在线取证系统--操作手册.doc

蓝盾在线取证系统蓝盾在线取证系统 操作手册操作手册 广东天海威数码技术有限公司 日期 2006 09 24 在线取证系统 操作手册 广东天海威数码技术有限公司 第 1 页 共 65 页 目 录 1 概述 1 1 1 系统简介 1 1 2 系统部署 1 1 3 系统特点 1 2 系统界面 1 2 1 存储媒介获取系统 1 2 2 易丢失数据获取系统 1 3 操作指南 存储媒介获取系统 1 3 1 准备工作 1 3 2 克隆宿主计算机物理磁盘 1 3 3 克隆宿主计算机物理磁盘中的一个分区 1 3 4 克隆宿主计算机逻辑磁盘 1 3 5 将宿主计算机磁盘数据复制到文件 1 3 6 提取宿主计算机磁盘中的某一存储区域 1 3 7 复制宿主计算机存储媒介上的文件 1 3 8 在宿主计算机存储媒介上搜索文件 1 4 操作指南 易丢失数据获取系统 1 4 1 准备工作 1 4 2 提取宿主计算机的网络类易丢失数据 1 4 3 提取宿主计算机的进程类易丢失数据 1 4 4 提取宿主计算机的自启动程序数据 1 4 5 提取宿主计算机的物理内存数据 1 4 6 提取宿主计算机的应用程序内存数据 1 4 7 浏览宿主计算机的物理内存 1 4 8 浏览宿主计算机的应用程序内存 1 4 9 比对两次提取的易丢失数据 1 4 10 阅读已经提取的易丢失数据 1 5 典型应用 1 5 1 宿主计算机存储媒介的提取 1 5 2 宿主计算机易丢失数据的提取 1 6 名词解释 1 在线取证系统 操作手册 广东天海威数码技术有限公司 第 2 页 共 65 页 1 1 概述 概述 1 1 系统简介系统简介 蓝盾在线取证系统是一套基于光盘运行的证据提取系统 蓝盾 在线取证系统的任务是将用户需要获取的存储媒介 易丢失数据等 证据信息快速提取到 USB 1394 等移动存储设备上 并在提取的同 时进行校验 主要包括 PE 启动光盘 存储媒介获取系统和易丢失 数据获取系统三部分 其中 PE 启动光盘 提供图形界面的光盘启动操作环境 对宿主计算 机原有存储设备只读 并支持 FAT16 FAT32 NTFS EXT2 EXT3 等 磁盘文件系统 PE 操作环境支持简体 繁体等中文编码 PE 操作环 境支持对 USB 1394 等移动存储设备的即插即用 存储媒介获取系统 提供将宿主计算机原有存储媒介快速复制 到移动设备的功能 可以用来提取宿主计算机的物理存储媒介 逻 辑存储媒介 分区 存储区域 文件等静态存储媒介 支持在复制 的过程中同步计算校验码 易丢失数据获取系统 提供对宿主计算机易丢失数据的快速获 取 比对功能 可以用来提取宿主计算机的基本信息 网络连接 网络服务程序 网络访问程序 进程 文件访问 物理内存 应用 程序内存 虚拟内存等动态信息 在线取证系统 操作手册 广东天海威数码技术有限公司 第 3 页 共 65 页 1 2 系统部署系统部署 蓝盾在线取证系统无须安装 根据任务的不同可采用两种运行 方式 1 光盘启动方式 用于提取宿主计算机的存储媒介 使用本方 式时 系统对宿主计算机的存储媒介只读 提取的数据存储到 1394 USB 等移动存储设备 2 光盘运行方式 用于提取宿主计算机当前的动态运行信息 使用本方式时 系统对宿主计算机的基本信息 网络连接 网络服 务程序 网络访问程序 进程 文件访问 物理内存 应用程序内 存 虚拟内存等动态信息进行快速提取 阅读 比对及取证 1 3 系统特点系统特点 1 宿主计算机的存储媒介只读 2 支持包括 FAT16 FAT32 NTFS EXT2 EXT3 等多种文件系 统格式 3 存储媒介的提取方式多样 支持物理磁盘 分区 逻辑磁盘 存储区域 文件 目录等多种复制源 4 速度快 最高可达 2GB 分钟 5 支持对各种易丢失数据的快速获取 包括基本信息 网络连 接 网络服务程序 网络访问程序 进程 文件访问 物理内存 在线取证系统 操作手册 广东天海威数码技术有限公司 第 4 页 共 65 页 应用程序内存 虚拟内存等 2 2 系统界面系统界面 2 1 存储媒介获取系统存储媒介获取系统 2 1 1 主界面主界面 如图所示 存储媒介获取系统系统主界面由系统菜单 工具栏 设备面板 数据区 信息区等部分组成 其中 系统菜单 提供系统具备的各种功能操作菜单 包括文件 编 辑 取证 显示 窗口等菜单 工具栏 提供常用功能的快捷操作按钮 包括打开 另存 在线取证系统 操作手册 广东天海威数码技术有限公司 第 5 页 共 65 页 为 搜索 前进 后退 退出等功能按钮 设备面板 显示宿主计算机的物理存储设备表 以及关联的逻 辑设备表 显示当前移动设备列表 数据区 显示物理设备 逻辑设备 目录 文件列表 信息区 显示当前资源的常规信息 2 1 2 系统菜单和工具栏系统菜单和工具栏 文件 包括打开 另存为 设置取证参数 退出等子菜单 其中 打开 根据文件类型打开选中的文件 打开方式包括文本 WORD 二进制等方式 另存为 将当前浏览的文件保存为另一个文件 设置取证据参数 弹出参数设置窗体 设置案件的基本信 息和取证的基本参数 编辑 包括搜索 阅读 自动识别编码 自动识别文件类型 获取文件版本信息等子菜单 其中 搜索 弹出搜索窗体搜索符合指定条件的文件 阅读 打开被选择的资源 显示资源的内容 包括物理磁 盘 逻辑磁盘 文件等 自动识别编码 选中本项时系统在打开文件时按照文件的 在线取证系统 操作手册 广东天海威数码技术有限公司 第 6 页 共 65 页 编码类型自动使用对应的解析插件 自动识别文件类型 选中本项时系统在打开文件时按照文 件的类型使用不同的打开阅读方式 获取文件版本信息 选中本项时系统获取文件列表时同步 获取文件的版本信息 取证 包括物理磁盘取证 分区取证 逻辑磁盘取证 存储 区域取证 文件取证等子菜单 显示 包括新建搜索窗口和系统工具等子菜单 2 1 3 设备面板设备面板 设备面板由宿主计算机 移动设备两类设备树组成 用来显示 宿主计算机当前的存储设备列表 其中 宿主计算机 显示宿主计算机存储媒介树 移动设备 显示当前接入的移动设备树 设备面板支持鼠标右键弹出菜单操作 包括搜索 取证 阅读 属性等快捷子菜单 其中 搜索 弹出搜索窗体 开启一个文件搜索任务 取证 弹出取证窗体 开启一个取证任务 阅读 弹出阅读窗体 显示当前资源的内容 属性 弹出属性窗体 显示当前资源的常规属性信息 在线取证系统 操作手册 广东天海威数码技术有限公司 第 7 页 共 65 页 2 1 4 数据区数据区 数据区由设备视图 文件表组成 数据区的内容与设备面板联 动 显示设备面板当前设备下的一级子树 数据区支持鼠标右键弹出菜单操作 包括搜索 取证 阅读 属性等快捷子菜单 其中 搜索 弹出搜索窗体 开启一个文件搜索任务 取证 弹出取证窗体 开启一个取证任务 阅读 弹出阅读窗体 显示当前资源的内容 属性 弹出属性窗体 显示当前资源的常规属性信息 2 1 5 主要操作窗口主要操作窗口 1 资源搜索窗体 功能 在宿主计算机存储媒介中搜索指定条件的资源 组成 由搜索助理 结果区两部分组成 选项 搜索助理中可设置的搜索条件项目包括文件名 文件内 容 地址范围 时间范围 大小范围等 按钮 包括搜索 取消 确定等按钮 点击 搜索 按钮开始搜 索 点击 取消 按钮终止搜索 点击 确定 按钮关闭搜索助理 菜单 搜索结果区支持鼠标右键弹出菜单 包括阅读 取证 属性等子菜单 在线取证系统 操作手册 广东天海威数码技术有限公司 第 8 页 共 65 页 搜索结束后 在搜索助理栏显示符合搜索条件的文件数量 在 结果区中显示满足条件的文件列表 2 物理磁盘取证窗体 功能 将宿主计算机的物理磁盘复制到移动磁盘 复制结果可 以是磁盘克隆 也可以是磁盘数据文件 在线取证系统 操作手册 广东天海威数码技术有限公司 第 9 页 共 65 页 选项 包括物理磁盘 移动磁盘 存储方式 同步进行校验等 其中 物理磁盘是要复制的宿主计算机源存储设备 移动磁盘是复 制的目的地 存储方式是复制的结果类型 当选中 以文件方式存放 时 系统按照物理磁盘的逻辑存储顺序将物理磁盘整盘写到目标文件 否则系统将以克隆方式整盘复制源盘到移动磁盘 同步进行校验是 指是否在复制的过程中同步计算 MD5 校验码 按钮 包括开始 取消等 点击 开始 按钮开始复制 点击 取 消 按钮终止复制 3 分区取证窗体 功能 将宿主计算机物理磁盘的指定分区复制到移动磁盘 复 制结果可以是分区克隆 也可以是磁盘数据文件 在线取证系统 操作手册 广东天海威数码技术有限公司 第 10 页 共 65 页 选项 包括物理分区 移动磁盘 存储方式 同步进行校验等 其中 物理分区是要复制的宿主计算机源存储分区 移动磁盘是复 制的目的地 存储方式是复制的结果类型 当选中 以文件方式存放 时 系统按照物理分区的逻辑存储顺序将物理分区整盘写到目标文件 否则系统将以克隆方式复制分区到移动磁盘 同步进行校验是指是 否在复制的过程中同步计算 MD5 校验码 按钮 包括开始 取消等 点击 开始 按钮开始复制 点击 取 消 按钮终止复制 4 逻辑磁盘取证窗体 功能 将宿主计算机指定逻辑磁盘复制到移动磁盘 复制结果 可以是逻辑磁盘克隆 也可以是磁盘数据文件 选项 包括逻辑磁盘 移动磁盘 存储方式 同步进行校验等 其中 逻辑磁盘是要复制的宿主计算机源逻辑存储设备 移动磁盘 是复制的目的地 存储方式是复制的结果类型 当选中 以文件方式 在线取证系统 操作手册 广东天海威数码技术有限公司 第 11 页 共 65 页 存放 时 系统按照逻辑磁盘的存储顺序将物理分区整盘写到目标文 件 否则系统将以克隆方式复制逻辑磁盘到移动磁盘 同步进行校 验是指是否在复制的过程中同步计算 MD5 校验码 按钮 包括开始 取消等 点击 开始 按钮开始复制 点击 取 消 按钮终止复制 5 存储区域取证窗体 功能 将宿主计算机物理磁盘或逻辑磁盘中指定的区域复制到 移动磁盘数据文件 在线取证系统 操作手册 广东天海威数码技术有限公司 第 12 页 共 65 页 选项 包括宿主磁盘 开始扇区 扇区数量 目的文件 同步 进行校验等 其中 宿主磁盘是要复制存储区域的宿主计算机存储 设备 开始扇区是要复制的存储区域起始地址 扇区数量是要复制 的存储区域大小 同步进行校验是指是否在复制的过程中同步计算 MD5 校验码 按钮 包括开始 取消等 点击 开始 按钮开始复制 点击 取 消 按钮终止复制 6 文件取证窗体 功能 将宿主计算机存储媒介中指定的文件集合复制到移动磁 盘中 选项 包括源文件列表 保存地址 同步进行校验等 其中 在线取证系统 操作手册 广东天海威数码技术有限公司 第 13 页 共 65 页 源文件列表是要复制的宿主计算机文件集合 保存地址是要复制到 的目的路径 同步进行校验是指是否在复制的过程中同步计算 MD5 校验码 按钮 包括增加 删除 全清 开始 取消等 点击 开始 按 钮开始复制 点击 取消 按钮终止复制 增加 按钮用来向源文件列 表添加要复制的文件 删除 按钮用来从源文件列表中删除指定的 文件项 全清 按钮用来清除源文件列表中的所有文件项 在线取证系统 操作手册 广东天海威数码技术有限公司 第 14 页 共 65 页 2 2 易丢失易丢失数据获取系统数据获取系统 2 2 1 主窗口主窗口 如图所示 易丢失数据获取系统主窗体主要由系统菜单 工具 栏 数据列表 数据区等部分组成 其中 系统菜单 包括文件 编辑 任务 显示 工具等子菜单组成 工具栏 建立档案 执行 终止 取证 退出等按钮组成 数据列表 由档案树 历史数据树等部分组成 数据区 用来显示数据列表中选择的数据内容 在线取证系统 操作手册 广东天海威数码技术有限公司 第 15 页 共 65 页 2 2 2 系统菜单和工具栏系统菜单和工具栏 文件 包括新建档案 打开 另存为 设置取证参数 退出 等子菜单 其中 新建档案 在档案列表中建立一个新的易丢失数据工作集 合 打开 将保存的易丢失数据文件添加到历史数据区中以便 浏览比对 另存为 将当前选择的易丢失数据保存到另一个文件 设置取证参数 设置提取证据需要的一些基本信息 包括 案件信息和存储参数等 编辑 包括取证 比对 删除数据文件 浏览物理内存 浏 览进程内存等子菜单 其中 取证 对当前选择的易丢失数据进行取证 比对 比较两个不同时间获取的易丢失数据的差异 删除数据文件 删除当前选择的易丢失数据文件 浏览物理内存 按页显示宿主计算机的物理内存中的数据 浏览进程内存 按页显示宿主计算机某一进程使用的物理 内存 虚拟内存中的数据 在线取证系统 操作手册 广东天海威数码技术有限公司 第 16 页 共 65 页 任务 包括运行 停止 删除档案 自动比对等子菜单 其 中 运行 对当前选择的档案包含的易丢失数据集合进行提取 停止 终止当前正在提取易丢失数据的工作 删除档案 从档案列表中删除当前选择的档案 并同时删 除该档案下的易丢失数据文件 2 2 3 数据列表数据列表 数据列表区域由档案列表和历史数据列表两部分组成 其中 档案列表 显示用户建立的易丢失数据工作档案 以及各档案 对应提取的易丢失数据文件 历史数据 显示用户打开 加载 的已提取的易丢失数据文件 数据列表区域支持鼠标右键弹出菜单 包括比对 取证等快捷 子菜单 2 2 4 主要操作窗口主要操作窗口 1 建立新档案窗体 功能 用来向主窗体数据列表中加入一个新的易丢失数据提取 档案 选项 包括系统基本信息 网络连接状态 开启网络服务的程 在线取证系统 操作手册 广东天海威数码技术有限公司 第 17 页 共 65 页 序 进行网络访问的程序 系统进程信息 被调用打开的文件 进 程打开的文件信息 系统自启动程序 物理内存 应用程序内存等 易丢失数据选择项 还包括定时获取易丢失数据选择项等 其中 系统基本信息 选择此项档案将获取宿主计算机的操作系 统 存储设备 网络设备等信息 网络连接状态 选择此项档案将获取宿主计算机当前的网 络连接状态信息 开启网络服务的程序 选择此项档案将获取宿主计算机当 前开启的网络服务信息 进行网络访问的程序 选择此项档案将获取宿主计算机当 前访问网络的应用程序信息 系统进程信息 选择此项档案将获取宿主计算机当前运行 的进程信息 在线取证系统 操作手册 广东天海威数码技术有限公司 第 18 页 共 65 页 被调用打开的文件 选择此项档案将获取宿主计算机当前 被调用打开的文件信息 进程打开的文件信息 选择此项档案将获取宿主计算机进 程打开的文件信息 系统自启动程序 选择此项档案将获取宿主计算机当前正 在运行的自启动进程信息 以及计算机中各自启动配置项信息 物理内存 选择此项档案将获取宿主计算机当前物理内存 中的数据 其中物理内存的获取范围未指定时获取宿主计算机 全部物理内存数据 应用程序内存 选择此项档案将获取宿主计算机指定进程 使用的物理内存 虚拟内存中的数据 其中虚拟内存可以根据 指定的保护属性和页面状态获取虚拟内存的特定集合 默认选 择 WINDOWS 任务管理器中显示的虚拟内存范围 的保护属 性为读写 拷贝 执行 执行读写 执行拷贝 间隔 选择此项系统将按照设定的时间间隔定时获取各易 丢失数据 2 易丢失数据文件数据浏览窗体 本窗体为主窗体中的数据区 根据选择的易丢失数据类型不同 显示不同的窗体结构 在线取证系统 操作手册 广东天海威数码技术有限公司 第 19 页 共 65 页 文本信息浏览 显示易丢失数据文件中存储的系统基本信息等 文本信息 网络信息浏览 显示易丢失数据文件中存储的网络连接状态 开启网络服务的程序 访问网络的程序等网络信息 进程信息浏览 显示易丢失数据文件中存储的系统进程 被调 用打开的文件 进程打开的文件等进程 文件信息 在线取证系统 操作手册 广东天海威数码技术有限公司 第 20 页 共 65 页 自启动程序浏览 显示易丢失数据文件中存储的自启动程序信 息 以及系统自启动程序项信息 在线取证系统 操作手册 广东天海威数码技术有限公司 第 21 页 共 65 页 物理内存浏览 显示易丢失数据文件中的物理内存数据 应用程序内存浏览 显示易丢失数据文件中存储的应用程序内 存数据 在线取证系统 操作手册 广东天海威数码技术有限公司 第 22 页 共 65 页 其中内存的属性标记描述如下 RO 该页内存属性为只读 E 该页内存属性为可执行 RW 该页内存属性为可读可写 CW 该页内存属性为允许拷贝 S 该页内存属性为共享 P 该页内存属性为应用程序私有内存 V 该页内存属性为虚拟内存 I 该页内存页面状态为映像文件 M 该页内存页面状态为数据文件 G 该页内存属性为消息 N 该页内存属性为已停用缓存 3 比对窗体 功能 用来选择要比对的易丢失数据文件 以及要比对的数据 类型 在线取证系统 操作手册 广东天海威数码技术有限公司 第 23 页 共 65 页 按钮 包括确定 取消等按钮 其中 确定 用来开始比对 取消 按钮用来终止比对 比对结果窗体如下 其中 红色字体显示的是当前文件中与比对文件的不同之处 兰色字体显示的是比对文件与当前文件的不同之处 4 浏览物理内存窗体 在线取证系统 操作手册 广东天海威数码技术有限公司 第 24 页 共 65 页 功能 浏览宿主计算机物理内存的当前数据 转到 显示指定页面的物理内存 前页 显示前一页物理内存 后页 显示后一页物理内存 保存 将当前显示页面的物理内存保存到指定的文件中 5 浏览应用程序内存窗体 功能 浏览宿主计算机指定进程使用的物理内存和虚拟内存数 据 窗体包括进程基本信息区 内存页表区和内存数据区三部分 其中 进程基本信息区 显示进程内存使用上的统计信息 内存页表区 显示进程使用的内存的内存页表信息 在线取证系统 操作手册 广东天海威数码技术有限公司 第 25 页 共 65 页 内存数据区 显示指定页的内存数据 刷新 更新进程选择框中的进程表 转到 显示指定页面的应用程序内存 前页 显示前一页应用程序内存 后页 显示后一页应用程序内存 保存 将当前显示页面的应用程序内存保存到指定的文件中 在线取证系统 操作手册 广东天海威数码技术有限公司 第 26 页 共 65 页 3 3 操作指南 操作指南 存储媒介获取系统存储媒介获取系统 3 1 准备工作准备工作 1 插入在线取证系统光盘 重新启动计算机 2 插入存储取证操作日志的移动磁盘和存储证据数据的移动磁 盘 3 运行存储媒介获取系统 设置取证参数 其中 案件编号 案件名称填写准备使用提取的证据的案件的 编号和名称 操作人员填写操作本系统的案件侦察人员姓名 日志 存放地址填写存储取证操作日志的移动磁盘中的路径 系统将在该 路径下自动建立一个以案件编号为名称的子目录 如果需要调整系统时间 则惦记 校对系统时间 按钮弹出时间 设置窗体 修改日期 时间和时区 在线取证系统 操作手册 广东天海威数码技术有限公司 第 27 页 共 65 页 3 2 克隆宿主计算机物理磁盘克隆宿主计算机物理磁盘 克隆宿主计算机物理磁盘是指将宿主计算机的物理磁盘整盘复 制到移动磁盘上 注意 使用此方式将丢失移动磁盘原有的数据 注意 使用此方式将丢失移动磁盘原有的数据 操作步骤如下 1 选择要克隆的源物理磁盘 点击鼠标右键 取证 菜单 2 选择目的磁盘为准备存储证据的移动磁盘 3 点击 开始 按钮开始物理磁盘克隆 在线取证系统 操作手册 广东天海威数码技术有限公司 第 28 页 共 65 页 3 3 克隆宿主计算机物理磁盘中的一个分区克隆宿主计算机物理磁盘中的一个分区 克隆宿主计算机物理磁盘分区是指将宿主计算机的物理磁盘的 某一分区复制到移动磁盘上 注意 使用此方式时移动磁盘必须有未分区区域 并且未分区注意 使用此方式时移动磁盘必须有未分区区域 并且未分区 区域容量必须大于要复制的分区容量 区域容量必须大于要复制的分区容量 操作步骤如下 1 选择要克隆的源物理磁盘分区 点击鼠标右键 取证 菜单 2 选择目的磁盘为准备存储证据的移动磁盘 在线取证系统 操作手册 广东天海威数码技术有限公司 第 29 页 共 65 页 3 点击 开始 按钮开始物理磁盘克隆 3 4 克隆宿主计算机逻辑磁盘克隆宿主计算机逻辑磁盘 克隆宿主计算机逻辑磁盘是指将宿主计算机的逻辑磁盘复制到 移动磁盘上 注意 使用此方式时移动磁盘必须有未分区区域 并且未分区注意 使用此方式时移动磁盘必须有未分区区域 并且未分区 区域容量必须大于要复制的逻辑磁盘容量 区域容量必须大于要复制的逻辑磁盘容量 操作步骤如下 1 点击 逻辑磁盘取证 菜单 2 选择要复制的逻辑磁盘 在线取证系统 操作手册 广东天海威数码技术有限公司 第 30 页 共 65 页 3 选择目的磁盘为准备存储证据的移动磁盘 4 点击 开始 按钮开始逻辑磁盘克隆 3 5 将宿主计算机磁盘数据复制到文件将宿主计算机磁盘数据复制到文件 存储媒介获取系统除支持物理磁盘 逻辑磁盘 分区的克隆外 还可以将上述存储媒介以文件方式复制到移动磁盘上 注意 使用此方式时移动磁盘必须有大于要复制的存储媒介的注意 使用此方式时移动磁盘必须有大于要复制的存储媒介的 容量 容量 磁盘数据复制的结果文件可以以文件虚拟磁盘 分区 逻辑磁 盘复制 文件虚拟设备 物理磁盘复制 访问其中的内容 也可以 通过系统校验工具将磁盘数据复制的结果文件回写到磁盘上 以访 问磁盘文件系统的方式来访问 操作步骤如下 1 点击进入物理磁盘 分区或逻辑磁盘取证取证窗体 在线取证系统 操作手册 广东天海威数码技术有限公司 第 31 页 共 65 页 2 选择存储方式为 以文件方式存放 3 设置存储目标文件名 4 点击 开始 按钮开始磁盘数据复制 3 6 提取宿主计算机磁盘中的某一存储区域提取宿主计算机磁盘中的某一存储区域 存储媒介获取系统可以提取物理磁盘 逻辑磁盘或分区中的特 定存储区域 提取结果以文件方式存储在移动磁盘上 操作步骤如下 1 点击进入存储区域取证窗体 2 选择要提取的存储区域所在的设备 在线取证系统 操作手册 广东天海威数码技术有限公司 第 32 页 共 65 页 3 选择要提取的存储区域范围 4 选择结果文件存储地址 5 点击 开始 按钮开始磁盘数据复制 在线取证系统 操作手册 广东天海威数码技术有限公司 第 33 页 共 65 页 3 7 复制宿主计算机存储媒介上的文件复制宿主计算机存储媒介上的文件 存储媒介获取系统可以提取宿主计算机存储媒介上的指定文件 目录 文件目录集合 并将提取的文件存储在移动磁盘上 操作步骤如下 1 点击进入文件取证窗体 2 点击 增加 按钮设置要复制的文件 3 设置复制的目的地址 4 设置同步校验选项 在线取证系统 操作手册 广东天海威数码技术有限公司 第 34 页 共 65 页 5 点击 开始 按钮开始磁盘文件复制 3 8 在宿主计算机存储媒介上搜索文件在宿主计算机存储媒介上搜索文件 存储媒介获取系统可以按照设定的条件搜索宿主计算机存储媒 介上的文件 操作步骤如下 1 点击进入搜索窗体 在线取证系统 操作手册 广东天海威数码技术有限公司 第 35 页 共 65 页 2 设置搜索条件 存储媒介获取系统的搜索条件包括文件名 文件内容 地址范 围 时间范围 文件大小等 其中 文件名 用来按照文件名对系统进行搜索 系统支持使用 通配符进行搜索 例如 要搜索以 fwd 开头 类型为 log 的所有日 志文件 则输入 fwd log 文件内容 用来按照关键字对文件的内容进行搜索 例如 要 搜索文件内容中包含 fwd 的文件 则输入 fwd 地址范围 用来指定搜索的存储范围 系统支持对宿主计算机 全部存储媒介 物理磁盘 逻辑磁盘和目录中的文件进行搜索 例 在线取证系统 操作手册 广东天海威数码技术有限公司 第 36 页 共 65 页 如要搜索某一指定目录下的文件 则点击项选 择要搜索的目录 时间范围 用来指定要搜索的文件的时间范围 系统支持对文 件的建立时间 最后修改时间 最后访问时间进行搜索 例如 要 搜索在 2006 年 05 月 01 日到 2006 年 05 月 07 日建立的文件 则设 置如下 文件大小 用来指定要搜索的文件的大小 例如要搜索小于 100KB 的文件 则设置如下 如果要搜索大于 20KB 小于 130KB 的文件 则设置如下 如果要搜索大于 250KB 的文件 则设置如下 在线取证系统 操作手册 广东天海威数码技术有限公司 第 37 页 共 65 页 3 设置好搜索条件后 点击 搜索 按钮开始搜索 4 如果要终止搜索过程 可点击 取消 按钮 5 搜索完成后可以通过鼠标右键菜单阅读文件内容 查看文件 属性 也可以对搜索结果文件进行取证 在线取证系统 操作手册 广东天海威数码技术有限公司 第 38 页 共 65 页 4 4 操作指南 操作指南 易丢失数据获取系统易丢失数据获取系统 4 1 准备工作准备工作 1 插入存储取证操作日志的移动磁盘和存储证据数据的移动磁 盘 2 插入在线取证系统光盘 运行易丢失数据获取系统 3 设置取证参数 其中 案件编号 案件名称填写准备使用提取的证据的案件的 编号和名称 操作人员填写操作本系统的案件侦察人员姓名 日志 存放地址填写存储取证操作日志的移动磁盘中的路径 数据存放地 址填写存储获取的易丢失数据的移动磁盘中的路径 系统将在该路 径下自动建立一个以案件编号为名称的子目录 如果需要调整系统时间 则惦记 校对系统时间 按钮弹出时间 在线取证系统 操作手册 广东天海威数码技术有限公司 第 39 页 共 65 页 设置窗体 修改日期 时间和时区 4 2 提取宿主计算机的网络类易丢失数据提取宿主计算机的网络类易丢失数据 1 打开建立新档案窗体 选择档案信息类型参数为网络连接状 态 开启网络服务的程序 进行网络访问的程序 2 点击 建立 按钮 建立网络类易丢失数据工作档案 3 选择新建立的网络类易丢失数据工作档案 点击按钮提 取数据 4 展开新获取的易丢失数据文件 查看结果 在线取证系统 操作手册 广东天海威数码技术有限公司 第 40 页 共 65 页 4 3 提取宿主计算机的进程类易丢失数据提取宿主计算机的进程类易丢失数据 1 打开建立新档案窗体 选择档案信息类型参数为系统进程信 息 被调用打开的文件 进程打开的文件信息 2 点击 建立 按钮 建立进程 文件访问类易丢失数据工作档 案 3 选择新建立的进程 文件类易丢失数据工作档案 点击 按钮提取数据 4 展开新获取的易丢失数据文件 查看结果 在线取证系统 操作手册 广东天海威数码技术有限公司 第 41 页 共 65 页 4 4 提取宿主计算机的自启动程序数据提取宿主计算机的自启动程序数据 1 打开建立新档案窗体 选择档案信息类型参数为系统自启动 程序 2 点击 建立 按钮 建立系统自启动程序工作档案 3 选择新建立的系统自己启动程序工作档案 点击按钮提 取数据 4 展开新获取的易丢失数据文件 查看结果 在线取证系统 操作手册 广东天海威数码技术有限公司 第 42 页 共 65 页 4 5 提取宿主计算机的物理内存数据提取宿主计算机的物理内存数据 1 打开建立新档案窗体 选择档案信息类型参数为物理内存 指定要获取的物理内存范围为 0 40960KB 获取宿主计算机从地址 0 x00 开始的 40MB 物理内存数据 2 点击 建立 按钮 建立物理内存工作档案 3 选择新建立的物理内存工作档案 点击按钮提取数据 4 展开新获取的易丢失数据文件 查看结果 在线取证系统 操作手册 广东天海威数码技术有限公司 第 43 页 共 65 页 4 6 提取宿主计算机的应用程序内存数据提取宿主计算机的应用程序内存数据 1 打开建立新档案窗体 选择档案信息类型参数为应用程序内 存 获取系统进程 Explorer exe 使用的物理内存 并同时获取 WINDOWS 任务管理器统计的虚拟内存数据 页面保护属性为读写 拷贝 执行 执行 读写 执行 拷贝的虚拟内存 2 点击 建立 按钮 建立应用程序内存工作档案 3 选择新建立的应用程序内存工作档案 点击按钮提取数 据 4 展开新获取的易丢失数据文件 查看结果 在线取证系统 操作手册 广东天海威数码技术有限公司 第 44 页 共 65 页 4 7 浏览宿主计算机的物理内存浏览宿主计算机的物理内存 1 点击菜单 浏览物理内存 打开物理内存 浏览窗体 在线取证系统 操作手册 广东天海威数码技术有限公司 第 45 页 共 65 页 2 设置页号为第 1 页 点击 转到 按钮查看第该页物理内存数 据 3 设置页号为要查看的内存页 点击 转到 按钮查看第该页物 理内存数据 4 点击 保存 按钮将该页内存数据导出到易丢失数据文件中 4 8 浏览宿主计算机的应用程序内存浏览宿主计算机的应用程序内存 1 点击菜单 浏览进程内存 打开进程内 存浏览窗体 在线取证系统 操作手册 广东天海威数码技术有限公司 第 46 页 共 65 页 2 点击 进程基本信息 刷新 按钮 获取宿主计算机当前运行 的进程表 并选择要查看其内存使用状况的进程 3 鼠标双击进程内存页表中要查看的页表记录 浏览该页表对 应的内存存储的数据 在线取证系统 操作手册 广东天海威数码技术有限公司 第 47 页 共 65 页 4 使用 转到 前页 后页 浏览其他内存页面的数据 5 点击 保存 按钮将要提取的内存页中的数据导出到易丢失数 据文件中 在线取证系统 操作手册 广东天海威数码技术有限公司 第 48 页 共 65 页 4 9 比对两次提取的易丢失数据比对两次提取的易丢失数据 1 通过 打开 菜单打开已经保存的易丢 失数据文件 2 选择比对操作的源文件 通过 比对 菜单 打开比对操作对话框 在线取证系统 操作手册 广东天海威数码技术有限公司 第 49 页 共 65 页 3 选择要比对的目标文件 以及比对项目 4 点击 确定 按钮开始比对 5 浏览比对结果 在线取证系统 操作手册 广东天海威数码技术有限公司 第 50 页 共 65 页 4 10 阅读已经提取的易丢失数据阅读已经提取的易丢失数据 1 通过 打开 菜单打开原来保存的易丢失 数据文件 2 双击易丢失数据文件名 提取时间 展开易丢失数据文件 包含的信息类型树 在线取证系统 操作手册 广东天海威数码技术有限公司 第 51 页 共 65 页 3 点击要阅读的数据类型 浏览该类型的易丢失数据内容 4 查看结果 在线取证系统 操作手册 广东天海威数码技术有限公司 第 52 页 共 65 页 5 5 典型应用 典型应用 5 15 1 宿主计算机存储媒介的提取宿主计算机存储媒介的提取 案例案例 某企业数据库服务器被攻击 由于该服务器支撑着该企 业的日常工作 不能长时间停机 因而只能快速复制该服务器的存 储介质以便案件的侦破 应用应用 1 1 通过蓝盾在线取证系统以光盘启动方式快速复制该服 务器的物理存储介质 过程过程 1 插入蓝盾在线取证系统光盘 重新启动计算机进入 PE 操作 系统 2 启动存储媒介获取系统 接入移动存储设备 3 选择要提取的宿主计算机物理存储媒介 点击鼠标右键 取 在线取证系统 操作手册 广东天海威数码技术有限公司 第 53 页 共 65 页 证 菜单开始取证 4 设置案件基本信息 并选择存储方式 目的设备和校验方式 后点击 开始 按钮开始复制物理存储媒介 5 复制完成后取出移动存储设备 插入新的移动存储设备 开 在线取证系统 操作手册 广东天海威数码技术有限公司 第 54 页 共 65 页 始复制下一个物理存储媒介 应用应用 2 2 通过蓝盾在线取证系统以光盘启动方式快速将该服务 器的物理存储介质复制到一个文件 过程过程 1 插入蓝盾在线取证系统光盘 重新启动计算机进入 PE 操作 系统 2 启动存储媒介获取系统 接入移动存储设备 3 选择要提取的宿主计算机物理存储媒介 点击鼠标右键 取 证 菜单开始取证 4 设置案件基本信息 并选择以文件方式存储和校验方式后点 击 开始 按钮开始复制物理存储媒介 5 复制完成后继续操作 开始复制下一个物理存储媒介 应用应用 3 3 通过蓝盾在线取证系统以光盘启动方式快速将该服务 器的第一个物理存储介质的第一个分区复制到移动设备 过程过程 在线取证系统 操作手册 广东天海威数码技术有限公司 第 55 页 共 65 页 1 插入蓝盾在线取证系统光盘 重新启动计算机进入 PE 操作 系统 2 启动存储媒介获取系统 接入移动存储设备 3 选择要提取的宿主计算机物理存储媒介分区 点击鼠标右键 取证 菜单开始取证 4 设置案件基本信息 并选择以目的设备和校验方式后点击 开始 按钮开始复制分区 5 复制完成后取出移动存储设备 插入新的移动存储设备 开 始复制下一个分区 应用应用 4 4 通过蓝盾在线取证系统以光盘启动方式快速将该服务 器的指定类型的文件到移动设备 过程过程 在线取证系统 操作手册 广东天海威数码技术有限公司 第 56 页 共 65 页 1 插入蓝盾在线取证系统光盘 重新启动计算机进入 PE 操作 系统 2 启动存储媒介获取系统 接入移动存储设备 3 选择要搜索的宿主计算机物理存储媒介 点击