保密检查专用系统操作手册

保密检查专用系统成都立鑫新技术科技有限公司是一家致力于信息安全领域的高新技术企业。复转人员以及军工企业技术骨干；研发团队以博士、硕士、学士为主，中、高级技术人员超过50%;员工大多来自于国内著名的高等学府，具有计算机信息技术、高频微波技术、工格局。公司长期与国内科研机构和高等院校进行紧密合作，跟踪信息安全的先进技术，以发展具有自主知识产权的信息安全产品为目标，不断引进国内外高新技术，研制并生产出了包括电磁干扰、信息预警、信息防护等不同系列的安全防范产品。产品已广泛应用于军队、安全、保密、公安、党家专利技术和国家权威机关检测并颁发的产品资质证书，并通过ISO9001:2000质量认证。团队目标：建设高素质学习型团队、建设高技术创新型团队建设高效率务实型团队、建设高标准服务型团队。国家保密局涉及国家秘密的计算机信息系统集成资质授权企业国家保密局移动通信干扰器授权研制、生产、销售许可授权企业国家密码管理局商用密码产品销售许可资质授权企业国家科技部科研项目投资资助企业中华人民共和国军用标准参与制定企业成都军区保密办技术合作企业第一章保密检查专用系统(4.0版)简介保密检查专用系统，是根据国家保密局《计算机单机保密技术检查产品技术要求》专为保密检查量身打造的一款简单、易用、有效的保密信息检查工具，本产品主要用于国家互联网监管部门对相关计算机进行涉密数据信息检查和取证。采用技术含量高的检查取证手段，有效地实现计算机痕迹深度搜索和恢复，即使删除了的历史记录，保密检查专用系统也能高效准确地将其恢复并保存。本产品还提供了自动提取被检计算机的相关信息，便于管理方综合分析和对违规行为进行管理，同时，提供了计算机系统安全信息的配置情况；应用程序的安装情况；系统进程、端口、服务的开放情况等等。有助于管理者对计算机设备的安全状况进行深入的了解和做出正确的判断，从而加强对计算机和使用人员的管理。本产品使用方便，安全易用。本产品已通过中国人民解放军信息安全测评认证中心认证。证书编号：军密认证字第1016号。2.产品发布方式为满足用户的不同需求，本产品采用多种发布方式。如图(1)网口检查方式是为了满足用户在没有USB接口和CDROM的情况下对目标USB接口检查方式，采用我公司传统的发布形式，通过USB接口对目标计引导检查方式专门为有涉密计算机(涉密网络)和非涉密计算机(内部局域网)的用户提供的通过光盘引导检查工具在涉密网络和非涉密网络中的物3.主要功能介绍系统对使用用户有严格的操作控制机制，只有合法使用的用户才能启动本系统。用户能够通过“用户设置”功能分派使用人，并设置使用权限，不同的权限具有不同的操作和查询范围，确保检查结果的安全。用户可以对系统的合规检查内容进行白盒和黑盒配置为了方便用户快速对被检查计算机实施检查本系统专门定制了“一键检查”系统对目标计算机的检查分为两大类：计算机静态信息检查和计算机动态信息检查。查、自启动项检查、多操作系统检查、上网上网痕迹检查主要针对被检查计算机是否有过上网行为和是否收发过电子最近使用过的文件检查是对计算机用户在最近一段时间使用过哪些文件进口令检查针对计算机系统设置了哪些用户组和用户的信息进行常规性检3.5.动态信息检查系统进程信息检查对当前计算机启动的进程进行分析，检查是否存在异常进检查分析报告是对对检查的项目进行归集、汇总加以分析，按照不同的第二章使用指南个，电源适配器1个，网线1条，USB接线1条。LX-07AE专用硬件图例图(2)④网线接口；⑤USB接口如图(3)常规如果网络支持此功能，则可以获取自动指派的IP您需要从网络系统管理员处获得适当的IP设置。◎自动获得IP地址@)◎使用下面的IP地址(S):IP地址Ⅱ):子网掩码():默认网关D):高级D确定取消设置。否则，特别说明：本公司保留对硬件外观、电路版和系统固化版本的修改权，若本公司对该产品进行修改或升级，恕不通知使用单位，购买的产品以实际收到的产品为准。使用前的准备事项当您需要使用本产品对目标计算机通过往口进行检查时请遵循以下工作程序：1、接入电源，将电源接入①,这时电源指示灯②和工作指示灯③会同时亮起，这时专用系统在启动当中，请不要断开电源以免对产品造成损坏。当工作指示灯开始闪烁时，系统启动完毕，处于待机状态。2、将配备的网线插入④网线接口与计算机的网口连接，这时计算机会主动连接设备，当计算机网络连接完成后请设置计算机的网络IP地址。3、本产品默认的网络IP地址为：54,被检查计算机也应当按照这个IP段IP地址设置如下： 选择TCP/IP,点击属性如图(4)(5)本地连接属性本地连接属性常规高级连接时使用：此连接使用下列项目@):《说明TCP/IP是默认的广域网协议。它提供跨越多种互联网络□连接后在通知区域显示图标(W)☑此连接被限制或无连接时通知我(M)确定取消属性打开TCP/IP后请不要修改计算机原IP设置，点击“高级”按钮选择IP设置点击“添加”按钮，出现下图窗口，请在窗口中填写好IP地址，点击“添加”后IP地址添加完成。如图高袋高袋TCP/IP设置IP设置DNSWINSIP地址(R)☑自动跃点计数D取消子网掩码选项确定高级高级TCP/XP设置IP设置DNSICP/IP地址IP地址(工):192.168.200子网掩码G):☑自动跃点计数()确定子网掩码取消IP地址添加完成后请点击“确定”按钮保存添加的IP地址。如图(8)高级高级TCP/IP设置接口跃点数@确定取消子网掩码自动保密检查专用系统的启动确认IP地址按照要求设置完成后，点击操作系统的“开始”按钮，选择“运行”(如图),在对话框中输入\I54点击“确定”按钮进入专用设备登录窗口。如图(9)确定取消浏览(B).开始网络工具帮助截图连接到连接到54正在连接到54用户名U密码P):□记住我的密码R)确定特别提示：如果您按照上述方法设置后不能连接到本设备，请检查计算机的服务项目，查看TCP/IPNetBIOSHelper服务是否开启，若没有开启请手动开启这项服务。登录到专用设备，点击启动保密检查专用系统，进行检查工作，具体检查操作手册请参见(四、保密检查专用系统操作指南)如图(11)立鑫科技立鑫科技在毒能角安全检查工具在SCHECK(54)上文件)编辑(E)查看V)收藏(A)工具(T)帮助(搜索文件夹FolderSne地址①)254\安全检查工具文件和文件夹任务cdeciis.exe其它位置我的文档共享文档详细信息1个对象立鑫科技Internet转到MB如果您不需要通过网口对计算机进行检查，请启动专用设备后使用USB接线将专用设备与计算机USB口连接后即可进行检查。具体检查操作手册请参见(四、保密检查专用系统操作指南)个(经特别定制的为2个，分为涉密计算机专用和非涉密计算机专用),如图(12),LX-07AR专用光盘一张，如图(13)。当您执行检查任务时请将专用USB插入被检查计算机USB接口，将专用光盘放入被检查计算机的光驱(确保计算机光盘驱动器无故障)后点击光盘上的保密检查专用系统启动程序(特别版请在弹出登录界面前确认您插入的USB设备与需要检查的计算机属性是否一致，以免造成交叉使用的情况)。具体检查操作手册请参见(四、保密检查专用系统操作指南)高效快挂油表*样空当您购买的保密检查专用系统为LX-07AU时，开箱后您会获得LX-07AU专用USB设备1个，如图(14),当您执行检查任务时请将专用USB插入被检查计算机USB接口。具体检查操作手册请参见(四、保密检查专用系统操作指南)立鑫科技立鑫科技四、保密检查专用系统操作指南cdcciis.exe当您打开保密检查专用系统4.0时，请左键双击该图标,运行保密检查专用系统4.0.。提示：运行本检查工具时，被检查计算机的操作系统是Vista或Windows7的，请您右键点击该图标，选择“以管理员身份运行该程序!”否则，保密检查专用系统部分功能不能运行后弹出浏览文件夹对话框，如图(15):浏览文件夹浏览文件夹+我的文档+我的电脑团网上邻居config确定取消料年要形的心料年要形的心见通其并¥抗起置身三作意面动密汇建检革在在分五有图律在器用产长置位业施累导出打-用产及雪极管建费长查查结类导团被指查单收被指查单收演检计算机演检计算机座解志接息粒要计算析速件信息验查计算机某件值育检查计算机自农地情检查体机度边机查上到填动程查表加解件批查接号构斑建菜图中出障力它著件检盖系税安生第写检查防火赌识置检置计算机事件县艺检量用户及现口检解南查子机制位查多系统抗查需起治物眉整查东统开热服去输基确口标查*图(17)系统配置系统配置共分七个部分：可信任进程配置、可信任服务配置、可信任端口配置、可信任USB配置、可信任站点配置、可信任驱动配置、反取证软件配置。该配置是为了防止一些误报问题的产生而设置的。因为一些电脑中会应用一些特定的软件等，会产生一些特殊的服务或进程，在使用检查系统时可能会产生误报，所以在检查前，您最好先将这些特殊的设置配置好，以免发生误会，点击“系统配置”。1.可信任进程配置，点击选项卡中的“可信任进程配置”,你就可以根据提示，添加可信任进程了，(每项都必须填写!)如图(21):1.进程文件：填写进程名称。如果该进程已经存在，请选择是否更改。2.进程全称：有时候进程文件名与进程全程不是一个，请您认真填写。3.进程描述：对这个本机特有进程进行描述，他有什么特点，干什么用的。4.进程属性：根据您的需要选择。5.后台程序：根据您的需要选择。6.使用网络：根据您的需要选择。8.属于：该进程时那个公司或单位的。9.清空：清空文本框里所有内容。重画而仙重画而仙检套11.保存：保存添加好的可信任进程。校在车出是保用盖性进座研偿得服基东配意共子1可值化测口班德性1可值化测口班德性期信料称%配重可填任烟只完责可算性进程生联讲登立件进程生联讲登立件1进程基述进程康性黑编谢程拿系结进程要用所○基0器本机名稳C-Ot0BE10A6甘程费aAim律开2.可信任服务配置，点击选项卡中的“可信任服务配置”,你就可以根据提示，添加可信任服务了，(每项都必须填写!)如图(22):1.服务名称：填写服务名称。如果该服务已经存在，请选择是否更改。2.文件路径：填写该服务的文件所在位置哈哈。3.服务描述：对这个本机特有服务进行描述，他有什么特点，干什么用的。4.服务属性：根据您的需要选择。7.属于：该进程时那个公司或单位的。8.清空：清空文本框里所有内容。10.保存：保存添加好的可信任进程。1形需理辆口尊值化可请理结流中信南斯在意时价引商#于时语程排动型数立款律文件五组喜报关件断任在使用行础本机分称P02010025106写信任基务配境可信性族口配责可保化在责写值行站页配算，可信件地起在责及新证秋济配查◎基线聊第服务描法能第苏②雪重事3.可信任端口配置，点击选项卡中的“可信任端口配置”,你就可以根据提示，添加可信任端口了，(每项都必须填写!)如图(23):1.端口号：填写端口号。2.使用端口文件名称：请填写那个文件使用了该端口。3.文件路径：端口文件所在的位置。4.端口描述：对端口特点进行描述。6.属于：该进程时那个公司或单位的。7.清空：清空文本框里所有内容。8.取消：取消添加。9.保存：保存添加好的可信任进程。t清1明事程口1明事程口明维性明维性登进程解或福在联装配费田动社融属算m确口号京旋查选其拌酶经其于作量著nt.ao机名称PC-201019.510图(23)4.可信任USB配置，点击选项卡中的“可信任USB配置”,你就可以根据提示，添加可信任USB了，(每项都必须填写!)如图(24):1.USB名称：输入使用USB设备的名称.2.生产厂家：输入使用设备的生产厂家的名字。3.文件路径：使用该设备时的文件路径在那。4.U盘容量：可移动存储介质的容量。5.USB描述：对该设备的功能，特点等进行具体的描述。性：该设备是属于那家公司或厂家的。空：清空文本框里所有内容。消：取消添加。存：保存添加好的可信任USB.图(24)访问的可信站点程了，(每项都必须填写!)如图(25):4.网站描述：描述该网站的内容，功能，特点等。言户气言言置料和中身传的查年出脱在未限三现A0言户气言言置料和中身传的查工样系院配算替否维集模查助查捕基机套程查升街作费x3理值母速性概借性级盛可值在练口理露性第期德普结素其偿在医动三维证载#;文件用读任进得配资可得件程马税查前课使满口促置把得使用配查姓领在试本配置可落任很的起置数和正到产配置贴点名贴点名F地址站工机名角AC-2210122510466.可信任驱动配置，点击选项卡中的“可信任驱动配置”,你就可以根据提示，添加可信任驱动了，(每项都必须填写!)如图(26):1.驱动名称：填写允许本机使用的特殊驱动名称(常规驱动以外的驱动)。2.驱动路径：填写该驱动的完整路径。3.驱动的开发商：填写该驱动的生产厂家或公司。4.驱动版本号：填写当前所有驱动的版本号。5.使用驱动设备：填写什么设备使用了该驱动。6.描述：填写该设备的特点，功能，以及该驱动的作用。7.作者：填写该驱动的作者。8.属于：该驱动的所属公司或厂家。9.清空：清空文本框里所有内容。10.取消：取消添加。11.保存：保存添加好的可信任驱动。样1可度井口可值性室可偿性结*享件可值些进程配置可信性影务视业班语配查81静索遵检查省王而需任进程配算可值任取基在资而道任满口配查」而落使1化育，可填任城点配资有填任在功配置要和证技件置强动书称立的查括随础开光度新动紫本号：t#机名称PC-0100%510469时偿件能动委取证要牛细配置型互酒爆植查可偿性进植射描性擦善?■经查开教在费玉群物重事查喜图(26)7.反取证软件配置，点击选项卡中的“反取证软件配置”,你就可以根据提示，添加反取证软件了，如图(27):1.软件名称：输入反取证软件的工具名称。2.内部名称：该软件在内部使用时所用的名称。3.软件开发商：该款软件的生产公司或厂家。4.软件版本号：您使用这款软件的当前版本号。5.软件描述：填写该软件的功能、特点等等。空：清空文本框里所用内容。消：取消添加。保黑路点生用系压保黑路点生用系压1加值在进标射循化联基可偶母票口可催符T型道在编点时道生招县签称正非件管理要a2n第任并到定置理值任型共配度可信任施口配置可信任算，可信住法成配置时信代和起面和证 划请件把夏■可值生装点距置4前值在筑动配置 并于空重*事以上配置完毕后，就可以进行对计算机检查了。开始检查点击导航条中的“文件”,再点击“新建任务”,如图(28):量打检量打检：住查②的事静断犹共曲而曲事本填府程费检建身听形型前全国户应置然变级架导出n新朝进往务参用户说置改1改1青件用查暂住员n读查往务出称楼蛋名张基检计蓝机：检查执行人件置机属生车进密计塑肌问开的性费群态接取检卷计算机神苗相验查计算机款冲面息检要计算机自自动写检置计算机确进检查农关图件提查下就TA律形理成检毒校育文件共平机重建道使用工种格责接安主策%想施计算机重律进古租查用户及拟口小程费研清查分机新险置数若植意检查基统开族取务题查版属部门器丰次被些普础词在开始检查前，必须先设定这次检查任务名称等。任务名称、被检查单位、所属部门、使用人这四项是必填项，由执行检查人填写。被检查计算机、上次检查时间、本次被检查时间、检查执行人这四项是由检查系统自动获取的。计算机属性由检查执行人按照被检查计算机的属性选择(如果您使用的是特别版该项内容不需要手动填写)。填写完成后，点击保存，才可以执行检查任务!如图(29):设置任务名称设置任务名称清空取消v执行检查执行检查可以有两种选择，第一种是：“一键检查”,当您选择一键检查后，点击“开始检查”,检查系统会对所有检查项进行检查，检查成功后，您可以查看所有检查结果。(如何查看检查结果，将在分项检查功能介绍中为您介绍。)如图(30):◎一键检查○分项检查静态信息检查计算机硬件信息检查计算机软件信息检查计算机自启动项检查计算机痕迹检查上网痕迹检查收发邮件检查USB使用痕迹检查文件检查文件共享检查最近使用过文件检查系统安全策略检查防火墙设置检查本地安全策略检查用户及弱口令检查病毒查杀机制检查多系统检查动态信息检查系统开放服务检查系统进程检查网络端口检查图(30)第二种是分项检查，当您不需要对所有检查项进行检查时，请选择该功能。点击“分项检查”,如图(31):○一键检查○一键检查开始检查◎分项检查静态信息检查计算机软件信息检查计算机自启动项检查计算机痕迹检查收发邮件检查USB使用痕迹检查文件检查文件共享检查最近使用过文件检查 系统安全策略检查防火墙设置检查本地安全策略检查病毒查杀机制检查多系统检查馨动态信息检查系统开放服务检查系统进程检查网络端口检查>分项检查分项检查，可分为两大部分，第一部分是：静态信息检查，当您点击“静态信息检查”前的复选框时，所有静态信息检查内容将全部被选中。第二部分是：动态信息检查，当您点击“动态信息检查”前的复选框时，所有动态信息检查内容将全部被选中。当然了，您也可以选择您需要检查的项进行检查。下面，我们就逐个介绍每个检查的操作过程：静态信息检查图(33)开始检查图(32)多手练址藏上月度章U定变件租意T口*板章。兼获机制2井3G重静信意T机在分新数称BB地并程章软件征基BB系配量计等机包B动预担项排屏CFJ主板新一肥数分区#理内齐Ee*2)星光默2增盘按德形(lat或理)存人体学家天读呼院扬件警无级上料卡来X珠eWz未常规王斯由器肃兰现中其地外进未龙据洋报摆意日#3参板税召其可上已管产上R和迹转重F套工网b和激进查式件检在新龋础密文件检查平规安文繁高恰查曹去地!安生阅贴和NTr南判子就数北.动者需草检查:晋关于3工机志称SC2111000≤104k图(34)属一般硬件信息CPU主板日硬盘：2硬盘：ST380815AS硬盘：U5BDISK2,0USBDevice日磁盘分区：5磁盘分区：C磁盘分区：D磁盘分区：E磁盘分区：F磁盘分区：K物理内存：Bank6/7显卡：PCIWEN_10DE&DEV_016A&SUBSVS_025…声卡：RealtekHighDefinitionAudio光驱：TSSTcorpDVD-ROMTS-H352D键盘：增强型(101或102键)鼠标；USB人体学输入设备V图(35)第二部分显示每条结果的详细信息，如图(36):磁盘分区；D分区字符文件系统类型剩余空间总空间使用率DNTFS图(36)脑使用过上网卡、蓝牙设备、视频设备、打印机等等，都会被检查出来。如图(37):晋常研进是设备名称设备类型设备描述硬件ID驱动ID最后访问时间未知设备团未知设备困HID人机接口设备团未知设备困HID人机接口设备红外线上网卡WIMAX无线路邮器USBDevice蓝牙设备GenericEluetooth,RadioUSBiWid_0a128Pid_00018Rev_0134{EOCBF06C-CD8B-4647-BB8A-263B43F0F974}(0000{E0CBF06C-CD8B-4647-BB8A-263B43F0F974}2010-07-0616:02:45未发现未发现未发现V图(37)2:计算机软件信息检查：软件信息检测，主要是让检测人员了解本机上装载了那些软件，并且从中找出那些是违规软件。当您需要对被检查计算机进行计算机软件信息检查时，请左键单击复选框，复选框中有‘√’出现(软件检查可以检查出该电脑所有安装的软件，暂不支持免安装的绿色软件)。如图(38):图(38)然后点击开始检查。系统就会对当前电脑的所有软件进行检查。检查成功后如图(39):然后点击开始检查。系统就会对当前电脑的所有软件进行检查。检查成功后如图(39):文件共享检查确定图(39)营您可以点击项目导航条中的静态信息检查，然后单击工具栏中的软件检查图标，来查看营检查结果。如图(40):#上共平口4检理陕件检查件指查口4检理名建计直状建件信意称建计直状建件信意称计算机较件馆意整日启动档日启动档件校章伍分解人法面学框黄进击交件标意期火填设避给计算机事件五本级安全略考动交信幕行意9齐题费登器项县结果分两部分显示：第一部分显示检查结果的条数，在这个界面里，当您选中某个具体软件后，可以右键单击该软件，执行查找该软件所在位置，也可以卸载该软件。如图(41):显示名显示名日应用程序类办公软件 曰图文处理ACDSee2.管理工具设计工具文本编辑田网络应用类软伴反取证软件国⑦娱乐类软件输入法田补丁程序安装名称安装目录5.0ACDSee第二部分显示该软件的详细信息的详细信息，如图(42):值显示名安装名称ACDSee版本安装目录知载安装时间C:ProgramFiles(ACDSee5C:\ProgramFiles(ACDSee5)uninst.exeACDSystems,Ltd,图(42)3:计算机自启动项检查：自启动项检测，主要是让检测人员了解开机时，有哪些自启动项目。当您需要对被检查计算机进行计算机自启动项检查时，请左键单击复选框，复选框中有‘√’出现。如图(43):图(43)然后点击开始检查。系统就会对当前电脑的所有自启动项检查。检查成功后如图(44):图(44)查看检查结果，如图(45):软件名称运行路径tfmon,exePHIME20Q2A5yncPHIME2002ANvCplDaemonvmware-trayC;WINDOW5Isystem32\ctfmon.exeC:ProgramFles\Lingoes\TrC:WINDOWSISysten32IIMEITINTLGNTC:WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE/IMENameRUNDLL32.EXEC:IWINDOWS\system32{NvCpl.dll,NvStartup图(45)用痕迹检查。下面我们将分别介绍每个功能的用法和结果查询。图(48)复选框，复选框中有‘√’出现。(注：上网痕迹检查为您提供了两种检查方式：第一种是“中度搜索”,是对计算机的上网痕迹进行一般的检查。即常规检测，常规检测是针对电脑普通的数据检查取证，所获取的信息主要是存放的磁盘上没有删除的数据信息。第二种是“深度搜索”,它能把计算机已经删除掉痕迹搜索出来。深度检查采用数据恢复技术，针对整个磁盘分区进行数据恢复检测，把所有删除的上网信息恢复出来并且生成检查结果。)如图(46):图(46)然后点击开始检查。系统就会对当前电脑的所有上网痕迹检查。检查成功后如图(47):执行完成执行完成提示图(47)您可以点击项目导航条中的静态信息检查，然后单击工具栏中的上网痕迹检查图标，来查看检查结果，(这个结果是中度搜索的结果)如图(48):中度搜索深度搜索收发邮件检查访问地址访问时间记录编号kCookie:administrator@10,4,1,8/tdbin/Help/OnlineHelp/2010-6-118:39:25Cookie;administrator@/2010-7-206:29:59Cookie:administrator@/2010-7-206:29:57困其它类型(12)因文件(18)C访问地址访问时间立即查找记录编号=Cookie(3)Cookie:administrator@10,4,1,8/tdbin/Help/OnlineHelp/Cookie;administrator@/Cookie:administrator@/田其它类型(10)田文件(17)2010-6-118:39:252010-7-206:29:592010-7-206:29:57123中度搜索深度搜索访问地址访问时间记录编号Cookie:administrator@/tdbin,Help/OnlineHelp/2010-6-118;39:251Cookie:administrator@/2010-7-206:29:592Cookie;administrator@/2010-7-206:29:573田其它类型(12)田文件(18)图(49)项要的结果进行进一步的查找，来节约您的时间，如图(50):b立即查找访问地址访问时间记录编号Cookje(1Cookje:administrator@/tdbin/Help/OnlineHelp/2010-6-118;39:251田其它类型(2)田文件(4)图(50)的深度搜索界面，点击蓝色字体“深度搜索”,(您会看到进度条提示，请耐心等待!)如图中度搜索深度搜索访问地址状态访问时间记录编号国Cookie(3)国文件(18)田其它类型(12)URL(13)深度搜索立即查找访问地址状态访问时间记录编号图(51)结果显示分两部分，第一部分：是显示所有深度搜索的检查结果，如图(52):中度搜索深度搜索收发邮件检查访问地址状态访问时间记录编号日Cookie(3)Cookje;administrator@10,4.1.8/tdbin/Help/OnlineHelp/Cookie;administrator@sogou,com/Cookie;administrator@/田文件(18)田其它类型(12)日URL(13)/js/func.jshttp:[I/js/func.js/news/aiofinaltu/images/cntmain_bg.gif/news/aiofinaltu/images/cntl_top.gif/news/aiofinaltu/images/icon_01.gifhttp:f//wwwliskin/skin4/expo_line.gif/news/aiofinaltu/images/nowpsn_bg.gif/news/aiofinaltujimages/left_bot.gif/news/aiofinaltu;images/left_tit.gif/js/comment_jframe.js/js/comment_jframe.js/www/liskin/skin4/expotclogo.gifLhhm,Mmshtaecamlna-lsinfimslh,himsasetrnkvker2010-2-232:14:232010-2-232:14;242010-2-232:14:24123123图(52)项要的结果进行进一步的查找，来节约您的时间，如图(53);立即查找立即查找状态访问时间记录编号状态访问时间记录编号其它类型(2)FURL(3)2:收发邮件检查：当您需要对被检查计算机进行收发邮件检查时，请左键单击复选框，复选框中有‘√’出现。(本系统目前只能对Microsoft进行检查。)如图(54):计算机痕迹检查上网痕迹检查√收发邮件检查USB使用痕迹检查OfficeOutlook和Foxmail中的软件然后点击开始检查。系统就会对当前电脑的所有邮件进行检查。检查成功后如图(55):上网痕迹检查收发邮件检查U5B使用痕迹检查文件检查文件共享检查最近使用过文件检查系统安全策略检查确定提示您可以点击项目导航条中的静态信息检查，然后单击工具栏中的上网痕迹图标，来查看检查结果，如图(56):中度搜索深度搜索收发邮件检查下载工具检查邮件类型邮件名称关键字附件大小发件人发件时间收件人FoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFaxMallFoxMailFoxMailFoxMail=OutLook日草搞箱(1)OutLook困发送邮件(2)田接收邮件(263)困已册除(11)腾讯域名邮箱：腾讯知会函：已…68387982921228668“QQ邮箱管理员“<10000@…0:00:00"QQ邮箱管理员"<10000@…0:00:00"accountregistry@tencent,c…0:00:00“admin@uqub“尊敬的QQ用“尊敬的QQ用“尊敬的QQ用“尊敬的QQ用“尊敬的QQ用“尊敬的QQ用“尊敬的QQ用问问日刊-问问日刊-问问日刊-问问日刊-问问日刊-【爱…【高…【揭…【科…【梁…《有.中“SOSO问问“<SOSO问问>“SOSO问问“<S05O问问>“SOSO问问“<SOSO问问>“5OSO问问“<505O问问>“5O5O问问“<505O问问>“5OSO问问“<S05O问问>“5O5O问问“<SO5O问问>0:00:000:00:000:00:000:00:000:00:000:00:000:00:00我新申请的QQ.…新浪空改域名邮箱帐号a…域名邮箱帐号u…注册微软免费速…没事。做测试~~"炫、x~早"<1374161438…0:00:00新混空间"cnaceadmin...2010-6-620;28;10"一隻魚"<aQQ邮箱管理员"<10000@…0:00:00"QQ邮箱管理员"<10000@…0:00:00"Microsoft”<Microsoft@e-m..2010-6-314:58:19“admin@sevew@uquba,cor邮件类型邮件名称关键字附件大小发件人发件时间收件人收件时间属性FoxMail浪空间修改邮箱确认信新浪空间”<space_admin@>010-6-620:28:10一隻魚”<admin@uquba,com>图(56)结果分两部分显示，第一部分：显示所有检查结果，如图(57):中度搜索深度搜索收发邮件检查下载工具检查邮件类型邮件名称关键字附件大小发件人发件时间收伴人FoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMailFoxMail腾讯知会函：已…问问日刊-【爱…问问日刊-【高…问问日刊-【揭…问问日刊-【科…二刊-【中…中请的QQ…“QQ邮箱管理员”<10000@…0:00;00“QQ邮箱管理员”<10000@…0;00:00"accountregistry@tencent,c…0;00;00“SOSO问问“<5050问问>0;00:00“SO5O问问”<5050问问>0;00;00“5O5O问问“<5050问问>0:00:00“SOSO问问”<5050问问>0;00;00“SO5O问问”<5050问问>0;00;00“SO5O问问“<5050问问>0:00;00“SO5O问问“<5050问问>0:00;00“炫、x~早“<1374161438…0;00;00A“admin@uqub“尊敬的QQ用“尊敬的QQ用“尊敬的QQ用“尊敬的QQ用“尊敬的QQ用“尊敬的QQ用“尊敬的QQ用新混空间修改邮测QQ邮箱管理员"<10000@…0;00;00“QQ邮箱管理员“<10000@…0;00;00邮箱帐号a..域名邮箱帐号u…注册微软免费速…OutLook日草搞箱(1)OutLook没事。做测试~~w@uquba,cor田发送邮件(2)田接收邮件(263)田已册除(11)<图(57)第二部分：显示每个邮件的详细信息，如图(58):图(59)图(59)值邮件类型邮件名称关键字浪空间修改邮箱确认信附件大小发件人发件时间收件人收件时间属性新浪空间"<space_admin@>一隻魚“<admin@>图(58)3:USB使用痕迹检查：检查机器U盘、移动硬盘等移动介质的使用记录，并将结果显示出来。当您需要对被检查计算机进行USB使用痕迹检查时，请左键单击复选框，复选框是对计算机的USB痕迹进行一般的检查。第二种是“深度搜索”,它能把计算机已经删除掉痕迹搜索出来。)如图(59):然后点击开始检查。系统就会对当前电脑的USB使用痕迹进行检查。检查成功后如图文件共享检查最近使用过文件检查提示确定图(60)您可以点击项目导航条中的静态信息检查，然后单击工具栏中的USB痕迹图标，来查看检查结果，(中度搜索结果)如图(70):中度搜索深度搜索设备名驱动设备序列号最后访问时间cdlixinCD-ROMUSBDevice立鑫科技安全U盘V4.0USBDevice立鑫科技检查工具V3.0.1USBDevice立鑫科技检查工具V3,0,1USBDevice立鑫科技检查工具V3.0,1USBDevice立鑫科技检查工具V3.0.1USBDevice立鑫科技检查工具V3.0.1USBDevice芒鑫科技眷查护具V3,0.1USBDeviceU5BDISK2.0USBDevicecdlixinf003HardDriveUSBDevicecdlixinf003HardDriveUSBDeviceST920042OASGU5BDeviceTOSHIBATransMemoryUSBDeviceUSB2.0USBFlashDriveUSBDeviceWD1600BEVExternalUSBDevice应鑫科技安全U虚V4.0US8Devce立鑫科技检查工具V3.0.1U5BDevice立鑫科技检查工具V3,0.1USBDevice立鑫科技检查工具V3,0.1USBDevice立鑫科技检查工具V3,0.1USBDevice立鑫科技检查工具V3,0.1U5BDevice立鑫科技检查工具V3.0.1USBDevice芒鑫科技眷查护具V3,0,1USBDeviceCD-ROMDrive磁盘驱动器磁盘驱动器磁盘驱动器磁盘驱动器磁盘驱动器0713500129AF460025110300817FAC0029153501737D3200607A508001BAE6A58000A27001E4BF55E0EB08C5141B399282590ec817ad1ca5758453430384B55.0713500129AF460025110300817FAC002815220058FF340029153501737D320062010-3-312:33:452010-7-210:58:322010-7-217:17:592010-5-174:56:252010-5-175;54;392010-3-310:58;462010-5-46:51:442010-6-182:22:182010-7-217:57:192010-7-201:13:272010-3-312:33;482010-3-312:35:142010-6-234:30:382010-7-152:3:362010-7-191:22:192010-7-201:13:342010-7-210;58;322010-7-217:17:592010-5-174:56;212010-5-175:54:352010-3-310:58;412010-7-217:3:52010-5-46:51:412010-6-182:22:14(标准(标准(标准(标准(标准(标准(标准(标准(标准(标准(标准设备名驱动设备序列号最后访问时间装置DriveIDHardwarID立鑫科技安全U盘V4,0USBDevice磁盘驱动器(标准磁盘驱动器)USBSTOR\DiskUV4.05.00图(70)结果显示分两部分，第一部分：是显示所有中度搜索的检查结果，如图(71):中度搜索深度搜索设备名驱动设备序列号最后访问时间CD-ROMDriveCD-ROMDriveCD-ROMDriveCD-ROMDriveCD-ROMDrive立鑫科技安全U盘V4,0USBDevice立鑫科技检查工具V3,0,1USBDevice立鑫科技检查工具V3.0.1USBDevice立鑫科技检查工具V3,0.1USBDevice立鑫科技检查工具V3,0,1USBDeviceCD-RIOMDrive芒鑫科技眷查护具V3,0.1U5BDeviceCD-RMDriveAppleiPodUSBDevice驱动cdixinf003HardDriveU5BDevice磁盘驱动器cdlixinf003HardDriveUSBDevice磁盘驱动器ST920042OASGUSBDeviceTOSHIBATransMemoryUSBDeviceU5B2.0USBFlashDriveU5BDeviceWD1600BEVExternalUSBDeviceDevceU5BDevceU5BDeviceUSBDeviceU5BDeviceUSBDeviceUSBDeviceUSBDeviceUSBDevice立鑫科技检查工具V3,0.1立鑫科技检查工具V3,0,1立鑫科技检查工具V3.0.1立鑫科技检查工具V3,0.1立鑫科技检查工具V3,0.1立鑫科技检查工具V3,0,1芒鑫科技眷查护具V3,0.1000CCCBB99990713500129AF460017121200CA842D00171345011EDAA10025110300817FAC0029153501737D320060000000000330EB08C5141B399282590ec817ad1ca5758453430384855…000CCCBB99990713500129AF460025110300817FAC002815220058FF340029153501737D32006(标准(标准(标准(标准(标准(标准(标准(标准(标准2010-7-217:17;592010-5-174:56;252010-5-175:54:392010-3-310:58;462010-5-46:51:442010-6-182:22:182010-7-217:57:19(标准2010-7-201:13:27(标准2010-3-312;33;48(标准2010-3-31.2:35:142010-7-191:22;19(标准(标准2010-3-31.2:35:142010-7-191:22;192010-7-201:13:34(标准2010-7-210:58:32(标准(标准(标准2010-5-174:56:212010-5-175:54:352010-3-310:58:41(标准2010-7-217:3:5(标准2010-5-46:51:41(标准2010-6-182:22:14(标准《图(71)第二部分：显示每条结果的详细信息，如图(72):设备名驱动设备序列号最后访问时间装置DriveIDHardwarID立鑫科技安全U盘V4.0U5BDevice磁盘驱动器(标准磁盘驱动器){4D36E967-E325-11CEUSBSTOR\DiskUV4.0深度搜索：当您想对本机USB痕迹进行检查的时候，请单击选项卡中的深度搜索界面，点击蓝色字体“深度搜索”,(您会看到进度条提示，请耐心等待!)如图(73):中度搜索深度搜索驱动产品号版本注册…序列号标准CDRom驱动器标准CDRom驱动器CDLIXIN5.0053f56.000CCCEE9999&1困2,0(27)团Apple(6)BCDLIXIN(77)标准CDRom驱动器CDLIXIN5.00{53f56.…000CCCBB9999&1标准CDRom驱动器CDLIXIN5.00{53f56.…000CCCBB9999&1标准CDRom驱动器CDLIXIN5.00{53f56.000CCCBB9999811IN标准CDRom驱动器CDLIXIN5.00{53f56…000CCCBB9999&168688888886E*ES668E6**8*0199%深度搜索驱动产品号版本注册位置序列号CDLIXIN5.00{53f56308-b6bf-11d0-94f2-00a0c91efbsb}000CCCBB999981结果显示分两部分，第一部分：是显示所有深度搜索的检查结果，如图(7·):中度搜索深度搜索驱动产品号版本注册…序列号田(134)田(343)田2,0(27)Apple(6)+CBM(60)CDLIXIN(77)标准CDRom驱动器标准CDRom驱动器标准CDRom驱动器标准CDRom驱动器标准CDRom驱动器标准CDRem驱动器CDLIXIN5,00{53f56..000CCCBB9999&1CDLIXIN5,00{53f56..,000CCCBB9999&1ODLIXIN5;0053f56.…00OCCCEE999981标准CDRom驱动器标准CDRom驱动器标准CDRom驱动器标准CDRom驱动器标准CDRom驱动器标准CDRom驱动器标准CDRom驱动器标准CDRom驱动器标准CDRom驱动器5.00{53f56..,000CCCBB9999&15.00{53f56…000CCCBB9999&15.00{53f56..,000CCCBB9999&15.00{53f56.,000CCCBB9999&15,00{53f56..000CCCBB9999&15.00{53f56..000CCCBB9999&15.00{53f56..000CCCBB9999&15.00453f56.….000CCCBB9999&1VCDLIXINCDLIXINCDLIXINCDLIXINCDLIXINCDLIXINCDLIXIN图(74)第二部分：显示每条结果的详细信息，如图(75):描述驱动标准CDRom驱动器产品号CDLIXIN版本注册位置{53f56308-b6bf-11d0-94f2-00a0c91efb8b}序列号000CCCBB9999&1图(75)存放的磁盘中的数据，此检查主要是查看计算机是查计算机进行文件共享检查时，请左键单击复选框，复选框中有‘√’出现。如图(76):图(76)确定提示图(77)查看检查结果。如图(78):工件em勤市薄商和布面工体算检开在新案者计然律能卷BE多基药校盖上月疫进生滚进文序数卷安生知响四核卷要系机制亚件*采析配费释飞博意些查计签机轴件信意核计算机较件信息计算机日有动豫标本草线检查=计签机上同重证标》上月南班检理 收发转件征查下我工M其用检查空文件行查量诉供用对的了空文件行查*平抵定全繁据构意加火描动置在开算耗事件日有工地尖生有人查事确南登子机期盐查故必道意检素好事税志称201009.510*共草文件化查我过使形文程税查动你文特格查共零文件名斯C54t新在C1WICV3Y在面程笼理默认共享默以共享跑基望运程C21241n*DmICE,Qe子维盐件传2jautntolo.MirVo/5xd图(78)结果分三个部分显示：第一部分显示检查结果，如图(79):共享文件名称备注路径允许最多用户安装时间共享盘符打印队列共享设备远程管理曰默认的共享盘符ADMIN$C事D车E事F事默认的打印队列默认的共享设备曰默认的远程管理远程管理默认共享默认共享默认共享默认共享C:1WINDOWSTrueTrue IPC$远程IPC回图络共享图(79)第二部分显示共享文件夹及其子目录，如图(80):地址：D:U\ProcessManagerProcessManagerProcessManager图(80)第三部分显示文件夹里的内容，如图(81):图(81)2:最近使用过文件检查：当您需要对被检查计算机进行最近使用过文件检查时，请左键单击复选框，复选框中有‘√’出现。如图(82):图(82)然后点击开始检查。系统就会对当前电脑的所有最近使用过文件进行检查。(如果文件过多，检查时间会长，请您耐心等待。)检查完成后，如图(83):过多，检查时间会长，请您耐心等待。)检查完成后，如图(83):确定图(83)标，来查看检查结果。如图(8·):工件事S配置否值属毒世太策用参委检卷出称探天继件机型转件拉查自慰北第工优档回有csmin工学生第解口查登并书共学文洋程费最近资用立档些益沙它文件检置工序建计算机块拌强触松计算代缺件德要整计算机自启动理碎就系统检查用计算机上月填商燃上酮模动校查安左酸件标范平表工真应查Vp快用顺方检面量近使压有文件名称世卷文所大中在使问最后酒河时施经以时国在入《Doca5nrgCHPccanertsendSettsgitweattinEdfutenssSetbn)UcmeiaCiPecunentsandkftoDexumernandRitegPeSCHDccteiand]DD:D:myDjeinegsiyhevpftcmertsie己已册*己著障4675第42862010400502312210-10-#00140-050)512010102111019-100911*2009240098D-0*2901500*1010-02020054201010-081727:12201910-19054:2420L0-10-F1122010-09-2708+6:2010.92704.46:3201020-00125*2013-10-035*1102040-:0-0306:5+:202213-10.091225:02210-10.091152:2010-10-09D25*26201009-289*02:30:2010-04-3015.00442010-2-0900.005*210107711010-0-5J010-0=1201069-2700.46:402010.00.2747.1044.2012-08-26-0=oh¹201030-9252010-50-8900*:102010-:0-0308:5*EXni2012125-12n-09112910-68-09-08:5*262045-69-290mC2;01000.3065X10-0.71*.60.*42010-10-00D21002010-60-0017:37440103m-12010-0908:36.2706:47.4011.495m言言~学析南键涉密交件检意常部科者期火结出整位了计算机事性意本地发生算略习庄户在口分核查倍0者文洋大生色理时册 最需动河时间想召时网拟建人动杂摆息程意寸共子(本机名称：8<2100051046图(84)结果分三个部分显示：第一部分显示该电脑所有使用过的文件记录，如图(85):最近使用的文件名称状态文件大小创建时间最后访问时间修改时间创建人K:\6.23上网痕迹搜索结…K:\6.23上网痕迹搜索结…2010-06-2806:26:262010-06-2806:26:262010-06-2306:13:042010-06-2306:13:042010-06-2306:16:092010-06-2306:16:082010-07-0605:40:402010-07-0607:17:072010-07-0605:52:552010-07-0202:27:192010-07-0202:27:192010-07-0605:39;422010-07-0605;32:432010-07-0605:33:002010-07-0605:39:522010-07-0605:39;442010-07-0603:56;402010-06-2806:36:322010-06-2806:55:562010-06-2306:13:062010-06-2306:13:062010-06-2306:16:102010-06-2306:16:102010-07-0605;40:422010-07-0607:17:082010-07-0605:57:382010-07-0202:27:202010-07-0202:27:202010-07-0605:39;442010-07-0606:08:502010-07-0605:33:022010-07-0605:39:542010-07-0605:39:542010-07-0605:33:162010-06-2806;36:322010-06-2806:55:562010-06-2306:13:062010-06-2306:13:062010-06-2306:16:102010-06-2306:16:102010-07-0605:40:422010-07-0607:17:082010-07-0605;57:382010-07-0202:27:202010-07-0202;27:202010-07-0605:39;442010-07-0606:08:502010-07-0605:33:022010-07-0605:39:542010-07-0605:39:542010-07-0605:33:16K;lppl左拜2.jpgK:{SKY-134-AVIK:{SKY-134-AVI\dioguitar2...K:{SourceK;保密检查专用系统说…K:}粉碎专用工具，hmxK:\共享K:共享)run.vbsK;共享问题，xK;科思网站欢迎您!,mhtK:浏览科思ERP知识宝库.K:(软件分类目录(4.0用…K:\软件分类目录(4.0用…K:\软件工程用户手册编…已册除已册除已册除《》图(85)第二部分是输入部分，这里您可以查询出您指定天数内的，该电脑使用过搜索最近5天内使用过的文件图(87)最近使用的文件名称状态文件大小创建时间最后访问时间修改时间创建人C:{DocumentsandSetting…已册除6752010-07-0603:32;182010-07-0700;42:202010-07-0700:42:20C:\DocumentsandSetting….已册除8572010-07-0700:42:152010-07-0700:42:202010-07-0700:42:20C:\DocumentsandSetting…已册除2112010-07-0503:47:022010-07-0608:46:002010-07-0608:46:00C:\DocumentsandSetting…已册除2112010-06-0405:46:012010-07-0702:56:502010-07-0702:56:50C:{DocumentsandSetting…3962010-07-0500;41:052010-07-0500;41:062010-07-0500:41:06C:\DocumentsandSetting…3942010-07-0208;00:552010-07-0208:00:562010-07-0208:00:56C:\DocumentsandSetting…2842010-06-2403:13:312010-07-0201:00:562010-07-0201:00:56C:\DocumentsandSetting…5732010-07-0200:59;482010-07-0201:00:562010-07-0201:00:56C:\DocumentsandSetting…5782010-07-0201:00;482010-07-0201:00:502010-07-0201:00:50C:\DocumentsandSetting…已册除3632010-07-0208;40:242010-07-0501:46:422010-07-0501:46:42C:\DocumentsandSetting…5892010-07-0501:08:382010-07-0501:46;422010-07-0501:46;42C:}DocumentsandSetting…5892010-07-0208:40:242010-07-0208:40:262010-07-0208:40:26C:{DocumentsandSetting…已册除4242010-07-0206:30:122010-07-0206:30:142010-07-0206:30:14C:{DocumentsandSetting…7202010-07-0206:30:122010-07-0206:30:142010-07-0206:30:14C:DocumentsandSetting…CMNnrimenteandSerhinn产册全3703892010-07-0600:42;462010-07-06.∩3·45·072010-07-0600;42;482010-07-06∩3·45·n82010-07-0600:42;483·45·n8》图(88)3:涉密文件检查：点击选项卡中的“涉密文件检查”,如图(…):图(91)涉密文件检查开始搜索搜素关键字机密；秘密；绝密空格数5文件名称关键字状态创建时间最后修改时间最后访问时间图(89)请先输入您要搜索的关键字和搜索路径，然后点击“开始搜索”,如图(90);开始搜索搜索关键字机密；秘密；绝密空格数5图(90)文件名称关键字状态创建时间最后修改时间最后访问时间C:DocumentsandSetting..秘密2010-7-163:27:92010-7-2816:0:02010-7-2816:0:0C:{DocumentsandSetting…秘密2010-7-163:27:92010-7-2816:0:02010-7-2816:0:0C:ADocumentsC:{DocumentsSetting..Setting…秘密秘密2010-7-163:27:92010-7-163:27:92010-7-2816:0:02010-7-2816:0:02010-7-2816:0:02010-7-2816:0;0C:{DocumentsandSetting…秘密