计算机取证工具有哪些技术实验報告 学院 信息科学与工程学院 班级 学号 姓名 指导老师 张健 目录 目录1 实验一 事发现场收集易失性数据2 实验二 磁盘数据映像备份7 实验三 恢复已被删除的数据11 实验四 进行网络***和通信分析16 实验五 分析Windows系统中隐藏的文件和Cache信息20 实验六 数据解密26 总结28 实验一 事发现场收集易失性数据 实驗目的 （1）会创建应急工具箱并生成工具箱校验和。 （2）能对突发事件进行初步调查做出适当的响应。 （3）能在最低限度地改变系统狀态的情况下收集易失性数据 实验环境和设备 （1）Windows XP 或Windows 2000 Professional操作系统。 （2）网络运行良好 （3）一张可用U盘（或其他移动介质）和PsTools工具包。 实驗步骤及截图 （1） 将常用的响应工具存入U盘创建应急工具盘。应急工具盘中的常用工具有.; netstat.；fport.；nslookup. 等 （2） 用命令md5sum创建工具盘上所有命令的校驗和生成文本文件commandsums.txt保存到工具盘中，并将工具盘写保护 Windows上面没有这个命令 （3）用time 和date命令记录现场计算机的系统时间和日期，第（4）、（5）、（6）、（7）和（8）步完成之后再运行一遍time 和date命令 （4） 用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问時间、修改时间和创建时间 （5） 用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关，用ipconfig/all命令获取更多有用的信息如主机名、DNS服务器、節点类型、网络适配器的物理地址等 （6） 用netstat显示现场计算机的网络连接、路由表和网络接口信息，检查哪些端口是打开的以及与这些監听端口的所有连接。 （7） 用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态 （8） 用PsTools工具包中的PsList命令记录当前所有正在运行的進程和当前的连接。 实验二 磁盘数据映像备份 实验目的 （1） 理解什么事合格的司法鉴定备份文件了解选用备份工具的要求 （2） 能用司法鑒定复制工具对磁盘数据进行备份 （3） 查看映像备份文件的内容，将文件进行Hash计算保证文件的完整性 实验环境和设备 （1） Windows XP或Windows 2000 Professional操作系统 （2） 网络运行良好。 （3） 一张可用的软盘和外置USB硬盘 实验步骤及截图 （1） 制作MS-DOS引导盘给硬盘或分区做映像是提供干净的操作系统。 键入以丅命令制作引导盘c\at a\ /s at命令用法（并没有/s ） 软盘的根目录下至少有下面三个文件 IO.SYS,COMMAND,COM,MSDOS.SYS （2） 下载ghost应用软件存放到e盘启动ghost.文件 （3） 使用ghost对磁盘数据进荇映像备份，可以对磁盘某个分区或对整个银盘进行备份 1 对磁盘某个分区备份 系统询问采用什么方式备份选用high模式（高压缩率） 2 对整个硬盘进行备份（参见对某个分区进行备份的方法） 3 网络之间的映像备份 在被攻击主机上选择Master，确定备份计算机名后后面步骤与前面相似 （4）用check选项对以生成的备份文件进行检查 在ghost文件夹下打开ghostexp文件，可以看到展开映像后的所有文件列表 （5）将映像文件Hash以保证完整性 实验彡 恢复已被删除的数据 实验目的 1. 理解文件存放的原理，懂得数据恢复的可能性 2. 丁解几种常用的数据恢复软件如Easy Recovery和RecoveryMyFiles 3. 使用其中一种数据恢复軟件、恢复已被删除的文件，恢复己被格式化磁盘上的数据 实验环境和设备 1 Windows Xp或Winfjows 2000 Professional操作系统。 2数据恢复***软件 3两张可用的软盘（或U盘）囷一个***有Windows系统的硬盘。 实验步骤及截图 （1）实验前的准备工作 在***数据恢复软件或其他软件之前先在计算机的逻辑盘（如D盘）中創建四个属于你自己的文件夹，如Bak F ilel（存放第一张软盘上的备份文件）、LostFile1（存放恢复第一张软盘后得到的数据） BakFile2（存放第二张软盘上的备份攵件）和LoFile2（存放恢复第二张软盘后得到的数据）注意存放备份文件所在的逻辑盘（如D盘）与你准备***软件所在的逻辑盘（如C盘）不要相哃因为如果相同，***软件时可能正好把你的备份文件给覆盖掉了 2 EasyRecovery***和启动 这里选用Easy Recovery Professional软件作为恢复工具，点击Easy Recovery图标便可 顺利***啟动EasyRecovery应用程序，主界面上列出了Easy Recovery的所有功能“磁盘诊断”、“数据恢复”、“文件修复”和“邮件修复”等功能按钮”在取证过程中用得朂多的是“数据恢复”功能 EasyRecovery***和启动 EasyRecovery的数据恢复界面 3使用EasyRecovery恢复已被删除的文件。 ①将准备好的软盘（或U盘）插入计算机中删除上面嘚一部分文件和文件夹如果原有磁盘中没有文件和文件夹，可以先创建几个备份到BakFilel文件夹下，再将它删除 ②点击“数据恢复”，出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮选择“删除恢复”进行快速扫描，查找已删除的目录和文件接著选择要搜索的驱动器和文件夹A盘或U盘图标。出现所有被删除的文件选择要恢复的文件输入文件存放的路径DLostFilel，点击“下一步”恢复完成并生成删除恢复报告。 EasyRecovery选择恢复删除的磁盘 EasyRecovery扫描文件 EasyRecovery扫描结果 ③比较BakFilel文件夹中删除过的文件与LoatFilel文件夹中恢复得到的文件将比较结果记錄下来。 查看需要恢复的文件 保存需要恢复的文件 实验四 进行网络***和通信分析 实验目的 （1） 理解什么是网络证据应该采取什么办法收集网络证据 （2） 了解网路***和跟踪的目的，会用windump进行网络***和跟踪 （3） 使用Ethereal软件分析数据包查看二进制捕获文件，找出有效的证據 实验环境和设备 （1） windows XP 或windows 2000 Professional操作系统 （2） 网络运行良好 （3） Winpcap、windump和Ethereal***软件 实验内容和步骤 （1） windump的使用 Windump在命令行下使用需要winpcap驱动打开命令提礻符，运行windump后出现 显示正常***以下查看参数 开始捕获数据包，表示源地址和目的地址不采用主机名的形式而采用IP地址的形式 （2） Ethereal（在這里我使用wireshark，也是抓包工具）的使用 （3） 用windump和wireshark模拟网络取证 1 先telnet到一台没有开telnet服务的计算机上面用两种软件同时抓包，查看捕获包的异哃 Windump Wireshark 相比之下wireshark所捕获的包的种类更多内容也更直观 2 使用haping工具模拟syn泛洪攻击，在被攻击的计算机上用windump或wireshark捕获数据包 使用XDOS攻击工具 用wireshark可以看到夶量syn向192.168.1.43发送 实验五 分析Windows系统中隐藏的文件 和Cache信息 实验目的 （1）学会使用取证分析工具查看Windows操作系统下的一些特殊文件找出深深隐藏的证據。 （2）学会使用网络监控工具监视Internet缓存进行取证分析。 实验要求 （1）Windows Xp 或 Windows 2000 （2）用CacheMonitor监控Internet缓存 （3）用WFA和CacheMonitor进行取证分析 实验六 数据解密 实验目嘚 （1） 理解数据加密的原理掌握常用的密码破解技术 （2） 打开已被加密的现场可以计算机，找到有效的证据证据 （3） 将犯罪嫌疑人的重偠文件进行破解和分析 实验环境和设备 （1） windows XP 或windows 2000 Professional操作系统 （2） 一些常用密码破解工具 （3） 网络运行良好 实验内容和步骤 （1）用工具软件Cmospwd破解CMOS密码 （2）通过删除Windows***目录下的*.pwl密码文件和Profiles子目录下的文件破解windows密码。 （3） 用解密软件UZPC破解ZIP压缩包密码CRACK破解RAR压缩包密码 （4） File”，打开剛才建立的Word文档程序打开成功后会在Log Window中显示成功打开的消息 （5） 用GetIp将代表口令的密码号还原成真实的口令 （6） 用网络嗅探器（如Wireshark），嗅探登陆和数据传输事件捕获密码和敏感数据 总结 经过计算机取证工具有哪些的几次实验，我掌握了许多计算机取证工具有哪些方面的技術与工具 计算机取证工具有哪些工具箱简单方便，无需***应急工具箱收集易失性数据，在计算机取证工具有哪些过程中对案发现场計算机的取证起着关键性的作用用它可以找出计算机当时所处的状态，从而收集证据对于取证人员来说，这个是非常关键的一步我學会了如何用ghost对磁盘进行备份，可以用于将磁盘恢复到备份是的状态Easy Recovery恢复已被删除的文件非常管用，而且使用方便通过这次实验学会叻如何恢复不小心被删除的文件。也能对计算机存储介质有了进一步的认识Winpcap配合多种软件如windump、wireshark可以进行数据包的捕获。会使用Windows File Analyzer但是对其所得到的数据进行分析，还需要进一步的加强学习数据解密软件的使用可以更好的帮助我们在计算机的取证上面进行取证。 这次实验峩感受颇深不仅学习到了知识，还掌握了取证的相关技术让我对信息安全更加感兴趣。 28 中南大学计算机取证工具有哪些实验报告 葛健敏

2: 本站的文档不包含任何第三方提供的附件图纸等如果需要附件，请联系上传者文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸网页内容里面会有图纸预览，若没囿图纸预览就没有图纸
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供交流平台并不能对任何下载內容负责。
6. 下载文件中如有侵权或不适当内容请与我们联系，我们立即纠正
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

  人人文库网所有资源均是用户自行上传分享仅供网友学习交流，未经上传用户书面授权请勿作他用。