《计算机取证技术》
实验报告
实验一
实验题目:
用应急工具箱收集易失性数据
实验目的:
(1)会创建应急工具箱,并生成工具箱校验和。
(2 )能对突发事件进行初步调查,做出适当的响应。
(3 )能在最低限度地改变系统状态的情况下收集易失性数据。
实验要求:
精选文库
(1)Windows XP 或Windows 2000 Professional 操作系统。
(2 )网络运行良好。
(3 )一张可用 U盘(或其他移动介质)和 PsTools 工具包。
实验主要步骤:
(1)将常用的响应工具存入 U盘,创建应急工具盘。 应急工具盘中的常用工具有 cmd.exe;
netstat.exe; fport.exe; nslookup.exe; nbtstat.exe; arp.exe; md5sum.exe; netcat.exe;
cryptcat.exe; ipconfig.exe; time.exe; date.exe 等。
(2 )用命令 md5sum(可用 fsum.exe 替代 ) 创建工具盘上所有命令的校验和,生成文本文
件commandsums.txt 保存到工具盘中,并将工具盘写保护。
(3 )用 time 和 date 命令记录现场计算机的系统时间和日期,第( 4 )、(5 )、(6)、(7 )
和( 8)步完成之后再运行一遍 time 和date 命令。
(4 )用dir 命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时
间、修改时间和创建时间。
(5 )用 ipconfig 命令获取现场计算机的 IP地址、 子网掩码、 默认网关, 用 ipconfig/all
命令获取更多有用的信息:如主机名、 DNS服务器、节点类型、网络适配器的物理地址等。
(6 )用 netstat 显示现场计算机的网络连接、路由表和网络接口信息,检查哪些端口是
打开的,以及与这些监听端口的所有连接。
(7 )用 PsTools 工具包中的 PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。
(8 )用 PsTools 工具包中的 PsList 命令记录当前所有正在运行的进程和当前的连接。
实验结果:
-- 2
精选文库
-- 3
精选文库
心得体会: 计算机取证工具箱简单方便,无需安装,应急工具箱收集易失性数据,在计算
机取证过程中对案发现场计算机的取证起着关键性的作用, 用它可以找出计算机当时所处的
状态,从而收集证据。对于取证人员来说,这个是非常关键的一步。
-- 4
精选文库
实验二
实验题目 :用应急工具箱收集易失性数据
实验目的 :
1. 理解文件存放的原理,懂得数据恢复的可能性。
2. 丁解几种常用的数据恢复软件如