(完整word版)中南大学计算机取证技术实验报告

1、计算机取证技术实验报告学院：信息科学与工程学院班级:学号：姓名：指导老师：张健中南大学计算机取证实验报告葛健敏1目录目录1实验一事发现场收集易失性数据2实验二磁盘数据映像备份7实验三恢复已被删除的数据11实验四进行网络监听和通信分析16实验五分析Windows系统中隐藏的文件和Cache信息20实验六数据解密26总结28中南大学计算机取证实验报告葛健敏2实验一事发现场收集易失性数据实验目的(1)会创建应急工具箱，并生成工具箱校验和。(2)能对突发事件进行初步调查，做出适当的响应。(3)能在最低限度地改变系统状态的情况下收集易失性数据。实验环境和设备(1)WindowsXP或Windows200

2、0Professional操作系统。(2)网络运行良好。(3)一张可用IB(或其他移动介质)和PsTools工具包。实验步骤及截图(1)将常用的响应工具存入IB,创建应急工具盘。应急工具盘中的常用工具有cmd.exe;netstat.exe;fport.exe;nslookup.exe等XftjiB(2)用命令md5surmj建工具盘上所有命令的校验和，生成文本文件commandsums.txt保存到工具盘中，并将工具盘写保护。Windows上面没有这个命令中南大学计算机取证实验报告葛健敏3(3)用time和date命令记录现场计算机的系统时间和日期，第(4)、(5)、(6)、(7)和(8)步

3、完成之后再运行一遍time和date命令。中南大学计算机取证实验报告葛健敏448*。土C:Docu.entsandSettingsAdainistratexeC:Docu.entsandSettingsAdainistratexedatedatep p：timetime当前时间:14:52:26.8114:52:26.81输入新时间:datedate当前日期：201fe-05-05201fe-05-05星期四输入新日期；年月日(4)用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间。中南大学计算机取证实验报告葛健敏5卷的序列号是卷的序列号是8475

4、-G0BE33 3 的的dTt12610099110161,024.hd2014-03-171535369Duiniload2WL0-J.O-L31433DocumentsandSettings0855Do町nloadsZB535110Inetub1?30i/i*顽2M1W-HS-J11441JHSGFTyuio-es-ji姑42OpenOU2.0610-10-181012PBFFLogf2G1583191044ProgfraniFiles& &诳诳01009181801,564ptcsetup.log261503090919QMDQLHIload2610090?1139LG3

5、zeie0?-i?0843turbocZ05-03-10IB57WINDOWSi0-n?-oi113888.242wubildr2010-09-0111388,1?Zuubilclr.mibr5个文件8凯9is字韦1L2个目录孔755,283-4M可用字节C：(5)用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关，用ipconfig/all命令获取更多有用的信息：如主机名、DNS艮务器、节点类型、网络适配器的物理地址等。XipconfigXipconfig中南大学计算机取证实验报告葛健敏6WindowsIPCtmfiguratinWindowsIPCtmfiguratinEt

6、hernetadapterEthernetadapter本土他连接：Connectitn-specificDNSSuffix.Connectitn-specificDNSSuffix.i iIPAddress:3IPAddress:3SubnetMask-2BS.255.255.0SubnetMask-2BS.255.255.0DefaultGateuajDefaultGateuaji i(6)用netstat显示现场计算机的网络连接、路由表和网络接口信息，检查哪些端口是打开的，以及与这些监听端口的所有连接

7、。(7)用PsTools工具包中的PsLoggedOn令查看当前哪些用户与系统保持着连接状态。中南大学计算机取证实验报告葛健敏7(8)用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。已1 1C:DocuentiC:DocuentisandSettingsAdsinistratorcd.exesandSettingsAdsinistratorcd.exeBBC:pslist.exeC:pslist.exepslistul.28-SysinternalsPsList(Copyright?2000-2004MarkRpslistul.28-SysinternalsP

8、sList(Copyright?2000-2004MarkRussinouichussinouichSysinternalsSysinternalsProcessinformationforxxjk60:Processinformationforxxjk60:NamePidPriThdHndPriuNamePidPriThdHndPriuCPUTimeCPUTimeElapsedTimeElapsedTimeIdleIdle0 00 02 2建0 01 1 3?3? 18.29618.2960 000.00.SystemSystem4 4e112112539539g g0 028.73428.

9、7340 0瞬 萸.susssuss704704iiii3 319191841840 000.04600.0460 0525232.42132.421CSlSS76Q76Q131313137997990 016.21816.2180 052522?.3992?.399uinlogonuinlogon78478413131919456456704470440 001.S0001.S000 052522626 89R89Rsepuicessepuices8328329 917173?73?73920392022.46822.4680 0525226.39926.399IsassIsass84484

10、49 9171734234228362836绍01.53101.5310 0525226.34326.343suchostsuchost10761076e141419319331443144瞬.234.2340 0525225.64025.640QQPCRTPQQPCRTP113611368 8 l(j6l(j67517514181641816绍4R.3284R.3280 0525225.45325.453suchostsuchost13041304e11113143142288228810.96810.9680 0525225.09325.093suchostsuchost144814488

11、 86666 130113011393213932绍04.06204.0620 0525224.98424.984suchostsuchost14841484e5 51071072544254410,07810,0780 0525224.93?24.93?suchostsuchost154815488 86 6898925162516绍00.46800.4680 0525224.78124.781explorerexplorer272272e3?3? 117111716255262552020216.17116.1710 0525222.51522.515QQPCTrayQQPCTray520

12、5208 8 125125146514658989海绍19.IB?19.IB?0 0525217.82817.828LenRCClientLenRCClientS S锵e3 37S7S2 2屈6 6静00.15600.1560 0525216.18716.187bufmonitorbufmonitor5f85f88 81 13232836836150.125150.1250 0525216.10916.109ptfmonptfmon436436e1 17i7iISISISIS_0_000.18700.1876 6525215.82815.828中南大学计算机取证实验报告葛健敏8实验目的(1)理

13、解什么事合格的司法鉴定备份文件，了解选用备份工具的要求(2)能用司法鉴定复制工具对磁盘数据进行备份(3)查看映像备份文件的内容，将文件进行Hash计算，保证文件的完整性实验环境和设备(1)WindowsXP或Windows2000Professional操作系统(2)网络运行良好。(3)一张可用的软盘和外置USB硬盘实验步骤及截图(1)制作MS-DOS弓I导盘，给硬盘或分区做映像是提供干净的操作系统。键入以下命令制作引导盘c:formata:/sformat命令用法(并没有/s?)C:systek32cd.exeItJS1-Bindowsindows软盘的根目录下至少有下面三个文件IO.SYS

14、,COMMAND,COM,MSDOS.SYS实验二磁盘数据映像备份FORMATFFORMATFORMATFOORMATFORMATPOKRMATPOKHfilHfilFORMATFORMATUQUQlunevolunevolumeuollumeuoluneuoluuneuoluneuolunneuolunc cl/FSl/FS：file-systenf/Ufile-systenf/U：libelt/QlL/Alibelt/QlL/A：?izeFzC/X/U?izeFzC/X/U：label/Ulabel/U：labelC/Uslaballr/QlabelC/Uslaballr/QZQJ/Fis

15、iaeZQJ/FisiaeZQZT:tracks/NZQZT:tracks/N：sectorssectorsSil旨定驱动器t t后面跟一个冒号)、装入点或卷名O O/FS/FS：filesystemfilesystem指定文件系统类型罚的、FfiT32FfiT32或NTFSNTFS& &名定卷极加行快蓬格式化。女挂于NTFSNTFS：默认情况下，将压缩在该新建卷上面建的文件。如果必墨先鲤制卸下卷.那时， 该卷所有以i i五熊柄木程效替代默认配默认设置。NTFSNTFS64K64KFAFAT T支持512.1024.2648,4096.8192.16K.32512.1024.2

16、648,4096.8192.16K.32 皿.2 2g g用于大手1 12 2丰节的扇区,。uoluneuolune/II：label/q/C鲁魏瓣：极力建议您在一般状况下使用帝512,1024.2048.4096,8192.32K512,1024.2048.4096,8192.32K、中南大学计算机取证实验报告葛健敏9LoclPeerIopeerGfiostCastDptioris|EP样Qu计文伴文伴 编担编担堡堡) )查查看世看世) )收藏也工具收藏也工具 帮助如帮助如岱岱夕授索夕授索 Q Q 文件夹文件夹：Xq国，国，计宜机取证滴计宜机取证滴System炸眼电Informiationc

17、umnand土习程序50KI5了始4WindowsExpl.ue、C:HNBUWSiyit.二二3InttrnttExp.,七七15:55(2)下载ghost应用软件存放到e盘，启动ghost.exe文件(3)使用ghost对磁盘数据进行映像备份，可以对磁盘某个分区或对整个银盘进行备份对磁盘某个分区备份SymantecGhud11.0.2CopyrightCC1998-200?SymantecCorporafioripHllrightsreserved.he点陋陋DOS系系统交件统交件0KBiiPwhtionC.S羊应中南大学计算机取证实验报告葛健敏10SymantecGhost11.0.2C

18、opyrightGO1998-2007SymantecCorporation,fillrightsreserved.SelectsourcepartitioCs)fr/vnBasicsdrives1系统询问采用什么方式备份，选用high模式（高压缩率）中南大学计算机取证实验报告葛健敏112对整个硬盘进行备份（参见对某个分区进行备份的方法）3网络之间的映像备份在被攻击主机上选择Master,确定备份计算机名后，后面步骤与前面相似中南大学计算机取证实验报告葛健敏12如计nter(4)用check选项对以生成的备份文件进行检查中南大学计算机取证实验报告葛健敏13在ghost文件夹下打开ghostex

19、p文件，可以看到展开映像后的所有文件列表E任）编辑（）格式（U）查看也）帮助如WindowsRegistryEditorVersion5.网HKEV_CLASSES_R007.ghO牛GhostHKEVCLASSESROUTGhostQ-GhSst映像支件HKEVCLASSESR00TGhostshellHKEV_CLASSES_RQQTGhQSt5hellopenHKEV_CLfiSSES_ROOTGriostshellopenconiinand8=T:dosligho5XGbQstexp.eKeFVHKEV_CLASSES_ROOTftpplicationsGhostexp.exeHKEV

20、_CLfiSSES_R0DTfipplicationsGho5texp.exeshell(5)将映像文件Hash,以保证完整性实验三恢复已被删除的数据实验目的1.理解文件存放的原理，懂得数据恢复的可能性。2.丁解几种常用的数据恢复软件如EasyRecovery和RecoveryMyFiles3.使用其中一种数据恢复软件、恢复已被删除的文件，恢复己被格式化磁盘上的数据。实验环境和设备(1)WindowsXp或Winfjows2000Professional操作系统。(2)数据恢复安装软件。中南大学计算机取证实验报告葛健敏14(3)两张可用的软盘(或U盘)和一个安装有Windows系统的硬盘。实验

21、步骤及截图(1)实验前的准备工作中南大学计算机取证实验报告葛健敏15在安装数据恢复软件或其他软件之前，先在计算机的逻辑盘（如D盘）中创建四个属于你自己的文件夹，如：BakFilel（存放第一张软盘上的备份文件）、LostFilel（存放恢复第一张软盘后得到的数据）BakFile2（存放第二张软盘上的备份文件）和LoFile2（存放恢复第二张软盘后得到的数据）注意：存放备份文件所在的逻辑盘（如D盘）与你准备安装软件所在的逻辑盘（如C盘）不要相同，因为如果相同，安装软件时可能正好把你的备份文件给覆盖掉了。（2）EasyRecovery安装和启动这里选用EasyRecoveryProfessiona

22、l软件作为恢复工具，点击EasyRecovery图标便可顺利安装，启动EasyRecovery应用程序，主界面上列出了EasyRecovery的所有功能：磁盘诊断”、“数据恢复”、“文件修复”和“邮件修复”等功能按钮”在取证过程中用得最多的是“数据恢复”功能。EasyRecovery安装和启动Professional中南大学计算机取证实验报告葛健敏16EasyRecovery的数据恢复界面（3）使用EasyRecovery恢复已被删除的文件。1将准备好的软盘（或U盘）插入计算机中，删除上面的一部分文件和文件夹如果原有磁盘中没有文件和文件夹，可以先创建几个，备份到BakFilel文件夹下，再将它

23、删除。2点击“数据恢复”，出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮，选择“删除恢复”进行快速扫描，查找已删除的目录和文件，接着选择要搜索的驱动器和文件夹（A盘或U盘图标）。出现所有被删除的文件， 选择要恢复的文件输入文件存放的路径D:LostFilel,点击下一步”恢复完成，并生成删除恢复报告。数据恢复衬|高级恢复使用高纸透康来自定文教撮恢复格式化恢复从已格式化的卷中恢复文件删除恢复迁董揽井政复已删除的文件原始恢复玉含任何文忡任统格梅信息的恢签紧急引导盘创蝶骚急引导诲映速启动Eaytlpdatc1继续恢复堆或巳保存的敷据恢疫会话中南大学计算机取证实验报告葛健敏17选择

24、一个要恢复选择一个要恢复H除文件的分区，井造择除文件的分区，井造择下一步下一步 R R 开岭旧莓文件开岭旧莓文件 选择选择 睾消睾消”退出工具退出工具. .O正在扫描文件._JCCA)NTFS(|=JODA)FAT32SCEA)FM32- -正在处理区块正在处理区块：49口。口。/ /花花059已用时间：剩余时间已用时间：剩余时间: :找到目找到目录：找到文件；上次交件：录：找到文件；上次交件：4秒秒1:001557洗览&Dots-Small2.gi河以执行快河以执行快I有选项来输有选项来输I速恢复指定速恢复指定职消职消褴褴，使用现彻底使用现彻底的处区的处区v vi&is.II

25、MEft选择一个要诙复选择一个要诙复U除文件函分区，并甚挥除文件函分区，并甚挥“下一步下一步* *井贻扫措文件井贻扫措文件. .选葬鼻职洎选葬鼻职洎* *退出工具退出工具. .EasyRecovery选择恢复删除的磁盘中南大学计算机取证实验报告葛健敏18文档文档(*.doc|*.dot|*.xls|+.KIWI+.ppi|*.ioTEasyRecovery扫描文件中南大学计算机取证实验报告葛健敏19造中墀想要族套的文件造中墀想要族套的文件, ,逸择逸择. .下下一步一步”疆续到压目的造择疆续到压目的造择”屏暮屏暮- -逢择逢择 后退后退 枣回到枣回到“分区逸择分区逸择”屏幕屏幕. .逸拌逸拌-

26、1!退出工具退出工具. .- -_|_|我的驱动器我的驱动器- -口二口二IRECYCLERb_!5-1-5-21-1052447992-曰曰Bc47可一帅可一帅JUJKI 川川I用用已标记已标记0个女伴个女伴，共，共。字节显示。字节显示I个文件共个文件共25.00踊踊V使用过滤器皿过浦器选使用过滤器皿过浦器选项叫项叫查查我建）我建）查看艾件亶）查看艾件亶）EasyRecovery扫描结果名名称称I大小大小| |日期日期| |项祥项祥此计食机此计食机25.00KB3/30/2009D中南大学计算机取证实验报告葛健敏20比较BakFilel文件夹中删除过的文件与LoatFilel文件夹中恢复得到

27、的文件，将比较结果记录下来。中南大学计算机取证实验报告葛健敏21查看需要恢复的文件实验四进行网络监听和通信分析实验目的(1)理解什么是网络证据，应该采取什么办法收集网络证据(2)了解网路监听和跟踪的目的，会用windump进行网络监听和跟踪(3)使用Ethereal软件分析数据包，查看二进制捕获文件，找出有效的证据实验环境和设备(1)windowsXP或windows2000Professional操作系统(2)网络运行良好(3)Winpcap、windump和Ethereal安装软件实验内容和步骤(1)windump的使用J0DDDQ0DDDQ哗女?L1Erf*保存需要恢复的文件口二TCU3

28、t_JmmI24AC事我。中南大学计算机取证实验报告葛健敏22Windump在命令行下使用，需要winpcap驱动打开命令提示符，运行windump后出现:中南大学计算机取证实验报告葛健敏23、命令提示符-NicrosoftWindousKFNicrosoftWindousKF版本5 5 1 1 2626目财版权所有xBocumentsandSettingsdninistratorEcdxBocumentsandSettingsdninistratorEcdWindunpWindunpC:XDqcunentC:XDqcunent$ $andSettingsdrtin1stratorSuindu

29、npviindunpandSettingsdrtin1stratorSuindunpviindunpufindurapufindurap：listeninonMteuiceNPFCA2CCe919-8FE0-4CFfi-BEflC-CEE3E0B2115E00:44:36-074694IPMSKTOP-ILEUtLJ-137192listeninonMteuiceNPFCA2CCe919-8FE0-4CFfi-BEflC-CEE3E0B2115E00:44:36-074694IPMSKTOP-ILEUtLJ-137192-37-37：UDP,le

30、ngth00:14:36,076480IPDESKT0P-ILEU6LJ-137UDP,length00:14:36,076480IPDESKT0P-ILEU6LJ-137 192,16192,16 .31.255.13?.31.255.13?：UDP,lengthUDP,length0a0a：4444：3&.077B593&.077B59显示正常安装，以下查看参数C:DocunentsandSettingsAdministratoi*C:DocunentsandSettingsAdministratoi*f f NwindumpXjindiJinipfNwindumpXjin

31、diJinipfVJVJindumpindumpversion3version3. .9 9- -5 5, ,basedontcpdunpveFionbasedontcpdunpveFion.5UinPcapversion4.1.3,basedonlibpcapuer-siUinPcapversion4.1.3,basedonlibpcapuer-sik.0k.0branchl_0_vel0bbranchl_0_vel0bUgasre=vindumpC-aAdDcfILnNOpqRStuUvxUgasre=vindumpC-aAdDcfILnNOpqRStuUvx1 1Beis

32、eBeiseJ J-ccountccount l l一GFile_siseGFile_sise -Ealgo-secretC-Fflie-Ealgo-secretC-Fflie-iinterfaceJt-iinterfaceJt-M-Msecretsecret1(1(i*fliei*flie 3snaplen1L-T3snaplen1L-Ttypetype w wfileC-WfilecountfileC-Wfilecount-ydatalinktype-ydatalinktype11ZuserJexpressLonZuserJexpressLon 开始捕获数据包，表示源地址和目的地址不采用主

33、机名的形式而采用IP地址的形式90:51:13-72389990:51:13-723899IP192-168-31.1-53627IP192-168-31.1-53627 224.O.0.2S2224.O.0.2S2.5355.5355：UBP,length2400:51:13.80921?UBP,length2400:51:13.80921?IPIP18Q.1&3.1S3.226.80192.1G8.31.12?.1258:SF1240149S6418Q.1&3.1S3.226.80192.1G8.31.12?.1258:SF1240149S64：1249564ack2318

34、4261S41249564ack23184261S4uinuin64246424 nas14690B0B：5151：13.9B93S6IP18B.1S3_1B3.22&.S029.1258:SF1240149564:1249564ack2318426184win6424B29.1258:SF1240149564:1249564ack2318426184win6424B 00:51:13-977681IP192_16S-31.1_13755.13700:51:13-977681IP192_16S-31.1_13719

35、55.137：UDPUDPr rlength5030:51length5030:51：14.0B9922IP180.153.1B3.22&.8Q14.0B9922IP180.153.1B3.22&.8Q192.1GS.31.129.1253192.1GS.31.129.1253：SF1240149564:12SF1240149564:12495640ack218426184win64240 &86packetscaptured702packetsrecfriucdbyfilter&86packetscaptured702packetsrecf

36、riucdbyfilter0 0packetsdroppedbykerne1packetsdroppedbykerne1(2)Ethereal(在这里，我使用wireshark,也是抓包工具)的使用198S-2001MlicrosoftCorp.198S-2001MlicrosoftCorp.DocunentsDocunentsandandSettingrsMidlninisti*atoFcdlSettingrsMidlninisti*atoFcdls s桌面C C：XDocumentsXDocumentsandandSettingsAd.riinistiatorSettingsAd.riin

37、istiator cdcdC C：sDocunentsDocunents s系统找不到指定的路径.andandSettingisSOdniinistratSettingisSOdniinistratOFOF面Xd3indumpXd3indumpIP6IP6中南大学计算机取证实验报告葛健敏24*Capturingfros*Capturingfros本地连接Tirehark1Tirehark1B B12.4 4W2-4-Q-gb4861da.W2-4-Q-gb4861da. .X XFjledit0ewfioRaptureAnalyzeStatisticsTelephonyToolsInterna

38、lsbelp略暮/或圆国IQQ公已FilttrFilttr：Exprexiicum.Exprexiicum.Cl-:-.：He.TimtSowctDtsliniiitionFrctoc&lLt-nfthInfoHe.TimtSowctDtsliniiitionFrctoc&lLt-nfthInfo160S.246232002629TCPTCPRE1618.S23162OOfe80：504d：6a65：162S.32322300192.1GS.31.151effO2:l:352LLMNRLLMNR86srandr

39、standar1638.346402002625TCP60TCP睡睡1648.44665500192.168.31-155NBNS92Nameqi1658.4463870026192.1681.129TCP60TCPRE1668.44331100fe80：504d：6a65：51effO2：1：3LLMNR86standar8.44844900192.168.31224.O.S252LLMNR66standar16SB.44908700192.16S.31.1192.16S.31.255NBNS

40、92Nameqc16?8.4694590055NBNS92Nameqi17Q,47352000192.160,31.1192-160,31.255NBNS92Nameqi1718.547491002629TCP60TCP1720.4352700180.1.103*226192.168/31.129TCP&0TCPRE1738.66178000192.168.Bl.1192.168.Bl.255NBNS92Nameqc1748.74368200180.153,103.226192.16S.3

41、1.129TCP60TCPREV0000000c的的5f06b4Q05056fO舞舞a903004500)PV,5E,0010002c7b030000SO06C323b49967&2cOaSn口口mV1本地塑寰本地塑寰File:JPadkets999Dtspl.r.Profile； Default(3)用windump和wireshark模拟网络取证先telnet到一台没有开telnet服务的计算机上面，用两种软件同时抓包，查看捕获包的异同三DocumentsandSettingsJfkdministFatortelnet192DocumentsandSettingsJfkdminis

42、tFatortelnet192 .1&8.0,10.1&8.0,10足在连接到192.16S.0-10.192.16S.0-10.不能打开到主机的连瓷在端口2323：连接失败WindumpLindumpLindump：listeninganJeuiceXNPF_01:10:21,85974arpwho-ha192.16B.31.2tlisteninganJeuiceXNPF_01:10:21,85974arpwho-ha192.16B.31.2tellDESKTOP-ILEU6LJellDESKTOP-ILEU6LJ0tl0tl：1010：21-872473IP180.153_

43、103-22G-80lynn-3457b32f42.localdomaiji.1258:21-872473IP180.153_103-22G-80lynn-3457b32f42.localdomaiji.1258: F124W1495t4F124W1495t4：124014956ack23M426184win64240124014956ack23M426184win64240IP180.153.103,22,80liIP180.153.103,22,80li；nn-3457b32F42,locaIdomain,1259=SF1240149564nn-3457b32F42,locaIdomain

44、,1259=SF1240149564：124B149564(0ack23184261B4uin64240ack23184261B4uin6424014G&01:10:22,027556IP64packetscaptured01:10:22,027556IP64packetscapturedE64packetsreceivedbyfliterE64packetsreceivedbyfliter0packetsdropped0packetsdropped坷Jcerne1Jcerne1Wireshark165&1H酮400Mnwm:g:如Broadcast60Whohas12.lS.

45、31.2?Tell：L9L16EL3L116fi8.1417730019210.31.12EMN5132srandardquery0 x90ePTR3.0.0.O.l.O.Q.O.16?B.,J02O44QQ130,1J.103P221,10.31.129TCPTCPR.etranr5inl55lQn50-125SFIN15YNPAK：K|16Q8.2601000192.Ifia.31.1IM-168.31.255NBrlS2iNamequeryNOI5ATAP|1698.3Q228700ISO.153.103.2261&2-18-31.12&TCP0JT

46、CPRetransmissiionjSD-1258|FINSNfiJCiq相比之下wireshark所捕获的包的种类更多，内容也更直观中南大学计算机取证实验报告葛健敏25使用haping工具模拟syn泛洪攻击， 在被攻击的计算机上用捕获数据包使用XDOS攻击工具*1(鲫6tycisor4fttytmcapurid)- -MTMTimnajiBL.Elti：uJ J: :A A5:11皿：xly.si:rKf.9$zlw:M M. .W W-TIPr_1P1FM0rII,rrnxerneiareRupn-i，IIwindump或wireshark用wireshark可以看到大量syn向192.1

47、68.1.43发送!1T,.T二 XTfp.旧”了-224403XArDFZSMWB谜4?.TCP己彩邛:WWMU.07SHM.lS.Ot.lDF3L：，.心TCP冲心切揭如.-/JiiJ!5.3ibLLDS二二 s_T8JtHUO*-1:-r-；r-f,叩1ys专.3 二可T8PRfl：-二 m:-，；r=r.iw:qTCP冲心224AMIt.OTTSLI43TCP7H-UF-_.-1.1 如七土,35.11212-1.0-3.1-：=【心，-4 口、14.a号、11*mu葛 MTTP*fenHQ5mzwmW;r*土十 X、w+m5q气I；-winfA/Wll-51g=4lWW，i 宫瑚唱工

48、PJIHJLEJ-k-rW*-1-V.5:C,1-550irwtbfos-fm S S H HJ J卜 I-T 一=f-1Pl:!-V-心#SLL&.(174、”.0*MW；1W-健TC48T1门I5YHJLSWjMcblas-Mn5rnj1of-iir-.ios-3sr:m1l中南大学计算机取证实验报告葛健敏26实验五分析Windows系统中隐藏的文件和Cache信息实验目的(1)学会使用取证分析工具查看Windows操作系统下的一些特殊文件，找出深深隐藏的证据。(2)学会使用网络监控工具监视Internet缓存，进行取证分析。实验要求：(1)WindowsXp或Windows200

49、0Professional操作系统(2)WindowsFileAnalyzer和CacheMonitor安装软件一张可用的软盘(或u盘)实验步骤及结果(1)用WindowsFileAnalyzer分析Windows系统下隐藏的文件。中南大学计算机取证实验报告葛健敏27D用index.datAnalyzer分析index.dat文件& &TindovsFileAnalyzerTindovsFileAnalyzer IDAIDA= =index,dartindex,dartJ JdBlEile(indtHBS匚ISI最I雀IDA-index.datjIhdex.DATAnalysi

50、sFieC:DocumertlsandSeltiig女血口kieRieKdiVdume忡国B854-4FB0VdumetebelURLTypeModeledLastAccessedH丽FienarteDirectoCisokie:anintstialarcrD admnist商口理cpwbmdi411上例A ACookie:adirinrstialai&Bardi114SD.取URL2D16-5-2114:00392O1E-5-21MDtt3932nm袱laL口曲祯archl14so(1|ltKlCookie:adhiinistvaloicnbingcm/URL2D16-5-2114.

51、23162Q16-5-2114:21162adnwrstialainbiig|2pi4lCWedhnini5tidBd8hma.11URL2016-5-211412432OT6-5-211412433adhwiist由1。|即2|1MMICookie:adhinialoiireduv.cwn/URL20162114:00:57的G521H4:0ft5?1ddwn.siialortSmfidBvIl1IxtCmie:acfrniriGiialordaahang.114s=o.crVURLWCH&5Z114:12:ZTIE5-2114:12422admnMiatci炬dadia叫114袍2

52、|加Cookie: adhwrialaiCcniffiaskjiF.lbiddrixflbiCodie：i5dhTinistiali3ibrigcm/URL2016-5-211507072OT6-5-211507:07ISadhmidialoiC3bhg|21lj&211S0R1214adhwi嗷间馋MV VURL用prefetchAnalyzer挖出Prefetch文件夹中存储的信息fTXP-Thumbs.dbThumbnailDatabaseAnalysisFie:C:DoeumentsandSettir*g$Admini$trator面k菊花Thumb$.cVolumeserii

53、atBB54-4FB0Volumelabel:Report.Saveimage.Saveimage.ThunbnailImageFilenameTimestamp2009021SC2512591.pg2DO9tJ21SO2512975.|2DO9tJ21SO2512975.|P Pg g2011-2-2114:06:362011-2-212011-2-2114:曲曲36RepciiL.中南大学计算机取证实验报告葛健敏28馨TindovsFileAnalyzerTindovsFileAnalyzer一IDAIDAindex,datindex,datWindowsHelp回&粕对，022r

54、tcordls日开始质质7Window.-，:，C:WINDO.*x2 2Int普mWindow!F.H.UUicuj.iI-J.1-3.ir5PDaLSV.EXE2D16-5-2110:321372O1B-5-2113t14:O42016-5-2115:19:172016-52113:14:00STDREFWDEXESD16-5-2110:33:102O1IB-5-211Q33t102016-5-2115t1S:172D16-&2110:33:10SVCHOST.EXE2016-5-211032372O1&-5-211511:572016-5-211511572D16-&am

55、p;-2115114?TMTSETP.EXE2016-5-211034052016-5-21ICt34:052016-5-2115:19:172016-5r?110:3405rPAUTOCONNSVC-EKE2tnG52l13:14:09SnG52113t14:09加ifrswiism?的6物13:14:06TFVCGATEWAY.EXE2D16-5-2113:14:102O1B-5-21”14:10201&-5-2115:19:172016-52113:il4:09UNHEGMP2.EXE2D16-5-2110:33542OTE-5-211Ct33201&-5-2115:1S

56、:172016-2110:33:50UPGRADER.EE3016-5-211033202O1&-5-211Q3S2O2016-5-211519:172D16-5-21103310USERINIT.IXI2016-5-2110：3S162016-5-211Q3116201G-S2115:19:172016-5-2110:33:06VtREOIST_XK.E的M，2l10:3401的G，51047:232tn&52115(19:1/201G-5S1白VERCLSID.EXEZDl6-5-2110:34:02201B-5-2115:17:59201&-5-2115:17:5

57、92016-5211517:593VGAUTHSERV1CE.EXE2D16-5-2113:1439201B-5-2113E14392016-5-2115:19:172016-2113:14跆VMACTHLPEX3Q16-5-211314392O1&-5-211314392016-5-211519:172E6521131429VMIQQLSD.E IDA-ndex.dat削览文件夹Index.DATRepoit.File:C:DocumenVolumeserial.BSVolumelabelURLCookie:adniiriisliatorcpro.beCookie:achiinisl

58、iatorseach.Cookie:adminisuatorcn.bing日oV*甘*airlmiini-rlYSirkURLSi0U0.0ILjl-MM01-Jt)JJ_*MediamsagentmxtppsmuiNetworkDi0DirOfflineWebPagesPttrNel确定确定取捎VindavsFileAnalyzeE-(PA一Prefetchl中南大学计算机取证实验报告葛健敏29用RecycleBinAnalyzer打开特定文件夹中的快捷方式，显示回收站info2文件信息中南大学计算机取证实验报告葛健敏30用ShortcutAnalyzer找出特定文件夹中的快捷方式并显示存储

59、在它们里面的数据中南大学计算机取证实验报告葛健敏31(2)用CacheMonitor监控Internet缓存Ent.IJRLEnt.IJRLLMilFilailFilaSLED D1 1b-ltf-b-ltf-：1.1. dn-=q/l/pcblaEckdn-=q/l/pcblaEck di.lar/.di.lar/. .U U：00 企 cumcum .43.43LuiLuiXCCML-ILailLail-!LutSrxic-adH.ax-!LutSrxic-adH.aXX1ITS3xa：40%(3)用WFA口CacheMonitor进行取证分析s交1W胸阳El格式皿|ln0p-K $ttU

60、SFlaqcHHSizpLsstRCCfSSURLAIS*11时F湖F1伽HI53532IM5535B5123甲53508Iff航5的m97Ml5Miq66-M1l5MIS15?41船197SIB?ail船45619ga111皿W餐蜂#4 腥Wu匚姓206TtidsMb2F2fl2.2fi?.lia-12W!Fwtil2Ft_i11:1匚dti+id3白di_:i.dt.ZB?.*3-17X71*n勺81$*11&1购VM11?41113B1275171AHI33755CI甲13硕1&7*13371158甲31府M133甲31岫3221*132dBB7lit3M93233H119S33fl7216Mil329WSC41l335717653172A1SAM3森酢4iia盘 g11W41133娅1邓*13IB*1335f5*13MW127A|113255?74*1319B3：neo3芝。址64IMF339B19*241i33JS2fl1?/B5-/971B：51A3MVHtp:/172,22,1*111JxBjpgEB1Z/fl5/W11B：51叩相VdU