资源描述
在线取证系统----操作手册
蓝盾在线取证系统
操作手册
广东天海威数码技术有限公司
日期:2006-09-24
目 录
1.概述 1
1.1 系统简介 1
1.2 系统部署 1
1.3 系统特点 1
2.系统界面 1
2.1 存储媒介获取系统 1
2.2 易丢失数据获取系统 1
3.操作指南--存储媒介获取系统 1
3.1 准备工作 1
3.2 克隆宿主计算机物理磁盘 1
3.3 克隆宿主计算机物理磁盘中的一个分区 1
3.4 克隆宿主计算机逻辑磁盘 1
3.5 将宿主计算机磁盘数据复制到文件 1
3.6 提取宿主计算机磁盘中的某一存储区域 1
3.7 复制宿主计算机存储媒介上的文件 1
3.8 在宿主计算机存储媒介上搜索文件 1
4.操作指南—易丢失数据获取系统 1
4.1 准备工作 1
4.2 提取宿主计算机的网络类易丢失数据 1
4.3 提取宿主计算机的进程类易丢失数据 1
4.4 提取宿主计算机的自启动程序数据 1
4.5 提取宿主计算机的物理内存数据 1
4.6 提取宿主计算机的应用程序内存数据 1
4.7 浏览宿主计算机的物理内存 1
4.8 浏览宿主计算机的应用程序内存 1
4.9 比对两次提取的易丢失数据 1
4.10 阅读已经提取的易丢失数据 1
5、典型应用 1
5.1 宿主计算机存储媒介的提取 1
5.2 宿主计算机易丢失数据的提取 1
6、名词解释 1
1.概述
1.1 系统简介
蓝盾在线取证系统是一套基于光盘运行的证据提取系统,蓝盾在线取证系统的任务是将用户需要获取的存储媒介、易丢失数据等证据信息快速提取到USB、1394等移动存储设备上,并在提取的同时进行校验。主要包括PE启动光盘、存储媒介获取系统和易丢失数据获取系统三部分。其中:
PE启动光盘:提供图形界面的光盘启动操作环境,对宿主计算机原有存储设备只读,并支持FAT16、FAT32、NTFS、EXT2、EXT3等磁盘文件系统;PE操作环境支持简体、繁体等中文编码;PE操作环境支持对USB、1394等移动存储设备的即插即用。
存储媒介获取系统:提供将宿主计算机原有存储媒介快速复制到移动设备的功能,可以用来提取宿主计算机的物理存储媒介、逻辑存储媒介、分区、存储区域、文件等静态存储媒介;支持在复制的过程中同步计算校验码。
易丢失数据获取系统:提供对宿主计算机易丢失数据的快速获取、比对功能,可以用来提取宿主计算机的基本信息、网络连接、网络服务程序、网络访问程序、进程、文件访问、物理内存、应用程序内存、虚拟内存等动态信息。
1.2 系统部署
蓝盾在线取证系统无须安装,根据任务的不同可采用两种运行方式:
1、光盘启动方式:用于提取宿主计算机的存储媒介。使用本方式时,系统对宿主计算机的存储媒介只读,提取的数据存储到1394、USB等移动存储设备。
2、光盘运行方式:用于提取宿主计算机当前的动态运行信息。使用本方式时,系统对宿主计算机的基本信息、网络连接、网络服务程序、网络访问程序、进程、文件访问、物理内存、应用程序内存、虚拟内存等动态信息进行快速提取、阅读、比对及取证。
1.3 系统特点
1、宿主计算机的存储媒介只读;
2、支持包括FAT16、FAT32、NTFS、EXT2、EXT3等多种文件系统格式;
3、存储媒介的提取方式多样,支持物理磁盘、分区、逻辑磁盘、存储区域、文件、目录等多种复制源
4、速度快,最高可达2GB/分钟
5、支持对各种易丢失数据的快速获取,包括基本信息、网络连接、网络服务程序、网络访问程序、进程、文件访问、物理内存、应用程序内存、虚拟内存等。
2.系统界面
2.1 存储媒介获取系统
2.1.1 主界面
如图所示,存储媒介获取系统系统主界面由系统菜单、工具栏、设备面板、数据区、信息区等部分组成。其中:
系统菜单:提供系统具备的各种功能操作菜单;包括文件、编辑、取证、显示、窗口等菜单;
工具栏:提供常用功能的快捷操作按钮;包括打开、另存为、搜索、前进、后退、退出等功能按钮;
设备面板:显示宿主计算机的物理存储设备表,以及关联的逻辑设备表;显示当前移动设备列表;
数据区:显示物理设备、逻辑设备、目录、文件列表;
信息区:显示当前资源的常规信息。
2.1.2 系统菜单和工具栏
[文件]:包括打开、另存为、设置取证参数、退出等子菜单。其中:
打开:根据文件类型打开选中的文件。打开方式包括文本、WORD、二进制等方式。
另存为:将当前浏览的文件保存为另一个文件。
设置取证据参数:弹出参数设置窗体,设置案件的基本信息和取证的基本参数。
[编辑]:包括搜索、阅读、自动识别编码、自动识别文件类型、获取文件版本信息等子菜单。其中:
搜索:弹出搜索窗体搜索符合指定条件的文件。
阅读:打开被选择的资源,显示资源的内容。包括物理磁盘、逻辑磁盘、文件等。
自动识别编码:选中本项时系统在打开文件时按照文件的编码类型自动使用对应的解析插件。
自动识别文件类型:选中本项时系统在打开文件时按照文件的类型使用不同的打开阅读方式。
获取文件版本信息:选中本项时系统获取文件列表时同步获取文件的版本信息。
[取证]:包括物理磁盘取证、分区取证、逻辑磁盘取证、存储区域取证、文件取证等子菜单;
[显示]:包括新建搜索窗口和系统工具等子菜单;
2.1.3 设备面板
设备面板由宿主计算机、移动设备两类设备树组成,用来显示宿主计算机当前的存储设备列表。其中:
[宿主计算机]:显示宿主计算机存储媒介树;
[移动设备]:显示当前接入的移动设备树;
设备面板支持鼠标右键弹出菜单操作,包括搜索、取证、阅读、属性等快捷子菜单。其中:
[搜索]:弹出搜索窗体,开启一个文件搜索任务;
[取证]:弹出取证窗体,开启一个取证任务;
[阅读]:弹出阅读窗体,显示当前资源的内容;
[属性]:弹出属性窗体,显示当前资源的常规属性信息。
2.1.4 数据区
数据区由设备视图、文件表组成。数据区的内容与设备面板联动,显示设备面板当前设备下的一级子树。
数据区支持鼠标右键弹出菜单操作,包括搜索、取证、阅读、属性等快捷子菜单。其中:
[搜索]:弹出搜索窗体,开启一个文件搜索任务;
[取证]:弹出取证窗体,开启一个取证任务;
[阅读]:弹出阅读窗体,显示当前资源的内容;
[属性]:弹出属性窗体,显示当前资源的常规属性信息。
2.1.5 主要操作窗口
1、资源搜索窗体
功能:在宿主计算机存储媒介中搜索指定条件的资源。
组成:由搜索助理、结果区两部分组成。
选项:搜索助理中可设置的搜索条件项目包括文件名、文件内容、地址范围、时间范围、大小范围等。
按钮:包括搜索、取消、确定等按钮。点击[搜索]按钮开始搜索,点击[取消]按钮终止搜索,点击[确定]按钮关闭搜索助理。
菜单:搜索结果区支持鼠标右键弹出菜单,包括阅读、取证、属性等子菜单。
搜索结束后,在搜索助理栏显示符合搜索条件的文件数量,在结果区中显示满足条件的文件列表。
2、物理磁盘取证窗体
功能:将宿主计算机的物理磁盘复制到移动磁盘,复制结果可以是磁盘克隆,也可以是磁盘数据文件。
选项:包括物理磁盘、移动磁盘、存储方式、同步进行校验等。其中:物理磁盘是要复制的宿主计算机源存储设备;移动磁盘是复制的目的地;存储方式是复制的结果类型,当选中[以文件方式存放]时,系统按照物理磁盘的逻辑存储顺序将物理磁盘整盘写到目标文件,否则系统将以克隆方式整盘复制源盘到移动磁盘;同步进行校验是指是否在复制的过程中同步计算MD5校验码。
按钮:包括开始、取消等。点击[开始]按钮开始复制,点击[取消]按钮终止复制。
3、分区取证窗体
功能:将宿主计算机物理磁盘的指定分区复制到移动磁盘,复制结果可以是分区克隆,也可以是磁盘数据文件。
选项:包括物理分区、移动磁盘、存储方式、同步进行校验等。其中:物理分区是要复制的宿主计算机源存储分区;移动磁盘是复制的目的地;存储方式是复制的结果类型,当选中[以文件方式存放]时,系统按照物理分区的逻辑存储顺序将物理分区整盘写到目标文件,否则系统将以克隆方式复制分区到移动磁盘;同步进行校验是指是否在复制的过程中同步计算MD5校验码。
按钮:包括开始、取消等。点击[开始]按钮开始复制,点击[取消]按钮终止复制。
4、逻辑磁盘取证窗体
功能:将宿主计算机指定逻辑磁盘复制到移动磁盘,复制结果可以是逻辑磁盘克隆,也可以是磁盘数据文件。
选项:包括逻辑磁盘、移动磁盘、存储方式、同步进行校验等。其中:逻辑磁盘是要复制的宿主计算机源逻辑存储设备;移动磁盘是复制的目的地;存储方式是复制的结果类型,当选中[以文件方式存放]时,系统按照逻辑磁盘的存储顺序将物理分区整盘写到目标文件,否则系统将以克隆方式复制逻辑磁盘到移动磁盘;同步进行校验是指是否在复制的过程中同步计算MD5校验码。
按钮:包括开始、取消等。点击[开始]按钮开始复制,点击[取消]按钮终止复制。
5、存储区域取证窗体
功能:将宿主计算机物理磁盘或逻辑磁盘中指定的区域复制到移动磁盘数据文件。
选项:包括宿主磁盘、开始扇区、扇区数量、目的文件、同步进行校验等。其中:宿主磁盘是要复制存储区域的宿主计算机存储设备;开始扇区是要复制的存储区域起始地址;扇区数量是要复制的存储区域大小;同步进行校验是指是否在复制的过程中同步计算MD5校验码。
按钮:包括开始、取消等。点击[开始]按钮开始复制,点击[取消]按钮终止复制。
6、文件取证窗体
功能:将宿主计算机存储媒介中指定的文件集合复制到移动磁盘中。
选项:包括源文件列表、保存地址、同步进行校验等。其中:源文件列表是要复制的宿主计算机文件集合;保存地址是要复制到的目的路径;同步进行校验是指是否在复制的过程中同步计算MD5校验码。
按钮:包括增加、删除、全清、开始、取消等。点击[开始]按钮开始复制,点击[取消]按钮终止复制。[增加]按钮用来向源文件列表添加要复制的文件,[删除]按钮用来从源文件列表中删除指定的文件项,[全清]按钮用来清除源文件列表中的所有文件项。
2.2 易丢失数据获取系统
2.2.1 主窗口
如图所示,易丢失数据获取系统主窗体主要由系统菜单、工具栏、数据列表、数据区等部分组成。其中:
系统菜单:包括文件、编辑、任务、显示、工具等子菜单组成;
工具栏:建立档案、执行、终止、取证、退出等按钮组成;
数据列表:由档案树、历史数据树等部分组成;
数据区:用来显示数据列表中选择的数据内容。
2.2.2 系统菜单和工具栏
[文件]:包括新建档案、打开、另存为、设置取证参数、退出等子菜单。其中:
新建档案:在档案列表中建立一个新的易丢失数据工作集合;
打开:将保存的易丢失数据文件添加到历史数据区中以便浏览比对;
另存为:将当前选择的易丢失数据保存到另一个文件;
设置取证参数:设置提取证据需要的一些基本信息,包括案件信息和存储参数等。
[编辑]:包括取证、比对、删除数据文件、浏览物理内存、浏览进程内存等子菜单。其中:
取证:对当前选择的易丢失数据进行取证;
比对:比较两个不同时间获取的易丢失数据的差异;
删除数据文件:删除当前选择的易丢失数据文件;
浏览物理内存:按页显示宿主计算机的物理内存中的数据;
浏览进程内存:按页显示宿主计算机某一进程使用的物理内存、虚拟内存中的数据。
[任务]:包括运行、停止、删除档案、自动比对等子菜单。其中:
运行:对当前选择的档案包含的易丢失数据集合进行提取。
停止:终止当前正在提取易丢失数据的工作。
删除档案:从档案列表中删除当前选择的档案,并同时删除该档案下的易丢失数据文件。
2.2.3 数据列表
数据列表区域由档案列表和历史数据列表两部分组成。其中:
档案列表:显示用户建立的易丢失数据工作档案,以及各档案对应提取的易丢失数据文件。
历史数据:显示用户打开(加载)的已提取的易丢失数据文件。
数据列表区域支持鼠标右键弹出菜单,包括比对、取证等快捷子菜单。
2.2.4 主要操作窗口
1、建立新档案窗体
功能:用来向主窗体数据列表中加入一个新的易丢失数据提取档案。
选项:包括系统基本信息、网络连接状态、开启网络服务的程序、进行网络访问的程序、系统进程信息、被调用打开的文件、进程打开的文件信息、系统自启动程序、物理内存、应用程序内存等易丢失数据选择项,还包括定时获取易丢失数据选择项等。其中:
系统基本信息:选择此项档案将获取宿主计算机的操作系统、存储设备、网络设备等信息。
网络连接状态:选择此项档案将获取宿主计算机当前的网络连接状态信息。
开启网络服务的程序:选择此项档案将获取宿主计算机当前开启的网络服务信息。
进行网络访问的程序:选择此项档案将获取宿主计算机当前访问网络的应用程序信息。
系统进程信息:选择此项档案将获取宿主计算机当前运行的进程信息。
被调用打开的文件:选择此项档案将获取宿主计算机当前被调用打开的文件信息。
进程打开的文件信息:选择此项档案将获取宿主计算机进程打开的文件信息。
系统自启动程序:选择此项档案将获取宿主计算机当前正在运行的自启动进程信息,以及计算机中各自启动配置项信息。
物理内存:选择此项档案将获取宿主计算机当前物理内存中的数据。其中物理内存的获取范围未指定时获取宿主计算机全部物理内存数据。
应用程序内存:选择此项档案将获取宿主计算机指定进程使用的物理内存、虚拟内存中的数据。其中虚拟内存可以根据指定的保护属性和页面状态获取虚拟内存的特定集合,默认选择(WINDOWS任务管理器中显示的虚拟内存范围)的保护属性为读写、拷贝、执行、执行读写、执行拷贝。
间隔:选择此项系统将按照设定的时间间隔定时获取各易丢失数据。
2、易丢失数据文件数据浏览窗体
本窗体为主窗体中的数据区,根据选择的易丢失数据类型不同显示不同的窗体结构。
文本信息浏览:显示易丢失数据文件中存储的系统基本信息等文本信息。
网络信息浏览:显示易丢失数据文件中存储的网络连接状态、开启网络服务的程序、访问网络的程序等网络信息。
进程信息浏览:显示易丢失数据文件中存储的系统进程、被调用打开的文件、进程打开的文件等进程、文件信息。
自启动程序浏览:显示易丢失数据文件中存储的自启动程序信息,以及系统自启动程序项信息。
物理内存浏览:显示易丢失数据文件中的物理内存数据。
应用程序内存浏览:显示易丢失数据文件中存储的应用程序内存数据。
其中内存的属性标记描述如下:
RO:该页内存属性为只读
E :该页内存属性为可执行
RW:该页内存属性为可读可写
CW:该页内存属性为允许拷贝
S :该页内存属性为共享
P :该页内存属性为应用程序私有内存
V :该页内存属性为虚拟内存
I :该页内存页面状态为映像文件
M :该页内存页面状态为数据文件
G :该页内存属性为消息
N :该页内存属性为已停用缓存
3、比对窗体
功能:用来选择要比对的易丢失数据文件,以及要比对的数据类型。
按钮:包括确定、取消等按钮。其中,[确定]用来开始比对,[取消]按钮用来终止比对。
比对结果窗体如下:
其中,红色字体显示的是当前文件中与比对文件的不同之处;兰色字体显示的是比对文件与当前文件的不同之处。
4、浏览物理内存窗体
功能:浏览宿主计算机物理内存的当前数据。
转到:显示指定页面的物理内存。
前页:显示前一页物理内存。
后页:显示后一页物理内存。
保存:将当前显示页面的物理内存保存到指定的文件中。
5、浏览应用程序内存窗体
功能:浏览宿主计算机指定进程使用的物理内存和虚拟内存数据。窗体包括进程基本信息区、内存页表区和内存数据区三部分。其中:
进程基本信息区:显示进程内存使用上的统计信息。
内存页表区:显示进程使用的内存的内存页表信息。
内存数据区:显示指定页的内存数据。
刷新:更新进程选择框中的进程表。
转到:显示指定页面的应用程序内存。
前页:显示前一页应用程序内存。
后页:显示后一页应用程序内存。
保存:将当前显示页面的应用程序内存保存到指定的文件中。
3.操作指南--存储媒介获取系统
3.1 准备工作
1、插入在线取证系统光盘,重新启动计算机;
2、插入存储取证操作日志的移动磁盘和存储证据数据的移动磁盘;
3、运行存储媒介获取系统,设置取证参数。
其中,案件编号、案件名称填写准备使用提取的证据的案件的编号和名称;操作人员填写操作本系统的案件侦察人员姓名;日志存放地址填写存储取证操作日志的移动磁盘中的路径,系统将在该路径下自动建立一个以案件编号为名称的子目录。
如果需要调整系统时间,则惦记[校对系统时间]按钮弹出时间设置窗体,修改日期、时间和时区。
3.2 克隆宿主计算机物理磁盘
克隆宿主计算机物理磁盘是指将宿主计算机的物理磁盘整盘复制到移动磁盘上。
注意:使用此方式将丢失移动磁盘原有的数据。
操作步骤如下:
1. 选择要克隆的源物理磁盘,点击鼠标右键[取证]菜单;
2. 选择目的磁盘为准备存储证据的移动磁盘;
3. 点击[开始]按钮开始物理磁盘克隆。
3.3 克隆宿主计算机物理磁盘中的一个分区
克隆宿主计算机物理磁盘分区是指将宿主计算机的物理磁盘的某一分区复制到移动磁盘上。
注意:使用此方式时移动磁盘必须有未分区区域,并且未分区区域容量必须大于要复制的分区容量。
操作步骤如下:
1. 选择要克隆的源物理磁盘分区,点击鼠标右键[取证]菜单;
2. 选择目的磁盘为准备存储证据的移动磁盘;
3. 点击[开始]按钮开始物理磁盘克隆。
3.4 克隆宿主计算机逻辑磁盘
克隆宿主计算机逻辑磁盘是指将宿主计算机的逻辑磁盘复制到移动磁盘上。
注意:使用此方式时移动磁盘必须有未分区区域,并且未分区区域容量必须大于要复制的逻辑磁盘容量。
操作步骤如下:
1. 点击[逻辑磁盘取证]菜单;
2. 选择要复制的逻辑磁盘;
3. 选择目的磁盘为准备存储证据的移动磁盘;
4. 点击[开始]按钮开始逻辑磁盘克隆。
3.5 将宿主计算机磁盘数据复制到文件
存储媒介获取系统除支持物理磁盘、逻辑磁盘、分区的克隆外,还可以将上述存储媒介以文件方式复制到移动磁盘上。
注意:使用此方式时移动磁盘必须有大于要复制的存储媒介的容量。
磁盘数据复制的结果文件可以以文件虚拟磁盘(分区、逻辑磁盘复制)、文件虚拟设备(物理磁盘复制)访问其中的内容;也可以通过系统校验工具将磁盘数据复制的结果文件回写到磁盘上,以访问磁盘文件系统的方式来访问。
操作步骤如下:
1. 点击进入物理磁盘、分区或逻辑磁盘取证取证窗体;
2. 选择存储方式为[以文件方式存放];
3. 设置存储目标文件名;
4. 点击[开始]按钮开始磁盘数据复制。
3.6 提取宿主计算机磁盘中的某一存储区域
存储媒介获取系统可以提取物理磁盘、逻辑磁盘或分区中的特定存储区域,提取结果以文件方式存储在移动磁盘上。
操作步骤如下:
1、点击进入存储区域取证窗体;
2、选择要提取的存储区域所在的设备;
3、选择要提取的存储区域范围;
4、选择结果文件存储地址;
5、点击[开始]按钮开始磁盘数据复制。
3.7 复制宿主计算机存储媒介上的文件
存储媒介获取系统可以提取宿主计算机存储媒介上的指定文件、目录、文件目录集合,并将提取的文件存储在移动磁盘上。
操作步骤如下:
1、点击进入文件取证窗体;
2、点击[增加]按钮设置要复制的文件;
3、设置复制的目的地址;
4、设置同步校验选项;
5、点击[开始]按钮开始磁盘文件复制。
3.8 在宿主计算机存储媒介上搜索文件
存储媒介获取系统可以按照设定的条件搜索宿主计算机存储媒介上的文件。
操作步骤如下:
1、点击进入搜索窗体;
2、设置搜索条件;
存储媒介获取系统的搜索条件包括文件名、文件内容、地址范围、时间范围、文件大小等。其中:
文件名:用来按照文件名对系统进行搜索。系统支持使用*、?通配符进行搜索。例如,要搜索以fwd开头、类型为log的所有日志文件,则输入:fwd*.log。
文件内容:用来按照关键字对文件的内容进行搜索。例如,要搜索文件内容中包含fwd的文件,则输入:fwd。
地址范围:用来指定搜索的存储范围。系统支持对宿主计算机全部存储媒介、物理磁盘、逻辑磁盘和目录中的文件进行搜索。例如要搜索某一指定目录下的文件,则点击项选择要搜索的目录。
时间范围:用来指定要搜索的文件的时间范围,系统支持对文件的建立时间、最后修改时间、最后访问时间进行搜索。例如,要搜索在2006年05月01日到2006年05月07日建立的文件,则设置如下:
文件大小:用来指定要搜索的文件的大小。例如要搜索小于100KB的文件,则设置如下:
如果要搜索大于20KB,小于130KB的文件,则设置如下:
如果要搜索大于250KB的文件,则设置如下:
3、设置好搜索条件后,点击[搜索]按钮开始搜索;
4、如果要终止搜索过程,可点击[取消]按钮;
5、搜索完成后可以通过鼠标右键菜单阅读文件内容、查看文件属性,也可以对搜索结果文件进行取证。
4.操作指南—易丢失数据获取系统
4.1 准备工作
1、插入存储取证操作日志的移动磁盘和存储证据数据的移动磁盘;
2、插入在线取证系统光盘,运行易丢失数据获取系统;
3、设置取证参数。
其中,案件编号、案件名称填写准备使用提取的证据的案件的编号和名称;操作人员填写操作本系统的案件侦察人员姓名;日志存放地址填写存储取证操作日志的移动磁盘中的路径;数据存放地址填写存储获取的易丢失数据的移动磁盘中的路径,系统将在该路径下自动建立一个以案件编号为名称的子目录。
如果需要调整系统时间,则惦记[校对系统时间]按钮弹出时间设置窗体,修改日期、时间和时区。
4.2 提取宿主计算机的网络类易丢失数据
1、打开建立新档案窗体,选择档案信息类型参数为网络连接状态、开启网络服务的程序、进行网络访问的程序;
2、点击[建立]按钮,建立网络类易丢失数据工作档案;
3、选择新建立的网络类易丢失数据工作档案,点击按钮提取数据;
4、展开新获取的易丢失数据文件,查看结果。
4.3 提取宿主计算机的进程类易丢失数据
1、打开建立新档案窗体,选择档案信息类型参数为系统进程信息、被调用打开的文件、进程打开的文件信息;
2、点击[建立]按钮,建立进程、文件访问类易丢失数据工作档案;
3、选择新建立的进程、文件类易丢失数据工作档案,点击按钮提取数据;
4、展开新获取的易丢失数据文件,查看结果。
4.4 提取宿主计算机的自启动程序数据
1、打开建立新档案窗体,选择档案信息类型参数为系统自启动程序;
2、点击[建立]按钮,建立系统自启动程序工作档案;
3、选择新建立的系统自己启动程序工作档案,点击按钮提取数据;
4、展开新获取的易丢失数据文件,查看结果。
4.5 提取宿主计算机的物理内存数据
1、打开建立新档案窗体,选择档案信息类型参数为物理内存,指定要获取的物理内存范围为0—40960KB(获取宿主计算机从地址0x00开始的40MB物理内存数据);
2、点击[建立]按钮,建立物理内存工作档案;
3、选择新建立的物理内存工作档案,点击按钮提取数据;
4、展开新获取的易丢失数据文件,查看结果。
4.6 提取宿主计算机的应用程序内存数据
1、打开建立新档案窗体,选择档案信息类型参数为应用程序内存,获取系统进程Explorer.exe使用的物理内存,并同时获取WINDOWS任务管理器统计的虚拟内存数据(页面保护属性为读写、拷贝、执行、执行/读写、执行/拷贝的虚拟内存);
2、点击[建立]按钮,建立应用程序内存工作档案;
3、选择新建立的应用程序内存工作档案,点击按钮提取数据;
4、展开新获取的易丢失数据文件,查看结果。
4.7 浏览宿主计算机的物理内存
1、点击菜单[浏览物理内存],打开物理内存浏览窗体;
2、设置页号为第1页,点击[转到]按钮查看第该页物理内存数据;
3、设置页号为要查看的内存页,点击[转到]按钮查看第该页物理内存数据;
4、点击[保存]按钮将该页内存数据导出到易丢失数据文件中。
4.8 浏览宿主计算机的应用程序内存
1、点击菜单[浏览进程内存] ,打开进程内存浏览窗体;
2、点击[进程基本信息/刷新]按钮,获取宿主计算机当前运行的进程表,并选择要查看其内存使用状况的进程;
3、鼠标双击进程内存页表中要查看的页表记录,浏览该页表对应的内存存储的数据;
4、使用[转到]、[前页]、[后页]浏览其他内存页面的数据;
5、点击[保存]按钮将要提取的内存页中的数据导出到易丢失数据文件中。
4.9 比对两次提取的易丢失数据
1、通过[打开]菜单打开已经保存的易丢失数据文件;
2、选择比对操作的源文件,通过[比对]菜单打开比对操作对话框;
3、选择要比对的目标文件,以及比对项目;
4、点击[确定]按钮开始比对;
5、浏览比对结果。
4.10 阅读已经提取的易丢失数据
1、通过[打开]菜单打开原来保存的易丢失数据文件;
2、双击易丢失数据文件名(提取时间),展开易丢失数据文件包含的信息类型树;
3、点击要阅读的数据类型,浏览该类型的易丢失数据内容;
4、查看结果。
5、典型应用
5.1 宿主计算机存储媒介的提取
案例:某企业数据库服务器被攻击,由于该服务器支撑着该企业的日常工作,不能长时间停机,因而只能快速复制该服务器的存储介质以便案件的侦破。
应用1:通过蓝盾在线取证系统以光盘启动方式快速复制该服务器的物理存储介质。
过程:
1、插入蓝盾在线取证系统光盘,重新启动计算机进入PE操作系统;
2、启动存储媒介获取系统,接入移动存储设备;
3、选择要提取的宿主计算机物理存储媒介,点击鼠标右键[取证]菜单开始取证;
4、设置案件基本信息,并选择存储方式、目的设备和校验方式后点击[开始]按钮开始复制物理存储媒介;
5、复制完成后取出移动存储设备,插入新的移动存储设备,开始复制下一个物理存储媒介。
应用2:通过蓝盾在线取证系统以光盘启动方式快速将该服务器的物理存储介质复制到一个文件。
过程:
1、插入蓝盾在线取证系统光盘,重新启动计算机进入PE操作系统;
2、启动存储媒介获取系统,接入移动存储设备;
3、选择要提取的宿主计算机物理存储媒介,点击鼠标右键[取证]菜单开始取证;
4、设置案件基本信息,并选择以文件方式存储和校验方式后点击[开始]按钮开始复制物理存储媒介;
5、复制完成后继续操作,开始复制下一个物理存储媒介。
应用3:通过蓝盾在线取证系统以光盘启动方式快速将该服务器的第一个物理存储介质的第一个分区复制到移动设备。
过程:
1、插入蓝盾在线取证系统光盘,重新启动计算机进入PE操作系统;
2、启动存储媒介获取系统,接入移动存储设备;
3、选择要提取的宿主计算机物理存储媒介分区,点击鼠标右键[取证]菜单开始取证;
4、设置案件基本信息,并选择以目的设备和校验方式后点击[开始]按钮开始复制分区;
5、复制完成后取出移动存储设备,插入新的移动存储设备,开始复制下一个分区。
应用4:通过蓝盾在线取证系统以光盘启动方式快速将该服务器的指定类型的文件到移动设备。
过程:
1、插入蓝盾在线取证系统光盘,重新启动计算机进入PE操作系统;
2、启动存储媒介获取系统,接入移动存储设备;
3、选择要搜索的宿主计算机物理存储媒介,点击鼠标右键[搜索]菜单开始搜索;
4、搜索结束后点击鼠标右键菜单[取证]弹出取证窗体;
5、设置案件基本信息,并选择保存地址和校验方式后点击[开始]按钮开始复制文件;
5、复制完成后继续其他操作。
5.2 宿主计算机易丢失数据的提取
案例:某网络服务器正在被攻击,需要提取可能留存有攻击行为痕迹的易丢失数据,而该类数据在关机或攻击结束后将自动消失。
应用:通过蓝盾在线取证系统以光盘运行方式快速提取该服务器的动态易丢失信息。
过程:
1、插入蓝盾在线取证系统光盘,运行易丢失数据获取系统;
2、设置案件基本信息和日志、证据存储地址;
3、打开建立新档案窗体,设置要提取的易丢失数据类型;
4、点击执行按钮,开始获取易丢失数据。获取完毕后系统在对应档案下显示获取易丢失数据的时间;
5、单击展开档案数据列表,选择要浏览的数据类型;
6、点击执行按钮,重新获取易丢失数据;
7、选择要比对的数据源,点击鼠标右键[比对]菜单;
8、设置比对参数,点击[确定]按钮比对;
9、选择要作为证据的记录,点击鼠标右键执行[取证]菜单;
应用:通过蓝盾在线取证系统以光盘运行方式快速浏览进程内存信息,并提取指定进程内存页面的数据。
过程:
1、插入蓝盾在线取证系统光盘,运行易丢失数据获取系统;
2、设置案件基本信息和日志、证据存储地址;
3、点击[编辑]栏中的[应用程序内存]菜单;
4、点击[进程基本信息/刷新]按钮获取当前进程表,选择要浏览内存信息的进程;
5、点击要查看的内存页;
6、点击[保存]按钮保存当前内存页数据。
6、名词解释
物理内存:指计算机内存条、显示卡等硬件提供的内存。
虚拟内存:指操作系统通过在磁盘等存储媒介上开启的缓存,系统标识为V。
内存页:WINDOWS、LINUX等操作系统对内存是通过分页来分配使用的,一般默认的页面大小为4KB。
保护属性:WINDOWS、LINUX等操作系统对内存的访问有严格的权限划分,操作系统根据内存页面的保护属性来限制对该页内存的操作。
页面状态:操作系统在调度虚拟内存(磁盘缓存文件)与物理内存时的调度情况。
只读:该页内存只允许读操作,不能对其执行其他操作,系统标识为RO。
读写:该页内存只允许读、写操作,不能对其执行其他操作,系统标识为RW。
禁止访问:该页内存不允许进行任何操作。
拷贝:该页内存只允许拷贝操作,不能对其执行其他操作,系统标识为CW。
执行:该页内存只允许执行其中的代码,不能对其执行其他操作,系统标识为E。
消息:该页内存被用来传递消息,不允许执行其他操作,系统标识为G。
停用:该页内存已停用系统标识为N。
共享:该页内存允许其他进程访问,系统标识为S。
私有:该页内存不允许其他进程访问,系统标识为P。
映像:该页内存已被映射到物理内存空间,系统标识为I。
数据:该页内存保存在磁盘文件缓存中,系统标识为M。
广东天海威数码技术有限公司 第 62页 共63页
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
