dat文件 打开prefetch文件夹中存储的信息 打开结果 全部是 pf文件 Shortcut Analyzer找出桌面中的快捷方式 并显示存储在他们中的数据 CacheMonitor操作 心得体会 心得体会 这个实验相对而言比较简单 只要会使用 Windows File Analyzer 了解其功 能和具体的使用方法 但是对其所得到的数据进行分析 还需要进一步的加强学习 实验四实验四 实验目的 实验目的 1 在综合的取证 分析环境中建立案例和保存证据链 2 模拟算机取证的全过程 包括保护现场 获取证据 保存证据 分析证据 提取证 据 实验步骤和实验结果 实验步骤和实验结果 1 用 X Ways Forensics 的 WinHex 版本创建一个新的案例 new case 记录与计算机有 关的的计算机媒体如硬盘 内存 USB CD ROM 和其他有用的文件信息 结合 实际案例结构 设计生产一个证据实体或证据源 生产案例报告单 图 创建镜像文件过程 操作结束 将生成 TXT 格式操作日志 包含如磁盘参数 MD5 值等信息 2 用 X Ways Forensics 的 WinHex 版本对磁盘克隆 将生成的映像文件分步采集 生 成 RAW 原始数据映像文件中的完整目录结构 删除某个文件 对该文件自动恢复 并确定文件类型 接着进行回复 生成删除回复报告 扫描完成后可以看到被删除的文件如下图 文件已被恢复 3 用 X Ways Captures 将正在运行状态下计算机中的所有数据采集到外置 USB 硬盘中 如获取的内存数据被加密保护 在其中找出有价值的口令信息 4 用 X Ways Captures 获取物理内存和虚拟内存中所有正在运行的进程 分析进程 5 用 X Ways Trace 对计算机中的浏览器上网记录信息 回收站的删除记录进行追踪 和分析 6 将第 2 3 4 和 5