返回
计算机取证技术实验报告.doc

计算机取证技术实验报告.doc

ID:55615336

大小:4.16 MB

页数:31页

时间:2020-05-19

计算机取证技术实验报告.doc_第1页
计算机取证技术实验报告.doc_第2页
计算机取证技术实验报告.doc_第3页
计算机取证技术实验报告.doc_第4页
计算机取证技术实验报告.doc_第5页
资源描述:

《计算机取证技术实验报告.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、中南大学计算机取证技术实验报告学生姓名学院信息科学与工程学院专业班级完成时间目录1.实验一事发现场收集易失性数据31.1实验目的31.2实验环境和设备31.3实验内容和步骤32.实验二磁盘数据映像备份82.1实验目的82.2实验环境和设备82.3实验内容和步骤83.实验三恢复已被删除的数据153.1实验目的153.2实验环境和设备153.3实验内容和步骤154.实验四进行网络监视和流量分析194.1实验目的194.2实验环境和设备194.3实验内容和步骤195.实验五分析Windows系统中隐藏的文件和

2、Cache信息225.1实验目的225.2实验环境和设备225.3实验内容和步骤236.实验七数据解密266.1实验目的266.2实验环境和设备276.3实验内容和步骤277.实验总结30计算机取证技术1.实验一事发现场收集易失性数据1.1实验目的1.会创建应急工具箱,并生成工具箱校验和;2.能对突发事件进行初步调查,做出适当的响应;3.能在最低限度地改变系统状态的情况下收集易失性数据。1.2实验环境和设备1.WindowsXP或Windows2000Professional操作系统;2.网络运行良好;

3、3.一张可用的软盘(或U盘)和PsTools工具包。1.3实验内容和步骤1.创建应急工作盘,用命令md5sum创建工具盘上所有命令的校验和,生成文本文件commandsums.txt:2.用time和date命令记录现场计算机的系统时间和日期:3.用dir命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间:4.用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关和网络接口信息:5.用netstat显示现场计算机的网络连接、路由表和网络接口信息:6.用P

4、sLoggedOn命令查看当前哪些用户与系统保持着连接状态:7.用PsTools工具包中的PsList命令记录所有正在运行的进程和当前的连接:1.实验二磁盘数据映像备份2.1实验目的1.理解什么是合格的司法鉴定备份文件,了解选用备份工具的要求;2.能用司法鉴定复制工具对磁盘数据进行备份;3.查看映像备份文件的内容,将文件执行hash计算,保证文件的完整性。2.2实验环境和设备1.WindowsXP或Windows2000Professional操作系统;2.网络运行良好;3.一张可用的软盘(或U盘)和外

5、置USB硬盘。2.3实验内容和步骤1.制作MS-DOS引导盘,给硬盘或分区做映像时提供干净的操作系统。在DOS提示符下键入以下命令来制作引导盘,并将引导盘写保护。C:formata:/s或C:sysa:软盘的根目录下至少应该有以下三个文件:IO.SYS,COMMAND和MSDOS.SYS。2.下载ghost应用软件存放在A盘或其他盘上,但不要放在准备备份的硬盘或分区上。在A盘上启动MS-DOS,找到ghost文件夹下ghost.exe文件,键入ghost回车。3.使用ghost对磁盘数据进行映像

6、备份,既可以对磁盘的某个分区进行备份,又可以对整个硬盘进行备份,还可以进行网络之间的映像备份。(1)对磁盘的某个分区进行映像备份首先点击“Local”之后,会弹出三个子项:Disk:对整个硬盘进行备份。Partition:对分区进行备份。Check:检查备份文件。选择“Partition”选项,进行磁盘分区备份,现又会弹出三个选项:ToPartition:把一个分区完整地复制到另一个分区中。ToImage:把分区制作成一个映像文件存放。FromImage:回复映像文件。选择“ToImage”来制作映像文

7、件,出现的界面是当前硬盘的选择窗口,选中需要备份的分区之后,再键入映像文件的保存路径和文件名。接下来,系统会询问是采用No(无压缩)、Fast(快速压缩)还是High(高压缩率)中的方式备份,如果选择High模式后,稍等片刻,磁盘分区的映像文件生成了。(1)对整个磁盘进行映像备份先将准备好的外置USB硬盘接到计算机上,再选择“Local”->“Disk”命令,接着确定目标硬盘(即接上的外置USB硬盘),此时可以对目标盘进行分区、格式化等操作。最后,点击“Yes”按键开始备份,将现场计算机的硬盘完整复制到

8、目标硬盘上。要注意的是,现场计算机的硬盘不能太大,因为外置USB硬盘的容量一般有限,两者容量要相当,否则会导致复制出错。(1)网络之间的映像备份网络之间的映像备份需要两台计算机,且处在同一个网络内部,一台是现场可疑或被攻击的计算机(主机),另一台是存放映像备份文件的计算机(备份机)。首先选定“Master”(主机)或者“Slave”(备份机),如在被攻击的计算机上操作,需要将它硬盘中的内容备份到另一台计算机上的话,就要选择“Master”,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。