《中南大学计算机取证技术实验报告.doc》由会员分享,可在线阅读,更多相关《中南大学计算机取证技术实验报告.doc(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、优质文本计算机取证技术实验报告 学院: 信息科学与工程学院 班级: 学号: 姓名: 指导老师: 张健 优质文本 目录目录1实验一 事发现场收集易失性数据2实验二 磁盘数据映像备份7实验三 恢复已被删除的数据11实验四 进行网络监听和通信分析16实验五 分析Windows系统中隐藏的文件和Cache信息20实验六 数据解密26总结28 实验一 事发现场收集易失性数据实验目的1会创立应急工具箱,并生成工具箱校验和。2能对突发事件进行初步调查,做出适当的响应。3能在最低限度地改变系统状态的情况下收集易失性数据。实验环境和设备1Windows XP 或Windows 2000 Professional
2、操作系统。2网络运行良好。3一张可用U盘或其他移动介质和PsTools工具包。实验步骤及截图(1) 将常用的响应工具存入U盘,创立应急工具盘。应急工具盘中的常用工具有cmd.exe; netstat.exe;fport.exe;nslookup.exe 等(2) 用命令md5sum创立工具盘上所有命令的校验和,生成文本文件commandsums.txt保存到工具盘中,并将工具盘写保护。 Windows上面没有这个命令 3用time 和date命令记录现场计算机的系统时间和日期,第4、5、6、7和8步完成之后再运行一遍time 和date命令。(4) 用dir命令列出现场计算机系统上所有文件的目
3、录清单,记录文件的大小、访问时间、修改时间和创立时间。(5) 用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关,用ipconfig/all命令获取更多有用的信息:如主机名、DNS效劳器、节点类型、网络适配器的物理地址等。 (6) 用netstat显示现场计算机的网络连接、路由表和网络接口信息,检查哪些端口是翻开的,以及与这些监听端口的所有连接。(7) 用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。(8) 用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。 实验二 磁盘数据映像备份实验目的(1) 理解什么
4、事合格的司法鉴定备份文件,了解选用备份工具的要求(2) 能用司法鉴定复制工具对磁盘数据进行备份(3) 查看映像备份文件的内容,将文件进行Hash计算,保证文件的完整性实验环境和设备(1) Windows XP或Windows 2000 Professional操作系统(2) 网络运行良好。(3) 一张可用的软盘和外置USB硬盘实验步骤及截图(1) 制作MS-DOS引导盘,给硬盘或分区做映像是提供干净的操作系统。键入以下命令制作引导盘c:format a: /s format命令用法并没有/s ? 软盘的根目录下至少有下面三个文件IO.SYS,COMMAND,COM,MSDOS.SYS(2) 下
5、载ghost应用软件存放到e盘,启动ghost.exe文件(3) 使用ghost对磁盘数据进行映像备份,可以对磁盘某个分区或对整个银盘进行备份 对磁盘某个分区备份系统询问采用什么方式备份,选用high模式高压缩率 对整个硬盘进行备份参见对某个分区进行备份的方法 网络之间的映像备份在被攻击主机上选择Master,确定备份计算机名后,后面步骤与前面相似4用check选项对以生成的备份文件进行检查在ghost文件夹下翻开ghostexp文件,可以看到展开映像后的所有文件列表5将映像文件Hash,以保证完整性 实验三 恢复已被删除的数据实验目的1. 理解文件存放的原理,懂得数据恢复的可能性。2. 丁解
6、几种常用的数据恢复软件如Easy Recovery和RecoveryMyFiles3. 使用其中一种数据恢复软件、恢复已被删除的文件,恢复己被格式化磁盘上的数据。实验环境和设备(1) Windows Xp或Winfjows 2000 Professional操作系统。(2)数据恢复安装软件。(3)两张可用的软盘或U盘和一个安装有Windows系统的硬盘。 实验步骤及截图1实验前的准备工作 在安装数据恢复软件或其他软件之前,先在计算机的逻辑盘如D盘中创立四个属于你自己的文件夹,如:Bak Filel存放第一张软盘上的备份文件、LostFile1存放恢复第一张软盘后得到的数据 BakFile2存放
7、第二张软盘上的备份文件和LoFile2存放恢复第二张软盘后得到的数据注意:存放备份文件所在的逻辑盘如D盘与你准备安装软件所在的逻辑盘如C盘不要相同,因为如果相同,安装软件时可能正好把你的备份文件给覆盖掉了。 (2) EasyRecovery安装和启动这里选用Easy Recovery Professional软件作为恢复工具,点击Easy Recovery图标便可 顺利安装,启动EasyRecovery应用程序,主界面上列出了Easy Recovery的所有功能:“磁盘诊断、“数据恢复、“文件修复和“邮件修复等功能按钮在取证过程中用得最多的是“数据恢复功能。EasyRecovery安装和启动E
8、asyRecovery的数据恢复界面 (3)使用EasyRecovery恢复已被删除的文件。 将准备好的软盘或U盘插入计算机中,删除上面的一局部文件和文件夹如果原有磁盘中没有文件和文件夹,可以先创立几个,备份到BakFilel文件夹下,再将它删除。点击“数据恢复,出现“高级恢复、“删除恢复、“格式化恢复和“原始恢复等按钮,选择“删除恢复进行快速扫描,查找已删除的目录和文件,接着选择要搜索的驱动器和文件夹(A盘或U盘图标)。出现所有被删除的文件,选择要恢复的文件输入文件存放的路径D:LostFilel,点击“下一步恢复完成,并生成删除恢复报告。EasyRecovery选择恢复删除的磁盘 Easy
9、Recovery扫描文件EasyRecovery扫描结果比拟BakFilel文件夹中删除过的文件与LoatFilel文件夹中恢复得到的文件,将比拟结果记录下来。查看需要恢复的文件 保存需要恢复的文件 实验四 进行网络监听和通信分析实验目的(1) 理解什么是网络证据,应该采取什么方法收集网络证据(2) 了解网路监听和跟踪的目的,会用windump进行网络监听和跟踪(3) 使用Ethereal软件分析数据包,查看二进制捕获文件,找出有效的证据实验环境和设备(1) windows XP 或windows 2000 Professional操作系统(2) 网络运行良好(3) Winpcap、windu
10、mp和Ethereal安装软件实验内容和步骤(1) windump的使用Windump在命令行下使用,需要winpcap驱动翻开命令提示符,运行windump后出现:显示正常安装,以下查看参数开始捕获数据包,表示源地址和目的地址不采用主机名的形式而采用IP地址的形式(2) Ethereal在这里,我使用wireshark,也是抓包工具的使用(3) 用windump和wireshark模拟网络取证 先telnet到一台没有开telnet效劳的计算机上面,用两种软件同时抓包,查看捕获包的异同WindumpWireshark相比之下wireshark所捕获的包的种类更多,内容也更直观 使用hapin
11、g工具模拟syn泛洪攻击,在被攻击的计算机上用windump或wireshark捕获数据包使用XDOS攻击工具用wireshark可以看到大量syn向192.168.1.43发送实验五 分析Windows系统中隐藏的文件 和Cache信息实验目的1学会使用取证分析工具查看Windows操作系统下的一些特殊文件,找出深深隐藏的证据。2学会使用网络监控工具监视Internet缓存,进行取证分析。实验要求:1Windows Xp 或 Windows 2000 Professional 操作系统2Windows 和 CacheMonitor 安装软件一张可用的软盘或u盘实验步骤及结果(1) 用Wind
12、ows 分析Windows 系统下隐藏的文件。 用WFA读出Thumbs.db文件,查看其中内容 用index.dat Analyzer分析index.dat文件 用prefetch Analyzer挖出Prefetch文件夹中存储的信息 用Recycle Bin Analyzer翻开特定文件夹中的快捷方式,显示回收站info2文件信息 用Shortcut Analyzer找出特定文件夹中的快捷方式并显示存储在它们里面的数据2用CacheMonitor监控Internet缓存3用WFA和CacheMonitor进行取证分析 实验六 数据解密实验目的(1) 理解数据加密的原理,掌握常用的密码破解
13、技术(2) 翻开已被加密的现场可以计算机,找到有效的证据证据(3) 将犯罪嫌疑人的重要文件进行破解和分析实验环境和设备(1) windows XP 或windows 2000 Professional操作系统(2) 一些常用密码破解工具(3) 网络运行良好实验内容和步骤1用工具软件Cmospwd破解CMOS密码2通过删除Windows安装目录下的*.pwl密码文件和Profiles子目录下的文件,破解windows密码。(3) 用解密软件UZPC破解ZIP压缩包密码,CRACK破解RAR压缩包密码(4) 使用破解工具Advanced Office XP Password Recovery破解w
14、ord密码 设置word权限密码在工具选项平安性中设置密码为999保存并关闭该文档,然后翻开,就需要输入密码 使用工具软件Advanced Office XP Password Recovery可以快速破解Word文档密码,点击工具栏按钮“Open File,翻开刚刚建立的Word文档,程序翻开成功后会在Log Window中显示成功翻开的消息(5) 用GetIp将代表口令的密码号复原成真实的口令(6) 用网络嗅探器如Wireshark,嗅探登陆和数据传输事件,捕获密码和敏感数据 总结经过计算机取证的几次实验,我掌握了许多计算机取证方面的技术与工具。计算机取证工具箱简单方便,无需安装,应急工具
15、箱收集易失性数据,在计算机取证过程中对案发现场计算机的取证起着关键性的作用,用它可以找出计算机当时所处的状态,从而收集证据。对于取证人员来说,这个是非常关键的一步。我学会了如何用ghost对磁盘进行备份,可以用于将磁盘恢复到备份是的状态。Easy Recovery恢复已被删除的文件非常管用,而且使用方便,通过这次实验学会了如何恢复不小心被删除的文件。也能对计算机存储介质有了进一步的认识。Winpcap配合多种软件如windump、wireshark可以进行数据包的捕获。会使用Windows ,但是对其所得到的数据进行分析,还需要进一步的加强学习。数据解密软件的使用可以更好的帮助我们在计算机的取证上面进行取证。这次实验我感受颇深,不仅学习到了知识,还掌握了取证的相关技术,让我对信息平安更加感兴趣。