返回
第5章_windows系统取证

第5章_windows系统取证

ID:17929828

大小:1.72 MB

页数:57页

时间:2018-09-10

第5章_windows系统取证_第1页
第5章_windows系统取证_第2页
第5章_windows系统取证_第3页
第5章_windows系统取证_第4页
第5章_windows系统取证_第5页
资源描述:

《第5章_windows系统取证》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机取证技术第5章课件第5章Windows系统取证5.1Windows系统现场证据获取5.2Windows系统中计算机证据的获取5.3简单的取证推理分析5.4Windows系统反取证技术5.5Windows取证工具5.6小结习题5.1Windows系统现场证据获取计算机调查人员通常为了防止可疑计算机上潜在证据被破坏,通常都是关闭电源并妥善保管可疑计算机。关闭电源后,表明案发现场的已存储数据可以维持不变。但是,关闭电源阻止了易失性数据(正在运行还未写入硬盘的数据)的收集。需要说明的是这里没有绝对的标准可供遵循

2、,这需要结合具体情况判断是否立即拔掉电源。为了收集易失性数据,调查人员必须在运行的计算机上提取,计算机系统现场证据获取就是这个含义。现在有很多开放源码的工具可以帮助调查人员从运行的计算机中提取易失性数据。然而,大多数的开放源码工具都是专门提取某一方面的易挥发数据。调查人员应该熟悉并准备一套工具(包括,本机命令)用来收集易失性数据。然后可以用脚本语言将这些命令和工具自动运行收集数据。5.1Windows系统现场证据获取5.1.1易失性数据的等级5.1.2易失性数据收集5.1.1易失性数据的等级存储在RAM中的易

3、失性数据可以显示当前计算机的状态,这些数据包括登录用户、运行中的进程以及打开的连接。这些数据可以帮助调查人员判断计算机入侵的活动时间表。当调查人员收集到足够多的数据后,便可以判断下一步的行动。当从运行的计算机中收集可疑证据的时候,要考虑易失性数据的等级。如不及时处理,等级越高的数据意味着这些数据被修改、丢失的可能性越大。易失性数据的等级如图所示。5.1.2易失性数据收集易失性数据收集步骤步骤1取证准备取证工具准备(软件、硬件)数字调查小组建立建立收集策略步骤2建立概要文档建立取证概要文档(包括涉及到的软硬件等

4、)证据收集日志(取证人、取证工具、取证时间等)步骤3决策核实确定证据收集过程中的权力范围确定证据收集的方式步骤4易失性数据收集策略确定收集的易失性数据的类型确定可以有助于证据收集的工具和技术取证工具收集到信息的输出位置步骤5易失性数据收集工具建立一个可信的命令解释程序建立传输和存储程序的途径确保取证工具有完整的输出步骤6易失性数据收集1.收集更新时间,日期,时间,命令记录。2.执行取证工具或命令的时候,将产生的数据和时间建立审计追踪。3.建立命令历史记录,将所有的取证活动记录下来。4.收集涉及系统和网络的易失

5、性信息。易失性系统信息包括:系统概要文件当前系统时间、日期、命令历史记录当前系统运行时间当前运行进程打开文件、启动文件和剪贴板数据登录用户Dll和共享的程序库现场取证小工具及应用实例(1)date/time/netstat如图显示如何在执行netstat命令的时候使用本地时间、日期命令显示命令执行时间。(2)PsInfo.exeSysinternals推出的PsInfo可以建立一个系统概要文件包括所有安装的软件包和补丁。这些信息通过Systeminfo.exe命令无法获得。缺省条件下,PSInfo建立本地系统

6、的概要文件。可以通过指定具体的用户名和密码后远程访问可以计算机。PsInfo有多种功能。图中的结果是使用Psinfo列出的计算机上安装的应用程序。(3)Systeminfo.exe本地命令Systeminfo.exe可以建立一个系统概要文件包括(已注册用户、初始安装时间、系统运行时间、BIOS版本、系统目录、登录服务器、网卡的数量),运行例子见图。(4)NetStatistics本地的netstatistics命令也可以收集系统运行时间,示例结果如图:(5)评价当前运行的进程实用工具目前,没有单个的实用工具可

7、以完整的评价当前运行的进程。因此下面的例子将展示如何使用命令的集合来获得进程的信息。结果见图(6)信息转储要更好的了解可疑进程,可以使用pumdump.exe对进程进行转储,然后在文件中进行字符串搜索(例如使用Ctrl+F命令查找字符串)。图展示了如何使用命令对winlongin进程进程转储。转储前可以先使用pmdump–list命令列出应用程序所对应的PID。(7)Afind:下图展示如何搜索某一位置文件的访问时间。(8)登录用户调查人员需要辨别登录到系统的用户的身份。当接近可疑计算机的时候,至少有一个用户

8、登录到计算机,也可能有其他用户远程登录到此机器。在检查登录用户的时候要注意以下几点:最近新增加的帐户对增加授权的已存在帐户远程访问帐户(远程用户通过共享磁盘,共享文件,后面或打印机登录到系统的帐户)所有的具有系统访问权限的本地和远程帐户或正在登录到系统的帐户帐户登录、注销的时间和驻留在系统的时间两个有用的工具:Netuers(本地用户)SomarSoft的NetUsers工具可以展示本地登录的用户,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。