计算机取证技术实验报告要点
中南大学
计算机取证技术
实验报告
学生姓名
学 院 信息科学与工程学院
专业班级
完成时间
目 录
1. 实验一 事发现场收集易失性数据3
1.1 实验目的3
1.2 实验环境和设备3
1.3 实验内容和步骤3
2. 实验二 磁盘数据映像备份8
2.1 实验目的8
2.2 实验环境和设备8
2.3 实验内容和步骤8
3. 实验三 恢复已被删除的数据15
3.1 实验目的15
3.2 实验环境和设备15
3.3 实验内容和步骤15
4. 实验四 进行网络监视和流量分析19
4.1 实验目的19
4.2 实验环境和设备19
4.3 实验内容和步骤19
5. 实验五 分析Windows系统中隐藏的文件和Cache信息22
5.1 实验目的22
5.2 实验环境和设备22
5.3 实验内容和步骤23
6. 实验七 数据解密26
6.1 实验目的26
6.2 实验环境和设备27
6.3 实验内容和步骤27
7.实验总结30
计算机取证技术
实验一 事发现场收集易失性数据
1.1 实验目的
1.会创建应急工具箱,并生成工具箱校验和;
2.能对突发事件进行初步调查,做出适当的响应;
3.能在最低限度地改变系统状态的情况下收集易失性数据。
1.2 实验环境和设备
1.Windows XP 或 Windows 2000 Professional 操作系统;
2.网络运行良好;
3.一张可用的软盘(或U盘)和PsTools工具包。
1.3 实验内容和步骤
1.创建应急工作盘,用命令md5sum创建工具盘上所有命令的校验和生成文本文件commandsums.txt
2.用time和date命令记录现场计算机的系统时间和日期:
3.用dir命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间:
4.用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关和网络接口信息:
5.用netstat显示现场计算机的网络连接、路由表和网络接口信息:
6.用PsLoggedOn命令查看当前哪些用户与系统保持着连接状态:
7.用PsTools工具包中的PsList命令记录 所有正在运行的进程和当前的连接:
实验二 磁盘数据映像备份
2.1 实验目的
1.理解什么是合格的司法鉴定备份文件,了解选用备份工具的要求;
2.能用司法鉴定复制工具对磁盘数据进行备份;
3.查看映像备份文件的内容,将文件执行hash计算,保证文件的完整性。
2.2 实验环境和设备
1.Windows XP 或 Windows 2000 Professional 操作系统;
2.网络运行良好;
3.一张可用的软盘(或U盘)和外置USB硬盘。
2.3 实验内容和步骤
1.制作MS-DOS引导盘,给硬盘或分区做映像时提供干净的操作系统。在DOS提示符下键入以下命令来制作引导盘,并将引导盘写保护。
C:\format a:\ /s 或 C:\sys a:\
软盘的根目录下至少应该有以下三个文件:IO.SYS,COMMAND和MSDOS.SYS。
下载ghost应用软件存放在A盘或其他盘上,但不要放在准备备份的硬盘或分区上。在A盘上启动MS-DOS,找到ghost文件夹下ghost.exe文件,键入ghost回车。
使用ghost对磁盘数据进行映像备份,既可以对磁盘的某个分区进行备份,又可以对整个硬盘进行备份,还可以进行网络之间的映像备份。
对磁盘的某个分区进行映像备份
首先点击“Local”之后,会弹出三个子项:
Disk:对整个硬盘进行备份。
Partition:对分区进行备份。
Check:检查备份文件。
选择“Partition”选项,进行磁盘分区备份,现又会弹出三个选项:
To Partition:把一个分区完整地复制到另一个分区中。
To Image:把分区制作成一个映像文件存放。
From Image:回复映像文件。
选择“To Image”来制作映像文件,出现的界面是当前硬盘的选择窗口,选中需要备份的分区之后,再键入映像文件的保存路径和文件名。
接下来,系统会询问是采用No(无压缩)、Fast(快速压缩)还是High(高压缩率)中的方式备份,如果选择High模式后,稍等片刻,磁盘分区的映像文件生成了。
对整个磁盘进行映像备份
先将准备好的外置USB