计算机取证技术标准,计算机取证技术实验报告.doc

《计算机取证技术》

第 PAGE 12 页 共 NUMPAGES 15 页

中南大学

计算机取证技术

实验报告

学生姓名

学 院 信息科学与工程学院

专业班级

完成时间

目 录

TOC \o "1-3" \h \u 16253 1. 实验一 事发现场收集易失性数据 3

15768 1.1 实验目的 3

7347 1.2 实验环境和设备 3

13006 1.3 实验内容和步骤 3

22313 2. 实验二 磁盘数据映像备份 8

29506 2.1 实验目的 8

3056 2.2 实验环境和设备 8

8616 2.3 实验内容和步骤 8

3370 3. 实验三 恢复已被删除的数据 15

8407 3.1 实验目的 15

3748 3.2 实验环境和设备 15

2162 3.3 实验内容和步骤 15

22617 4. 实验四 进行网络监视和流量分析 19

23522 4.1 实验目的 19

13824 4.2 实验环境和设备 19

32298 4.3 实验内容和步骤 19

21521 5. 实验五 分析Windows系统中隐藏的文件和Cache信息 22

29021 5.1 实验目的 22

32228 5.2 实验环境和设备 22

9916 5.3 实验内容和步骤 23

3544 6. 实验七 数据解密 26

3270 6.1 实验目的 26

10149 6.2 实验环境和设备 27

12991 6.3 实验内容和步骤 27

22082 7.实验总结 30

计算机取证技术

实验一 事发现场收集易失性数据

1.1 实验目的

1.会创建应急工具箱，并生成工具箱校验和；

2.能对突发事件进行初步调查，做出适当的响应；

3.能在最低限度地改变系统状态的情况下收集易失性数据。

1.2 实验环境和设备

1.Windows XP 或 Windows 2000 Professional 操作系统；

2.网络运行良好；

3.一张可用的软盘(或U盘)和PsTools工具包。

1.3 实验内容和步骤

1.创建应急工作盘，用命令md5sum创建工具盘上所有命令的校验和，生成文本文件commandsums.txt：

2.用time和date命令记录现场计算机的系统时间和日期：

3.用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间：

4.用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关和网络接口信息：

5.用netstat显示现场计算机的网络连接、路由表和网络接口信息：

6.用PsLoggedOn命令查看当前哪些用户与系统保持着连接状态：

7.用PsTools工具包中的PsList命令记录 所有正在运行的进程和当前的连接：

实验二 磁盘数据映像备份

2.1 实验目的

1.理解什么是合格的司法鉴定备份文件，了解选用备份工具的要求；

2.能用司法鉴定复制工具对磁盘数据进行备份；

3.查看映像备份文件的内容，将文件执行hash计算，保证文件的完整性。

2.2 实验环境和设备

1.Windows XP 或 Windows 2000 Professional 操作系统；

2.网络运行良好；

3.一张可用的软盘(或U盘)和外置USB硬盘。

2.3 实验内容和步骤

1.制作MS-DOS引导盘，给硬盘或分区做映像时提供干净的操作系统。在DOS提示符下键入以下命令来制作引导盘，并将引导盘写保护。

C:\format a:\ /s 或 C:\sys a:\

软盘的根目录下至少应该有以下三个文件：IO.SYS，COMMAND和MSDOS.SYS。

下载ghost应用软件存放在A盘或其他盘上，但不要放在准备备份的硬盘或分区上。在A盘上启动MS-DOS，找到ghost文件夹下ghost.exe文件，键入ghost回车。

使用ghost对磁盘数据进行映像备份，既可以对磁盘的某个分区进行备份，又可以对整个硬盘进行备份，还可以进行网络之间的映像备份。

对磁盘的某个分区进行映像备份

首先点击“Local”之后，会弹出三个子项：

Disk：对整个硬盘进行备份。

Partition：对分区进行备份。

Check：检查备份文件。

选择“Partition”选项，进行磁盘分区备份，现又会弹出