计算机取证技术实验报告

1、计算机取证技术中南大学计算机取证技术实验报告学生姓名 学 院 信息科学与工程学院 专业班级 完成时间 目 录1. 实验一 事发现场收集易失性数据31.1 实验目的31.2 实验环境和设备31.3 实验内容和步骤32. 实验二 磁盘数据映像备份82.1 实验目的82.2 实验环境和设备82.3 实验内容和步骤83. 实验三 恢复已被删除的数据153.1 实验目的153.2 实验环境和设备153.3 实验内容和步骤154. 实验四 进行网络监视和流量分析194.1 实验目的194.2 实验环境和设备194.3 实验内容和步骤195. 实验五 分析Windows系统中隐藏的文件和Cache信息225

2、.1 实验目的225.2 实验环境和设备225.3 实验内容和步骤236. 实验七 数据解密266.1 实验目的266.2 实验环境和设备276.3 实验内容和步骤277.实验总结30计算机取证技术1. 实验一 事发现场收集易失性数据1.1 实验目的1.会创建应急工具箱，并生成工具箱校验和；2.能对突发事件进行初步调查，做出适当的响应；3.能在最低限度地改变系统状态的情况下收集易失性数据。1.2 实验环境和设备1.Windows XP 或 Windows 2000 Professional 操作系统；2.网络运行良好；3.一张可用的软盘（或U盘）和PsTools工具包。1.3 实验内容和步骤

3、1.创建应急工作盘，用命令md5sum创建工具盘上所有命令的校验和，生成文本文件commandsums.txt： 2.用time和date命令记录现场计算机的系统时间和日期： 3.用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间： 4.用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关和网络接口信息： 5.用netstat显示现场计算机的网络连接、路由表和网络接口信息： 6.用PsLoggedOn命令查看当前哪些用户与系统保持着连接状态： 7.用PsTools工具包中的PsList命令记录 所有正在运行的进程和当前的连接：2. 实

4、验二 磁盘数据映像备份2.1 实验目的1.理解什么是合格的司法鉴定备份文件，了解选用备份工具的要求；2.能用司法鉴定复制工具对磁盘数据进行备份；3.查看映像备份文件的内容，将文件执行hash计算，保证文件的完整性。2.2 实验环境和设备1.Windows XP 或 Windows 2000 Professional 操作系统；2.网络运行良好；3.一张可用的软盘（或U盘）和外置USB硬盘。2.3 实验内容和步骤1.制作MS-DOS引导盘，给硬盘或分区做映像时提供干净的操作系统。在DOS提示符下键入以下命令来制作引导盘，并将引导盘写保护。C:format a: /s 或 C:sys a:软盘的根

5、目录下至少应该有以下三个文件：IO.SYS，COMMAND和MSDOS.SYS。2. 下载ghost应用软件存放在A盘或其他盘上，但不要放在准备备份的硬盘或分区上。在A盘上启动MS-DOS，找到ghost文件夹下ghost.exe文件，键入ghost回车。3. 使用ghost对磁盘数据进行映像备份，既可以对磁盘的某个分区进行备份，又可以对整个硬盘进行备份，还可以进行网络之间的映像备份。（1） 对磁盘的某个分区进行映像备份首先点击“Local”之后，会弹出三个子项：Disk：对整个硬盘进行备份。Partition：对分区进行备份。Check：检查备份文件。选择“Partition”选项，进行磁盘

6、分区备份，现又会弹出三个选项：To Partition：把一个分区完整地复制到另一个分区中。To Image：把分区制作成一个映像文件存放。From Image：回复映像文件。选择“To Image”来制作映像文件，出现的界面是当前硬盘的选择窗口，选中需要备份的分区之后，再键入映像文件的保存路径和文件名。接下来，系统会询问是采用No（无压缩）、Fast（快速压缩）还是High（高压缩率）中的方式备份，如果选择High模式后，稍等片刻，磁盘分区的映像文件生成了。（2） 对整个磁盘进行映像备份先将准备好的外置USB硬盘接到计算机上，再选择“Local”-“Disk”命令，接着确定目标硬盘（即接上的

7、外置USB硬盘），此时可以对目标盘进行分区、格式化等操作。最后，点击“Yes”按键开始备份，将现场计算机的硬盘完整复制到目标硬盘上。要注意的是，现场计算机的硬盘不能太大，因为外置USB硬盘的容量一般有限，两者容量要相当，否则会导致复制出错。（3） 网络之间的映像备份网络之间的映像备份需要两台计算机，且处在同一个网络内部，一台是现场可疑或被攻击的计算机（主机），另一台是存放映像备份文件的计算机（备份机）。首先选定“Master”（主机）或者“Slave”（备份机），如在被攻击的计算机上操作，需要将它硬盘中的内容备份到另一台计算机上的话，就要选择“Master”，出现一个列表菜单，确定了备份机机器

8、名后，后面的步骤与前两组类似，接着可快速地进行网络上的备份了。4. 在备份好硬盘和分区之后，用“Check”选项对硬盘或者已经生成的备份文件进行检查，看看能否可能因分区、硬盘损坏等原因造成备份或者是映像文件复原的失败。接着双击ghost文件夹下ghostexp文件图标，打开文件后，选择窗口中的“文件”菜单，打开恰年保存的备份映像文件，可以看到展开映像后所有的文件列表。5. 将映像文件执行hash运算，保证文件的完整性。3. 实验三 恢复已被删除的数据3.1 实验目的1.理解文件存放的原理，懂得数据恢复的可能性。2.了解几种常用的数据恢复软件如EasyRecovery和RecoverMyFile

9、s。3.使用其中的一种数据恢复软件、恢复已被删除的文件，恢复已被格式化磁盘上的数据。3.2 实验环境和设备1.Windows XP 或 Windows 2000 Professional 操作系统；2.数据恢复安装软件；3.两张可用的软盘（或U盘）和一个安装有windows系统的硬盘。3.3 实验内容和步骤1. 使用EasyRecovery恢复已被删除的磁盘数据：图-删除之前图-EasyRecovery找到的文件图-有一个文件恢复失败，对中文文件名支持也不好2. 使用EasyRecovery恢复已被格式化的磁盘数据：图-把之前的数据拷回去之后格式化U盘图-因为U盘太大，扫描耗时较多，就取消了，

10、恢复步骤同上。4. 实验四 进行网络监视和流量分析4.1 实验目的1.理解什么是网络证据，应该采取什么办法收集网络证据。2.了解网络监视和跟踪的目的，会用WinDump进行网络监视和跟踪。3.使用Ethereal软件分析数据包，查看二进制捕获文件，找出有效的证据。4.2 实验环境和设备1.Windows XP或Windows 2000 Professional操作系统；2.网络运行良好；3.WinPcap、WinDump和Ethereal安装软件。4.3 实验内容和步骤 1.用WinDump和Ethereal模拟网络取证1Telnet连接抓包： 2.用WinDump和Ethereal模拟网络取

11、证2SYN泛洪攻击抓包：图-SYN泛洪攻击（上半部分为攻击者伪造的SYN包，下面为正常的SYN包） ARP协议下的数据包截取： 对部分报文的报头的分析：5. 实验五 分析Windows系统中隐藏的文件和Cache信息5.1 实验目的1.学会使用取证分析工具查看Windows操作系统下的一些特殊文件，找出深深隐藏的证据；2.学会使用网络监控工具监视Internet缓存，进行取证分析。5.2 实验环境和设备1.Windows Xp或Windows 2000 Professional操作系统。2.Windows File Analyzer和CacheMonitor安装软件。3.一张可用的软盘（或U盘

12、）。5.3 实验内容和步骤 1.用Windows File Analyzer分析Windows系统下隐藏的文件。Windows File Analyzer软件不需要安装，点击图标可直接进入应用程序窗口，分析Windows操作系统中一些特定的文件，以报告的形式打印出来。（1）用Thumbnail Datebase Analyzer读出Thumbs.db文件。打开Windows File Analyzer应用窗口，选择“File”-“Analyze Thumbnail”下拉式菜单，查看Thumbs.db的内容，通过Thumbs.db得到此文件夹中所有的文件内容，导出其中的缩略图，包括那些有不健康内

13、容的图片。图 - 往里面加入了不健康的图片（2）用Index.dat Analyzer分析Index.dat文件。图-用Prefetch Analyzer挖出Prefetch文件夹中存储的信息图-用Recycle Bin Analyzer打开隐藏的回收站，显示回收站中Info2文件信息图-用Shortcut Analyzer找出特定文件夹中的快捷方式，并显示存储在他们里面的数据 2.用CacheMonitor监控Internet缓存。3.用Windows File Analyzer和CacheMonitor进行取证分析（注：由于下载不到CacheMonitor软件，以上两个部分的实验无法完成！

14、）。6. 实验七 数据解密6.1 实验目的1)理解数据加密的原理，掌握常用的密码破解技术。2)打开已被加密的现场可以计算机，找到有效的证据证据。3)将犯罪嫌疑人的重要文件进行破解和分析。6.2 实验环境和设备1)windows XP 或windows 2000 Professional操作系统。2)一些常用密码破解工具。3)网络运行良好。6.3 实验内容和步骤（1）用工具软件Cmospwd破解CMOS密码。（2）通过删除Windows安装目录下的*.pwl密码文件和Profiles子目录下的文件，破解windows密码。（3）用解密软件UZPC破解ZIP压缩包密码，CRACK破解RAR压缩包密

15、码（4）使用破解工具Advanced Office XP Password Recovery破解word密码。（5） 用GetIp将代表口令的密码号还原成真实的口令。（6） 用网络嗅探器（如Wireshark），嗅探登陆和数据传输事件，捕获密码和敏感数据。用工具软件Cmospwd破解CMOS密码： 通过删除Windows安装目录下的*.pwl密码文件和Profiles子目录下的文件，破解windows密码： 用解密软件UZPC破解ZIP压缩包密码，CRACK破解RAR压缩包密码。使用破解工具Advanced Office XP Password Recovery破解word密码： 设置word权限密码：在工具选项安全性中设置密码为999 保存并关闭该文档，然后打开，就需要输入密码 使用工具软件Advanced Office XP Password Recovery可以快速破解Word文档密码，点击工具栏按钮“Open File”，打开刚才建立的Word文档，程序打开成功后会在Log Window中显示成功打开的消息： 用GetIp将代表口令的密码号还原成真实的口令：用网络嗅探器（如Wireshark），嗅探登陆和数据传输事件，捕获密码和敏感数据：7.实验总结其实这种攻击和取证的实验在计算机网络以及信息安全工程的实验课上几乎都做过了，但是那时候没有很好的理解原