检查工具使用手册

“计算机系统保密检查使用手册”V2.0用户手册南京保旺达科技有限公司 研制江苏省信息系统保密技术监督管理中心 监制2008年3月目 录1检查工具概述22系统需求22.1本软件运行需要以下的硬件环境22.2本软件支持以下操作系统23使用注意事项34工具使用说明34.1启动工具34.2记录检查信息44.3功能列表54.4功能检查操作194.5工具维护设置204.6报告功能215 常见问题解答.22检查工具概述1 检查工具概述欢迎使用“计算机系统保密检查工具”V2.0！“计算机系统保密检查工具”V2.0采用了先进技术和算法对计算机的相关信息进行发现、挖掘和展现，提供大量信息给检查人员参考。本产品具有操作简单、使用方便、功能强大等特点，能快速、全面、深入地检查计算机的相关信息，保存检查结果。该产品主要面向党政军机关、军工单位等各类机关企事业单位保密管理工作机构使用，为保密部门对计算机系统进行保密检查提供强有力的检查手段。2系统需求2.1本软件运行需要以下的硬件环境l IBM PC兼容机种。l 具备可以使用的USB接口。2.2本软件支持以下操作系统l Windows 2000 Prol Windows XP Home/Prol Windows Server 20033使用注意事项计算机系统保密检查工具采用的介质为U盘，正式使用前请您将U盘做一次全盘备份，防止重要文件损坏或者丢失。备份方式：全盘拷贝至本地计算机、使用WINRAR或WINZIP压缩软件、采用GHOST软件等。使用过程中U盘上会记录相关检查信息和检查报告，请您做好数据备份工作。请不要随意删除出厂配置中的任何文件。为了防止病毒带入u盘，在打开检查工具程序和关闭检查工具程序的时候会清理u盘内的非检查工具相关文件，请不要把重要文件放到u盘里面。如果病毒感染了检查工具程序(CheckComputer.exe,Data.exe)，请先对u盘进行杀毒，然后把光盘或者备份的检查工具替换u盘里面的检查工具。在使用过程中遇到问题请联系我公司，我们会有工程师及时解答您的问题，电话025-。4工具使用说明4.1启动工具把计算机系统保密检查工具（U盘）插入被检查计算机，打开U盘双击CheckComputer.exe，启动检查工具。执行CheckComputer.exe启动工具后出现启动界面，在工具启动过程中，我们的产品就开始检查计算机的各项设置。启动过程将需要几秒或更长时间，这取决于计算机配置情况和所收集的数据量情况。4.2记录检查信息工具启动完成后，出现记录检查信息的窗口，检查人员可以根据需要填写相关的信息，也可以勾取对话框最下面的的选项，在下次启动的时候不显示该对话框。如果要再次选择显示记录窗口，打开菜单“设置”“报告记录查阅”，选择“启动显示登录框”。4.3功能列表 系统检查 基本信息 补丁信息 标准接口信息 安全检查 帐户信息 密码解析 网络软件安装信息 文件共享 计算机使用记录 存储设备检查 历史USB设备信息 当前USB设备信息 硬盘信息 逻辑盘信息 拨号上网检查 拨号上网记录 拨号上网详细记录 端口分析 行为检查 浏览器痕迹 运行痕迹 最近操作的文档 行为痕迹 行为文件 打开记录 深层行为检查 最近操作的文档 行为文件 文档搜索 深层文档搜索4.3.1基本信息介绍基本信息主要用于查看系统的相关信息，包括当前时间、当前用户、计算机名、操作系统版本、操作系统安装时间、网络连接的配置信息，使用户对计算机的情况有一个大概的了解。你可以通过点击系统检查-基本信息标签，来查看补丁的安装情况，如下图所示：4.3.2补丁信息介绍 补丁信息主要用于查看系统已经安装的补丁信息，使用户能够及时了解本机的补丁的安装情况，以保证计算机系统的安全。你可以通过点击系统检查-补丁信息标签，来查看补丁的安装情况。查看补丁如下图所示：4.3.3标准接口信息介绍 标准接口信息主要用于查看本机现以存在的通讯接口信息，包括接口名、MAC地址、适配器类型和标识名。你可以通过点击系统检查-标准接口信息标签，来查看标准接口信息如下图所示：4.3.4帐户信息介绍帐户信息主要用于查看系统中已存在帐户的信息，包括用户名、状态(该帐户是否可用)、是否必须密码、上次登录时间、上次设置密码时间、密码可更改、密码到期、全名。你可以通过点击安全检查-帐户信息标签，来查看帐户信息内容，如下图所示：4.3.5密码解析介绍密码解析主要用于分析密码中包含不同字符的个数，进而检查密码是否符合规定密码强度要求。 你可以通过点击安全检查-密码解析标签，来查看密码解析内容。4.3.6网络软件安装信息介绍 网络软件安装信息主要用于查看本系统已安装的关于网络连接用于网络通信 软件信息，包括软件名和软件安装路径,你可以通过点击安全检查-网络软件安装信息标签,来查看本系统网络软件安装信息.如下图所示:4.3.7文件共享信息介绍文件共享主要是为了查看现在已经被共享的文件夹信息，包括文件夹名、文件路径、用户限制（对共享人数的限制）、备注。你可以通过点击安全检查-文件共享标签，来查看本系统已被共享的文件信息的内容，如下图所示：4.3.8计算机的使用记录介绍计算机的使用记录主要用于查看计算机的登录情况，包括每次开时间、关机时间并判断其是否非法关机和是否为工作期间。你可以通过点击安全检查-计算机的使用记录标签，来查看计算机的使用记录的内容，如下图所示：4.3.9历史USB设备信息介绍历史USB设备信息主要用于查看本机曾经使用过的USB设备信息，包括驱动类型、设备名、序列号、首次使用时间、PID&VID和使用的驱动。你可以通过点击存储设备检查-历史USB设备信息标签，来查看历史USB设备的使用情况，如下图所示：4.3.10当前USB设备信息介绍当前USB设备信息主要用于查看本机正在使用的USB设备信息，包括设备名、总线类型、驱动类型、媒体类型、描述、序列号、PID&VID、大小、和使用的驱动。你可以通过点击存储设备检查-当前USB设备信息标签，来查看当前USB设备的使用情况，如下图所示：4.3.10 USB设备信息采集介绍USB设备信息采集功能是用于采集USB设备的序列号和PID&VID信息，建立检查盘维护列表，以便进行USB设备使用痕迹比对。你可以通过点击存储设备检查-当前USB设备这时工具栏中的USB设备信息采集功能键被激活，此时选中要采集的USB设备并点击此功能键即可进行采集，如下图所示：4.3.10 USB设备使用痕迹比对介绍USB设备使用痕迹比对功能是用于检查检查盘信息维护列表中的USB设备是否曾在该计算机上使用过。你可以点击存储设备检查-历史USB设备信息，这时工具栏中的USB设备使用痕迹比对功能键激活，点击此键即可进行比对。如果检查检查盘信息维护列表中的USB设备，曾经在此计算机上使用过，则会弹出提示对话框，并将曾使用过的设备项标为红色，如下图所示：4.3.11硬盘信息介绍硬盘信息主要用于查看本机硬盘的信息，包括主从盘、驱动器类型、驱动器型号、接口类型、媒体类型、序列号、分区数、状态和大小。你可以通过点击存储设备检查-硬盘信息标签，来查看硬盘的信息内容，如下图所示：4.3.12逻辑盘信息介绍逻辑盘信息主要用于查看本系统逻辑盘的信息，包括逻辑盘符、可用空间、总的容量和采用的文件系统。你可以通过点击存储设备检查-逻辑盘信息标签，来查看逻辑盘的信息内容，如下图所示：4.3.13拨号上网记录介绍拨号上网记录主要用于查看本机拨号上网的记录信息，包括用于拨号的设备名、网络连接名、号码和使用的端口。你可以通过点击拨号上网检查-拨号上网记录标签，来查看本机拨号上网的记录内容。4.3.14拨号上网详细记录介绍拨号上网详细记录主要用于查看本机拨号上网的详细动作信息及时间,你可以通过点击拨号上网检查-拨号上网详细记录标签,来查看计算机的拨号上网详细记录.查看计算机的拨号上网详细记录如下图所示:4.3.15端口分析介绍端口分析主要用于查看本系统端口的使用情况，包括通讯协议、本地地址（IP和端口号）、端口描述、远端地址（IP和端口号）、状态、进程ID和程序名。你可以通过点击端口分析，来查看计算机的端口使用情况，如下图所示：4.3.16浏览器痕迹介绍浏览器痕迹主要用于查看本机用户通过浏览器访问网页留下的痕迹。你可以通过点击行为检查-浏览器痕迹标签，来查看通过浏览器访问网页留下的痕迹。 4.3.17运行痕迹介绍运行痕迹主要用于查看本机用户通过控制台运行程序的痕迹，你可以通过点击行为检查-运行痕迹标签，来查看通过控制台运行程序的痕迹，如下图所示： 4.3.18最近操作的文档介绍最近操作文档主要用于查看本机用户最近访问的文档，并可以双击列表记录打开文档。你可以通过点击行为检查-最近操作文档标签，来查看最近访问的文档信息，如下图所示：4.3.19行为痕迹介绍行为痕迹主要用于查看本机用户访问网页留下的痕迹。你可以通过点击行为检查-行为痕迹标签，来查看用户访问网页留下的痕迹，如下图所示：4.3.20行为文件介绍行为文件主要用于查看本机用户访问网页留下的缓冲文件，并可以双击列表记录打开文件。你可以通过点击行为检查-行为痕迹标签，来查看用户访问网页留下的痕迹，如下图所示：4.3.20打开记录介绍打开记录主要用于查看曾经使用过的文件、文档或程序，并可以双击列表记录打开文件。你可以通过点击行为检查-打开记录标签，来查看打开记录信息，如下图所示：4.3.21深层行为检查介绍深层行为检查主要用于查看更深一层的行为痕迹，即使该痕迹已被用户删除也可以通过扫描后来查看, 他分为快速扫描和深度扫描, 快速扫描可以快速的挖掘计算机中已删除的痕迹；深度扫描可以对数据进行更深一层的挖掘和快速扫描相比可展现更多内容，但可能等待时间会稍长些。在选择框的左下角有一个复选框，如果该复选框被选中则可以双击扫描后的列表来打开相应的文件，否则只显示而不能双击打开，选择框如下图所示: 以下是扫描过程中显示的进度条，在扫描过程中请耐心等待。4.3.22文档搜索介绍文档搜索主要提供了对自定义文件的搜索功能，并显示搜索到的文件的摘要属性，进而有针对性的对文件进行快速检查，同时我们又添加了对WORD文档的预览功能，从而可以更准确的对文件进行检查。4.3.23深层文档搜索介绍深层文档搜索可以通过扫描查找到曾经被删除的文档，他分为快速扫描、深度扫描、和完全扫描三种扫描方式。快速扫描特点是扫描速度快；深度扫描更深层挖掘计算机中以被删除的文件，但速度要稍慢些；完全扫描是对整个物理盘的扫描，可以更全面的进行挖掘。为了更有针对性的进行扫描，我们提供了可以针对某个逻辑盘或物理盘对特定的文件类型进行扫描。选择后点击确定即可。选择框如下图所示：4.4功能检查操作鼠标点击右边功能列表中的一项，在右边会出现该检查功能的所有子项，鼠标点击子功能就能显示该选项的详细信息。详细操作请参照检查工具的帮助文档。在“计算机保密检查工具V2.0”基础上新增“USB设备使用痕迹比对功能”和“USB设备信息采集功能”：4.5工具维护设置计算机系统保密检查工具提供了一些信息的维护接口，在检查工具“设置”菜单中，提供了“安装软件列表维护”、“报告记录查阅”、“端口信息维护”、“文件类型维护”。“安装软件列表维护”通过添加软件的注册表路径可以在以后的检查过程中自动检查是否安装了该软件。“报告记录查阅”可以察看检查工具使用的记录，该记录列表可以添加、修改或者删除。并且可以设置产生HTML报告的中各项检查内容的数量。“端口信息维护”通过添加端口的描述可以在以后的检查过程中自动显示对该端口的描述。“文件类型维护”通过添加文件的扩展名*.*和文件类型描述来完善列表，在深层文档搜索功能中可以直接搜索该类型文件。4.6报告功能计算机系统保密检查工具具有自动保存报告的功能，支持以HTML文件保存检查记录，保存在U盘的Report文件夹下。由于ie的设置问题，有可能ie会显示：为帮助保护您的安全，Internet Explore 已经限制此文件显示可能访问您的计算机的活动内容，单击此处查看选项.。这个时候点击此处，选择允许阻止的内容(A).如图:点击允许阻止的内容(A)后会查看到报告。如果没有点击允许阻止的内容(A)后，报告的折叠功能是不能使用的。5 常见问题解答 1. 启动程序时提示“请使用正版”，该如何解决？ 答: (1) 该检查工具只限于在Windows2000、XP上使用，请检查操作系统版本是否符合。 (2) 该检查工具只限于在管理员用户下使用。请检查当前用户是否为管理员用户。 （3）如果您手中的优盘颜色为银白色，请检查优盘中的“sn_check”文件是否存在。 如果不存在请将先前备份好的“sn_check”文件拷贝到优盘，或将优盘的序列号告诉我们，我们会为您发去该文件。2. 检查工具中的“深层行为检查”和“深层文档搜索”无法检查到数据。现象是弹出的进度条窗口很快消失，该如何解决？ 答: 请检查优盘中的“sn”文件是否存在。如果不存在，请将先前备份的“sn”文件拷贝到优盘，或将优盘序列号告诉我们，我们会为您发送去该文件。3. 优盘无法正常识别，怎么办？答: 请将优盘接入后置的USB接口。如无法解决，请联系我们。4. Windows98、WindowsME和Vista下是否可使用该检查工具？ 答: 不可以