計算機取證技術(shù)實驗報告.doc

計算機取證技術(shù)中南大學(xué)計算機取證技術(shù)實驗報告學(xué)生姓名 學(xué) 院 信息科學(xué)與工程學(xué)院 專業(yè)班級 完成時間 目 錄1. 實驗一 事發(fā)現(xiàn)場收集易失性數(shù)據(jù)31.1 實驗?zāi)康?1.2 實驗環(huán)境和設(shè)備31.3 實驗內(nèi)容和步驟32. 實驗二 磁盤數(shù)據(jù)映像備份82.1 實驗?zāi)康?2.2 實驗環(huán)境和設(shè)備82.3 實驗內(nèi)容和步驟83. 實驗三 恢復(fù)已被刪除的數(shù)據(jù)153.1 實驗?zāi)康?53.2 實驗環(huán)境和設(shè)備153.3 實驗內(nèi)容和步驟154. 實驗四 進行網(wǎng)絡(luò)監(jiān)視和流量分析194.1 實驗?zāi)康?94.2 實驗環(huán)境和設(shè)備194.3 實驗內(nèi)容和步驟195. 實驗五 分析Windows系統(tǒng)中隱藏的文件和Cache信息225.1 實驗?zāi)康?25.2 實驗環(huán)境和設(shè)備225.3 實驗內(nèi)容和步驟236. 實驗七 數(shù)據(jù)解密266.1 實驗?zāi)康?66.2 實驗環(huán)境和設(shè)備276.3 實驗內(nèi)容和步驟277.實驗總結(jié)30計算機取證技術(shù)1. 實驗一 事發(fā)現(xiàn)場收集易失性數(shù)據(jù)1.1 實驗?zāi)康?.會創(chuàng)建應(yīng)急工具箱，并生成工具箱校驗和；2.能對突發(fā)事件進行初步調(diào)查，做出適當(dāng)?shù)捻憫?yīng)；3.能在最低限度地改變系統(tǒng)狀態(tài)的情況下收集易失性數(shù)據(jù)。1.2 實驗環(huán)境和設(shè)備1.Windows XP 或 Windows 2000 Professional 操作系統(tǒng)；2.網(wǎng)絡(luò)運行良好；3.一張可用的軟盤（或U盤）和PsTools工具包。1.3 實驗內(nèi)容和步驟 1.創(chuàng)建應(yīng)急工作盤，用命令md5sum創(chuàng)建工具盤上所有命令的校驗和，生成文本文件commandsums.txt： 2.用time和date命令記錄現(xiàn)場計算機的系統(tǒng)時間和日期： 3.用dir命令列出現(xiàn)場計算機系統(tǒng)上所有文件的目錄清單，記錄文件的大小、訪問時間、修改時間和創(chuàng)建時間： 4.用ipconfig命令獲取現(xiàn)場計算機的IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)和網(wǎng)絡(luò)接口信息： 5.用netstat顯示現(xiàn)場計算機的網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息： 6.用PsLoggedOn命令查看當(dāng)前哪些用戶與系統(tǒng)保持著連接狀態(tài)： 7.用PsTools工具包中的PsList命令記錄 所有正在運行的進程和當(dāng)前的連接：2. 實驗二 磁盤數(shù)據(jù)映像備份2.1 實驗?zāi)康?.理解什么是合格的司法鑒定備份文件，了解選用備份工具的要求；2.能用司法鑒定復(fù)制工具對磁盤數(shù)據(jù)進行備份；3.查看映像備份文件的內(nèi)容，將文件執(zhí)行hash計算，保證文件的完整性。2.2 實驗環(huán)境和設(shè)備1.Windows XP 或 Windows 2000 Professional 操作系統(tǒng)；2.網(wǎng)絡(luò)運行良好；3.一張可用的軟盤（或U盤）和外置USB硬盤。2.3 實驗內(nèi)容和步驟1.制作MS-DOS引導(dǎo)盤，給硬盤或分區(qū)做映像時提供干凈的操作系統(tǒng)。在DOS提示符下鍵入以下命令來制作引導(dǎo)盤，并將引導(dǎo)盤寫保護。C:format a: /s 或 C:sys a:軟盤的根目錄下至少應(yīng)該有以下三個文件：IO.SYS，COMMAND和MSDOS.SYS。2. 下載ghost應(yīng)用軟件存放在A盤或其他盤上，但不要放在準備備份的硬盤或分區(qū)上。在A盤上啟動MS-DOS，找到ghost文件夾下ghost.exe文件，鍵入ghost回車。3. 使用ghost對磁盤數(shù)據(jù)進行映像備份，既可以對磁盤的某個分區(qū)進行備份，又可以對整個硬盤進行備份，還可以進行網(wǎng)絡(luò)之間的映像備份。（1） 對磁盤的某個分區(qū)進行映像備份首先點擊“Local”之后，會彈出三個子項：Disk：對整個硬盤進行備份。Partition：對分區(qū)進行備份。Check：檢查備份文件。選擇“Partition”選項，進行磁盤分區(qū)備份，現(xiàn)又會彈出三個選項：To Partition：把一個分區(qū)完整地復(fù)制到另一個分區(qū)中。To Image：把分區(qū)制作成一個映像文件存放。From Image：回復(fù)映像文件。選擇“To Image”來制作映像文件，出現(xiàn)的界面是當(dāng)前硬盤的選擇窗口，選中需要備份的分區(qū)之后，再鍵入映像文件的保存路徑和文件名。接下來，系統(tǒng)會詢問是采用No（無壓縮）、Fast（快速壓縮）還是High（高壓縮率）中的方式備份，如果選擇High模式后，稍等片刻，磁盤分區(qū)的映像文件生成了。（2） 對整個磁盤進行映像備份先將準備好的外置USB硬盤接到計算機上，再選擇“Local”-“Disk”命令，接著確定目標(biāo)硬盤（即接上的外置USB硬盤），此時可以對目標(biāo)盤進行分區(qū)、格式化等操作。最后，點擊“Yes”按鍵開始備份，將現(xiàn)場計算機的硬盤完整復(fù)制到目標(biāo)硬盤上。要注意的是，現(xiàn)場計算機的硬盤不能太大，因為外置USB硬盤的容量一般有限，兩者容量要相當(dāng)，否則會導(dǎo)致復(fù)制出錯。（3） 網(wǎng)絡(luò)之間的映像備份網(wǎng)絡(luò)之間的映像備份需要兩臺計算機，且處在同一個網(wǎng)絡(luò)內(nèi)部，一臺是現(xiàn)場可疑或被攻擊的計算機（主機），另一臺是存放映像備份文件的計算機（備份機）。首先選定“Master”（主機）或者“Slave”（備份機），如在被攻擊的計算機上操作，需要將它硬盤中的內(nèi)容備份到另一臺計算機上的話，就要選擇“Master”，出現(xiàn)一個列表菜單，確定了備份機機器名后，后面的步驟與前兩組類似，接著可快速地進行網(wǎng)絡(luò)上的備份了。4. 在備份好硬盤和分區(qū)之后，用“Check”選項對硬盤或者已經(jīng)生成的備份文件進行檢查，看看能否可能因分區(qū)、硬盤損壞等原因造成備份或者是映像文件復(fù)原的失敗。接著雙擊ghost文件夾下ghostexp文件圖標(biāo)，打開文件后，選擇窗口中的“文件”菜單，打開恰年保存的備份映像文件，可以看到展開映像后所有的文件列表。5. 將映像文件執(zhí)行hash運算，保證文件的完整性。3. 實驗三 恢復(fù)已被刪除的數(shù)據(jù)3.1 實驗?zāi)康?.理解文件存放的原理，懂得數(shù)據(jù)恢復(fù)的可能性。2.了解幾種常用的數(shù)據(jù)恢復(fù)軟件如EasyRecovery和RecoverMyFiles。3.使用其中的一種數(shù)據(jù)恢復(fù)軟件、恢復(fù)已被刪除的文件，恢復(fù)已被格式化磁盤上的數(shù)據(jù)。3.2 實驗環(huán)境和設(shè)備1.Windows XP 或 Windows 2000 Professional 操作系統(tǒng)；2.數(shù)據(jù)恢復(fù)安裝軟件；3.兩張可用的軟盤（或U盤）和一個安裝有windows系統(tǒng)的硬盤。3.3 實驗內(nèi)容和步驟1. 使用EasyRecovery恢復(fù)已被刪除的磁盤數(shù)據(jù)：圖-刪除之前圖-EasyRecovery找到的文件圖-有一個文件恢復(fù)失敗，對中文文件名支持也不好2. 使用EasyRecovery恢復(fù)已被格式化的磁盤數(shù)據(jù)：圖-把之前的數(shù)據(jù)拷回去之后格式化U盤圖-因為U盤太大，掃描耗時較多，就取消了，恢復(fù)步驟同上。4. 實驗四 進行網(wǎng)絡(luò)監(jiān)視和流量分析4.1 實驗?zāi)康?.理解什么是網(wǎng)絡(luò)證據(jù)，應(yīng)該采取什么辦法收集網(wǎng)絡(luò)證據(jù)。2.了解網(wǎng)絡(luò)監(jiān)視和跟蹤的目的，會用WinDump進行網(wǎng)絡(luò)監(jiān)視和跟蹤。3.使用Ethereal軟件分析數(shù)據(jù)包，查看二進制捕獲文件，找出有效的證據(jù)。4.2 實驗環(huán)境和設(shè)備1.Windows XP或Windows 2000 Professional操作系統(tǒng)；2.網(wǎng)絡(luò)運行良好；3.WinPcap、WinDump和Ethereal安裝軟件。4.3 實驗內(nèi)容和步驟 1.用WinDump和Ethereal模擬網(wǎng)絡(luò)取證1Telnet連接抓包： 2.用WinDump和Ethereal模擬網(wǎng)絡(luò)取證2SYN泛洪攻擊抓包：圖-SYN泛洪攻擊（上半部分為攻擊者偽造的SYN包，下面為正常的SYN包） ARP協(xié)議下的數(shù)據(jù)包截?。?對部分報文的報頭的分析：5. 實驗五 分析Windows系統(tǒng)中隱藏的文件和Cache信息5.1 實驗?zāi)康?.學(xué)會使用取證分析工具查看Windows操作系統(tǒng)下的一些特殊文件，找出深深隱藏的證據(jù)；2.學(xué)會使用網(wǎng)絡(luò)監(jiān)控工具監(jiān)視Internet緩存，進行取證分析。5.2 實驗環(huán)境和設(shè)備1.Windows Xp或Windows 2000 Professional操作系統(tǒng)。2.Windows File Analyzer和CacheMonitor安裝軟件。3.一張可用的軟盤（或U盤）。5.3 實驗內(nèi)容和步驟 1.用Windows File Analyzer分析Windows系統(tǒng)下隱藏的文件。Windows File Analyzer軟件不需要安裝，點擊圖標(biāo)可直接進入應(yīng)用程序窗口，分析Windows操作系統(tǒng)中一些特定的文件，以報告的形式打印出來。（1）用Thumbnail Datebase Analyzer讀出Thumbs.db文件。打開Windows File Analyzer應(yīng)用窗口，選擇“File”-“Analyze Thumbnail”下拉式菜單，查看Thumbs.db的內(nèi)容，通過Thumbs.db得到此文件夾中所有的文件內(nèi)容，導(dǎo)出其中的縮略圖，包括那些有不健康內(nèi)容的圖片。圖 - 往里面加入了不健康的圖片（2）用Index.dat Analyzer分析Index.dat文件。圖-用Prefetch Analyzer挖出Prefetch文件夾中存儲的信息圖-用Recycle Bin Analyzer打開隱藏的回收站，顯示回收站中Info2文件信息圖-用Shortcut Analyzer找出特定文件夾中的快捷方式，并顯示存儲在他們里面的數(shù)據(jù) 2.用CacheMonitor監(jiān)控Internet緩存。3.用Windows File Analyzer和CacheMonitor進行取證分析（注：由于下載不到CacheMonitor軟件，以上兩個部分的實驗無法完成?。?。6. 實驗七 數(shù)據(jù)解密6.1 實驗?zāi)康?)理解數(shù)據(jù)加密的原理，掌握常用的密碼破解技術(shù)。2)打開已被加密的現(xiàn)場可以計算機，找到有效的證據(jù)證據(jù)。3)將犯罪嫌疑人的重要文件進行破解和分析。6.2 實驗環(huán)境和設(shè)備1)windows XP 或windows 2000 Professional操作系統(tǒng)。2)一些常用密碼破解工具。3)網(wǎng)絡(luò)運行良好。6.3 實驗內(nèi)容和步驟（1）用工具軟件Cmospwd破解CMOS密碼。（2）通過刪除Windows安裝目錄下的*.pwl密碼文件和Profiles子目錄下的文件，破解windows密碼。（3）用解密軟件UZPC破解ZIP壓縮包密碼，CRACK破解RAR壓縮包密碼（4）使用破解工具Advanced Office XP Password Recovery破解word密碼。（5） 用GetIp將代表口令的密碼號還原成真實的口令。（6） 用網(wǎng)絡(luò)嗅探器（如Wireshark），嗅探登陸和數(shù)據(jù)傳輸事件，捕獲密碼和敏感數(shù)據(jù)。用工具軟件Cmospwd破解CMOS密碼： 通過刪除Windows安裝目錄下的*.pwl密碼文件和Profiles子目錄下的文件，破解windows密碼： 用解密軟件UZPC破解ZIP壓縮包密碼，CRACK破解RAR壓縮包密碼。使用破解工具Advanced Office XP Password Recovery破解word密碼： 設(shè)置word權(quán)限密碼：在工具選項安全性中設(shè)置密碼為999 保存并關(guān)閉該文檔，然后打開，就需要輸入密碼 使用工具軟件Advanced Office XP Password Recovery可以快速破解Word文檔密碼，點擊工具欄按鈕“Open File”，打開剛才建立的Word文檔，程序打開成功后會在Log Window中顯示成功打開的消息： 用GetIp將代表口令的密碼號還原成真實的口令：用網(wǎng)絡(luò)嗅探器（如Wireshark），嗅探登陸和數(shù)據(jù)傳輸事件，捕獲密碼和敏感數(shù)據(jù)：7.實驗總結(jié)其實這種攻擊和取證的實驗在計算機網(wǎng)絡(luò)以及信息安全工程的實驗課上幾乎都做過了，但是那時候沒有很好的理解原