中南大学计算机取证技术实验报告[001].doc

1、 计算机取证技术实验报告 学院： 信息科学与工程学院 班级： 　 学号： 姓名： 指导老师： 张健 27 / 29 目录 目录 1 实验一 事发现场收集易失性数据 2 实验二 磁盘数

2、据映像备份 7 实验三 恢复已被删除的数据 11 实验四 进行网络监听和通信分析 16 实验五 分析Windows系统中隐藏的文件和Cache信息 20 实验六 数据解密 26 总结 28 实验一 事发现场收集易失性数据 实验目的 （1）会创建应急工具箱，并生成工具箱校验和。 （2）能对突发事件进行初步调查，做出适当的响应。 （3）能在最低限度地改变系统状态的情况下收集易失性数据。 实验环境和设备 （1）Windows XP 或Windows 2000 Profess

3、ional操作系统。 （2）网络运行良好。 （3）一张可用U盘（或其他移动介质）和PsTools工具包。 实验步骤及截图 （1） 将常用的响应工具存入U盘，创建应急工具盘。应急工具盘中的常用工具有cmd.exe; netstat.exe；fport.exe；nslookup.exe 等 （2） 用命令md5sum创建工具盘上所有命令的校验和，生成文本文件commandsums.txt保存到工具盘中，并将工具盘写保护。 Windows上面没有这个命令 （3）用time 和date命令记录现场计算机的系统时间和日期，第（4）、（5）、（6）、（7）和（8）步

4、完成之后再运行一遍time 和date命令。 （4） 用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间。 （5） 用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关，用ipconfig/all命令获取更多有用的信息：如主机名、DNS服务器、节点类型、网络适配器的物理地址等。 （6） 用netstat显示现场计算机的网络连接、路由表和网络接口信息，检查哪些端口是打开的，以及与这些监听端口的所有连接。 （7） 用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。

5、 （8） 用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。 实验二 磁盘数据映像备份 实验目的 （1） 理解什么事合格的司法鉴定备份文件，了解选用备份工具的要求 （2） 能用司法鉴定复制工具对磁盘数据进行备份 （3） 查看映像备份文件的内容，将文件进行Hash计算，保证文件的完整性 实验环境和设备 （1） Windows XP或Windows 2000 Professional操作系统 （2） 网络运行良好。 （3） 一张可用的软盘和外置USB硬盘 实验步骤及截图 （1） 制作MS-DOS引导盘，给

6、硬盘或分区做映像是提供干净的操作系统。 键入以下命令制作引导盘c:\format a:\ /s format命令用法（并没有/s ？） 软盘的根目录下至少有下面三个文件 IO.SYS,COMMAND,COM,MSDOS.SYS （2） 下载ghost应用软件存放到e盘，启动ghost.exe文件 （3） 使用ghost对磁盘数据进行映像备份，可以对磁盘某个分区或对整个银盘进行备份 ①　 对磁盘某个分区备份 系统询问采用什么方式备份，选用high模式（高压缩率） ②　 对整个硬盘进行备份（参见对某个分区进行备份的方法） ③　

7、 网络之间的映像备份 在被攻击主机上选择Master，确定备份计算机名后，后面步骤与前面相似 （4）用check选项对以生成的备份文件进行检查 在ghost文件夹下打开ghostexp文件，可以看到展开映像后的所有文件列表 （5）将映像文件Hash，以保证完整性 实验三 恢复已被删除的数据 实验目的 1. 理解文件存放的原理，懂得数据恢复的可能性。 2. 丁解几种常用的数据恢复软件如Easy Recovery和RecoveryMyFiles 3. 使用其中一种数据恢复软件、恢复已被删除的文件，恢复己被格式化

8、磁盘上的数据。 实验环境和设备 (1) Windows Xp或Winfjows 2000 Professional操作系统。 (2)数据恢复安装软件。 (3)两张可用的软盘（或U盘）和一个安装有Windows系统的硬盘。 实验步骤及截图 （1）实验前的准备工作 在安装数据恢复软件或其他软件之前，先在计算机的逻辑盘（如D盘）中创建四个属于你自己的文件夹，如：Bak F'ilel（存放第一张软盘上的备份文件）、LostFile1（存放恢复第一张软盘后得到的数据） BakFile2（存放第二张软盘上的备份文件）和LoFile2（存放恢复第二张软盘后得到的数据）注意：存

9、放备份文件所在的逻辑盘（如D盘）与你准备安装软件所在的逻辑盘（如C盘）不要相同，因为如果相同，安装软件时可能正好把你的备份文件给覆盖掉了。 (2) EasyRecovery安装和启动 这里选用Easy Recovery Professional软件作为恢复工具，点击Easy Recovery图标便可 顺利安装，启动EasyRecovery应用程序，主界面上列出了Easy Recovery的所有功能：“磁盘诊断”、“数据恢复”、“文件修复”和“邮件修复”等功能按钮”在取证过程中用得最多的是“数据恢复”功能。 EasyRecovery安装和启动 EasyRecovery的数

10、据恢复界面 (3)使用EasyRecovery恢复已被删除的文件。 ①将准备好的软盘（或U盘）插入计算机中，删除上面的一部分文件和文件夹如果原有磁盘中没有文件和文件夹，可以先创建几个，备份到BakFilel文件夹下，再将它删除。 ②点击“数据恢复”，出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮，选择“删除恢复”进行快速扫描，查找已删除的目录和文件，接着选择要搜索的驱动器和文件夹(A盘或U盘图标)。出现所有被删除的文件，选择要恢复的文件输入文件存放的路径D：LostFilel，点击“下一步”恢复完成，并生成删除恢复报告。 EasyRecovery选

11、择恢复删除的磁盘 EasyRecovery扫描文件 EasyRecovery扫描结果 ③比较BakFilel文件夹中删除过的文件与LoatFilel文件夹中恢复得到的文件，将比较结果记录下来。 查看需要恢复的文件 保存需要恢复的文件 实验四 进行网络监听和通信分析 实验目的 （1） 理解什么是网络证据，应该采取什么办法收集网络证据 （2） 了解网路监听和跟踪的目的，会用windump进行网络监听和跟踪 （3） 使用Ethereal软件分析数据包，查看二进制捕获文件

12、找出有效的证据 实验环境和设备 （1） windows XP 或windows 2000 Professional操作系统 （2） 网络运行良好 （3） Winpcap、windump和Ethereal安装软件 实验内容和步骤 （1） windump的使用 Windump在命令行下使用，需要winpcap驱动打开命令提示符，运行windump后出现： 显示正常安装，以下查看参数 开始捕获数据包，表示源地址和目的地址不采用主机名的形式而采用IP地址的形式 （2） Ethereal（在这里，我使用wireshark，也是抓包工具）的使用 （3）

13、用windump和wireshark模拟网络取证 ①　 先telnet到一台没有开telnet服务的计算机上面，用两种软件同时抓包，查看捕获包的异同 Windump Wireshark 相比之下wireshark所捕获的包的种类更多，内容也更直观 ②　 使用haping工具模拟syn泛洪攻击，在被攻击的计算机上用windump或wireshark捕获数据包 使用XDOS攻击工具 用wireshark可以看到大量syn向192.168.1.43发送 实验五 分析Windows系统中隐藏的文件 和Cac

14、he信息 实验目的 （1）学会使用取证分析工具查看Windows操作系统下的一些特殊文件，找出深深隐藏的证据。 （2）学会使用网络监控工具监视Internet缓存，进行取证分析。 实验要求： （1）Windows Xp 或 Windows 2000 Professional 操作系统 （2）Windows File Analyzer 和 CacheMonitor 安装软件 一张可用的软盘（或u盘） 实验步骤及结果 （1） 用Windows File Analyzer分析Windows 系统下隐藏的文件。 ①　 用WFA读出Thumbs.db文件，查看其中内容

15、 ②　 用index.dat Analyzer分析index.dat文件 ③　 用prefetch Analyzer挖出Prefetch文件夹中存储的信息 ④　 用Recycle Bin Analyzer打开特定文件夹中的快捷方式，显示回收站info2文件信息 ⑤　 用Shortcut Analyzer找出特定文件夹中的快捷方式并显示存储在它们里面的数据 （2）用CacheMonitor监控Internet缓存 （3）用WFA和CacheMonitor进行取证分析 实验六 数据解密

16、 实验目的 （1） 理解数据加密的原理，掌握常用的密码破解技术 （2） 打开已被加密的现场可以计算机，找到有效的证据证据 （3） 将犯罪嫌疑人的重要文件进行破解和分析 实验环境和设备 （1） windows XP 或windows 2000 Professional操作系统 （2） 一些常用密码破解工具 （3） 网络运行良好 实验内容和步骤 （1）用工具软件Cmospwd破解CMOS密码 （2）通过删除Windows安装目录下的*.pwl密码文件和Profiles子目录下的文件，破解windows密码。 （3） 用解密软件UZPC破解ZIP压缩包密码，CRA

17、CK破解RAR压缩包密码 （4） 使用破解工具Advanced Office XP Password Recovery破解word密码 设置word权限密码 在工具——选项——安全性中设置密码为999 保存并关闭该文档，然后打开，就需要输入密码 使用工具软件Advanced Office XP Password Recovery可以快速破解Word文档密码，点击工具栏按钮“Open File”，打开刚才建立的Word文档，程序打开成功后会在Log Window中显示成功打开的消息 （5） 用GetIp将代表口令的密码号还原成真实的口令 （6） 用网络嗅

18、探器（如Wireshark），嗅探登陆和数据传输事件，捕获密码和敏感数据 总结 经过计算机取证的几次实验，我掌握了许多计算机取证方面的技术与工具。 计算机取证工具箱简单方便，无需安装，应急工具箱收集易失性数据，在计算机取证过程中对案发现场计算机的取证起着关键性的作用，用它可以找出计算机当时所处的状态，从而收集证据。对于取证人员来说，这个是非常关键的一步。我学会了如何用ghost对磁盘进行备份，可以用于将磁盘恢复到备份是的状态。Easy Recovery恢复已被删除的文件非常管用，而且使用方便，通过这次实验学会了如何恢复不小心被删除的文件。也能对计算机存储介质有了进一步的认识。Winpcap配合多种软件如windump、wireshark可以进行数据包的捕获。会使用Windows File Analyzer，但是对其所得到的数据进行分析，还需要进一步的加强学习。数据解密软件的使用可以更好的帮助我们在计算机的取证上面进行取证。 这次实验我感受颇深，不仅学习到了知识，还掌握了取证的相关技术，让我对信息安全更加感兴趣。