计算机取证与司法鉴定课件项目三_第1页
计算机取证与司法鉴定课件项目三_第2页
计算机取证与司法鉴定课件项目三_第3页
计算机取证与司法鉴定课件项目三_第4页
计算机取证与司法鉴定课件项目三_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

项目三

非Windows环境单机取证理解电子证据的概念和特点了解Macintosh系统文件结构和引导过程

了解UNIX/Linux系统磁盘结构和引导过程

掌握UNIX/Linux环境中易失性证据的获取方法

掌握UNIX/Linux环境中重要文件目录和日志调查方法学习目标在项目一的案例中,某公司主管Alice怀疑技术骨干Bob对公司有侵权行为,因此委托计算机取证调查人员Tom进行调查。Tom通过对案件的了解和取证的准备以及现场的勘察,了解到被调查者Bob使用的计算机采用Linux的操作系统。那么Tom如何针对Bob的非Windows计算机系统进行计算机取证调查呢?项目说明项目任务在计算机取证的现场获取和固定原始证据;对取证目标系统的重要文件目录和日志进行初步调查。Macintosh的引导过程和文件系统基础知识Macintosh的引导过程和文件系统基础知识Macintosh的引导过程和文件系统基础知识Unix/Linux的引导过程和文件系统UNIX/Linux磁盘结构基础知识Unix/Linux的引导过程和文件系统Linux的目录结构和重要文件//usr/var/etc/proc基础知识

Tom明确针对Bob的计算机进行调查时需要首先获取和固定原始证据,即对Bob的计算机硬盘和所有公司配给其使用的USB盘和存储卡制作取证镜像备份。考虑到如果进入取证现场时取证目标系统处于开机并正常运行状态,需在关机前对易失性证据进行获取和固定。

同样准备在取证实验室深入分析原始证据镜像备份前,首先对取证目标系统的重要文件和目录、重要日志、常用进程和网络痕迹等这些最容易获取证据和线索的方便进行初步的调查。项目分析任务一:在UNIX/Linux环境下获取原始证据控制台模式下屏幕信息的获取项目实施任务一:在UNIX/Linux环境下获取原始证据X-Windows环境下屏幕信息的获取使用X-Windows中的截图工具用GNOME中的工具截图用KDE中的工具来截图键盘的“PrintScreen”快捷键截图项目实施任务一:在UNIX/Linux环境下获取原始证据UNIX/Linux环境中内存与硬盘信息的获取将设备挂接到系统上mount采用“dd”命令读出内存等各种信息项目实施任务一:在UNIX/Linux环境下获取原始证据UNIX/Linux环境中进程信息的获取WhoWPstop项目实施任务一:在UNIX/Linux环境下获取原始证据项目实施任务一:在UNIX/Linux环境下获取原始证据UNIX/Linux环境中的网络连接信息获取使用“netstat”命令来查看网络连接项目实施任务一:在UNIX/Linux环境下获取原始证据项目实施任务二:UNIX/Linux环境的数据初步分析UNIX/Linux环境的取证数据预处理UNIX/Linux环境的日志调查项目实施任务二:UNIX/Linux环境的数据初步

人人文库> 全部分类> 行业资料 > 信息产业

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论