(完整word版)中南大學計算機取證技術實驗報告

1、計算機取證技術實驗報告學院：信息科學與工程學院班級:學號：姓名：指導老師：張健中南大學計算機取證實驗報告葛健敏1目錄目錄1實驗一事發(fā)現(xiàn)場收集易失性數(shù)據(jù)2實驗二磁盤數(shù)據(jù)映像備份7實驗三恢復已被刪除的數(shù)據(jù)11實驗四進行網(wǎng)絡監(jiān)聽和通信分析16實驗五分析Windows系統(tǒng)中隱藏的文件和Cache信息20實驗六數(shù)據(jù)解密26總結(jié)28中南大學計算機取證實驗報告葛健敏2實驗一事發(fā)現(xiàn)場收集易失性數(shù)據(jù)實驗目的(1)會創(chuàng)建應急工具箱，并生成工具箱校驗和。(2)能對突發(fā)事件進行初步調(diào)查，做出適當?shù)捻憫?3)能在最低限度地改變系統(tǒng)狀態(tài)的情況下收集易失性數(shù)據(jù)。實驗環(huán)境和設備(1)WindowsXP或Windows200

2、0Professional操作系統(tǒng)。(2)網(wǎng)絡運行良好。(3)一張可用IB(或其他移動介質(zhì))和PsTools工具包。實驗步驟及截圖(1)將常用的響應工具存入IB,創(chuàng)建應急工具盤。應急工具盤中的常用工具有cmd.exe;netstat.exe;fport.exe;nslookup.exe等XftjiB(2)用命令md5surmj建工具盤上所有命令的校驗和，生成文本文件commandsums.txt保存到工具盤中，并將工具盤寫保護。Windows上面沒有這個命令中南大學計算機取證實驗報告葛健敏3(3)用time和date命令記錄現(xiàn)場計算機的系統(tǒng)時間和日期，第(4)、(5)、(6)、(7)和(8)步

3、完成之后再運行一遍time和date命令。中南大學計算機取證實驗報告葛健敏448*。土C:Docu.entsandSettingsAdainistratexeC:Docu.entsandSettingsAdainistratexedatedatep p：timetime當前時間:14:52:26.8114:52:26.81輸入新時間:datedate當前日期：201fe-05-05201fe-05-05星期四輸入新日期；年月日(4)用dir命令列出現(xiàn)場計算機系統(tǒng)上所有文件的目錄清單，記錄文件的大小、訪問時間、修改時間和創(chuàng)建時間。中南大學計算機取證實驗報告葛健敏5卷的序列號是卷的序列號是8475

4、-G0BE33 3 的的dTt12610099110161,024.hd2014-03-171535369Duiniload2WL0-J.O-L31433DocumentsandSettings0855Do町nloadsZB535110Inetub1?30i/i*頑2M1W-HS-J11441JHSGFTyuio-es-ji姑42OpenOU2.0610-10-181012PBFFLogf2G1583191044ProgfraniFiles& &誑誑01009181801,564ptcsetup.log261503090919QMDQLHIload2610090?1139LG3

5、zeie0?-i?0843turbocZ05-03-10IB57WINDOWSi0-n?-oi113888.242wubildr2010-09-0111388,1?Zuubilclr.mibr5個文件8凱9is字韋1L2個目錄孔755,283-4M可用字節(jié)C：(5)用ipconfig命令獲取現(xiàn)場計算機的IP地址、子網(wǎng)掩碼、默認網(wǎng)關，用ipconfig/all命令獲取更多有用的信息：如主機名、DNS艮務器、節(jié)點類型、網(wǎng)絡適配器的物理地址等。XipconfigXipconfig中南大學計算機取證實驗報告葛健敏6WindowsIPCtmfiguratinWindowsIPCtmfiguratinEt

6、hernetadapterEthernetadapter本土他連接：Connectitn-specificDNSSuffix.Connectitn-specificDNSSuffix.i iIPAddress:3IPAddress:3SubnetMask-2BS.255.255.0SubnetMask-2BS.255.255.0DefaultGateuajDefaultGateuaji i(6)用netstat顯示現(xiàn)場計算機的網(wǎng)絡連接、路由表和網(wǎng)絡接口信息，檢查哪些端口是打開的，以及與這些監(jiān)聽端口的所有連接

7、。(7)用PsTools工具包中的PsLoggedOn令查看當前哪些用戶與系統(tǒng)保持著連接狀態(tài)。中南大學計算機取證實驗報告葛健敏7(8)用PsTools工具包中的PsList命令記錄當前所有正在運行的進程和當前的連接。已1 1C:DocuentiC:DocuentisandSettingsAdsinistratorcd.exesandSettingsAdsinistratorcd.exeBBC:pslist.exeC:pslist.exepslistul.28-SysinternalsPsList(Copyright?2000-2004MarkRpslistul.28-SysinternalsP

8、sList(Copyright?2000-2004MarkRussinouichussinouichSysinternalsSysinternalsProcessinformationforxxjk60:Processinformationforxxjk60:NamePidPriThdHndPriuNamePidPriThdHndPriuCPUTimeCPUTimeElapsedTimeElapsedTimeIdleIdle0 00 02 2建0 01 1 3?3? 18.29618.2960 000.00.SystemSystem4 4e112112539539g g0 028.73428.

9、7340 0瞬 萸.susssuss704704iiii3 319191841840 000.04600.0460 0525232.42132.421CSlSS76Q76Q131313137997990 016.21816.2180 052522?.3992?.399uinlogonuinlogon78478413131919456456704470440 001.S0001.S000 052522626 89R89Rsepuicessepuices8328329 917173?73?73920392022.46822.4680 0525226.39926.399IsassIsass84484

10、49 9171734234228362836紹01.53101.5310 0525226.34326.343suchostsuchost10761076e141419319331443144瞬.234.2340 0525225.64025.640QQPCRTPQQPCRTP113611368 8 l(j6l(j67517514181641816紹4R.3284R.3280 0525225.45325.453suchostsuchost13041304e11113143142288228810.96810.9680 0525225.09325.093suchostsuchost144814488

11、 86666 130113011393213932紹04.06204.0620 0525224.98424.984suchostsuchost14841484e5 51071072544254410,07810,0780 0525224.93?24.93?suchostsuchost154815488 86 6898925162516紹00.46800.4680 0525224.78124.781explorerexplorer272272e3?3? 117111716255262552020216.17116.1710 0525222.51522.515QQPCTrayQQPCTray520

12、5208 8 125125146514658989海紹19.IB?19.IB?0 0525217.82817.828LenRCClientLenRCClientS S鏘e3 37S7S2 2屈6 6靜00.15600.1560 0525216.18716.187bufmonitorbufmonitor5f85f88 81 13232836836150.125150.1250 0525216.10916.109ptfmonptfmon436436e1 17i7iISISISIS_0_000.18700.1876 6525215.82815.828中南大學計算機取證實驗報告葛健敏8實驗目的(1)理

13、解什么事合格的司法鑒定備份文件，了解選用備份工具的要求(2)能用司法鑒定復制工具對磁盤數(shù)據(jù)進行備份(3)查看映像備份文件的內(nèi)容，將文件進行Hash計算，保證文件的完整性實驗環(huán)境和設備(1)WindowsXP或Windows2000Professional操作系統(tǒng)(2)網(wǎng)絡運行良好。(3)一張可用的軟盤和外置USB硬盤實驗步驟及截圖(1)制作MS-DOS弓I導盤，給硬盤或分區(qū)做映像是提供干凈的操作系統(tǒng)。鍵入以下命令制作引導盤c:formata:/sformat命令用法(并沒有/s?)C:systek32cd.exeItJS1-Bindowsindows軟盤的根目錄下至少有下面三個文件IO.SYS

14、,COMMAND,COM,MSDOS.SYS實驗二磁盤數(shù)據(jù)映像備份FORMATFFORMATFORMATFOORMATFORMATPOKRMATPOKHfilHfilFORMATFORMATUQUQlunevolunevolumeuollumeuoluneuoluuneuoluneuolunneuolunc cl/FSl/FS：file-systenf/Ufile-systenf/U：libelt/QlL/Alibelt/QlL/A：?izeFzC/X/U?izeFzC/X/U：label/Ulabel/U：labelC/Uslaballr/QlabelC/Uslaballr/QZQJ/Fis

15、iaeZQJ/FisiaeZQZT:tracks/NZQZT:tracks/N：sectorssectorsSil旨定驅(qū)動器t t后面跟一個冒號)、裝入點或卷名O O/FS/FS：filesystemfilesystem指定文件系統(tǒng)類型罰的、FfiT32FfiT32或NTFSNTFS& &名定卷極加行快蓬格式化。女掛于NTFSNTFS：默認情況下，將壓縮在該新建卷上面建的文件。如果必墨先鯉制卸下卷.那時， 該卷所有以i i五熊柄木程效替代默認配默認設置。NTFSNTFS64K64KFAFAT T支持512.1024.2648,4096.8192.16K.32512.1024.2

16、648,4096.8192.16K.32 皿.2 2g g用于大手1 12 2豐節(jié)的扇區(qū),。uoluneuolune/II：label/q/C魯魏瓣：極力建議您在一般狀況下使用帝512,1024.2048.4096,8192.32K512,1024.2048.4096,8192.32K、中南大學計算機取證實驗報告葛健敏9LoclPeerIopeerGfiostCastDptioris|EP樣Qu計文伴文伴 編擔編擔堡堡) )查查看世看世) )收藏也工具收藏也工具 幫助如幫助如岱岱夕授索夕授索 Q Q 文件夾文件夾：Xq國，國，計宜機取證滴計宜機取證滴System炸眼電Informiationc

17、umnand土習程序50KI5了始4WindowsExpl.ue、C:HNBUWSiyit.二二3InttrnttExp.,七七15:55(2)下載ghost應用軟件存放到e盤，啟動ghost.exe文件(3)使用ghost對磁盤數(shù)據(jù)進行映像備份，可以對磁盤某個分區(qū)或?qū)φ麄€銀盤進行備份對磁盤某個分區(qū)備份SymantecGhud11.0.2CopyrightCC1998-200?SymantecCorporafioripHllrightsreserved.he點陋陋DOS系系統(tǒng)交件統(tǒng)交件0KBiiPwhtionC.S羊應中南大學計算機取證實驗報告葛健敏10SymantecGhost11.0.2C

18、opyrightGO1998-2007SymantecCorporation,fillrightsreserved.SelectsourcepartitioCs)fr/vnBasicsdrives1系統(tǒng)詢問采用什么方式備份，選用high模式（高壓縮率）中南大學計算機取證實驗報告葛健敏112對整個硬盤進行備份（參見對某個分區(qū)進行備份的方法）3網(wǎng)絡之間的映像備份在被攻擊主機上選擇Master,確定備份計算機名后，后面步驟與前面相似中南大學計算機取證實驗報告葛健敏12如計nter(4)用check選項對以生成的備份文件進行檢查中南大學計算機取證實驗報告葛健敏13在ghost文件夾下打開ghostex

19、p文件，可以看到展開映像后的所有文件列表E任）編輯（）格式（U）查看也）幫助如WindowsRegistryEditorVersion5.網(wǎng)HKEV_CLASSES_R007.ghO牛GhostHKEVCLASSESROUTGhostQ-GhSst映像支件HKEVCLASSESR00TGhostshellHKEV_CLASSES_RQQTGhQSt5hellopenHKEV_CLfiSSES_ROOTGriostshellopenconiinand8=T:dosligho5XGbQstexp.eKeFVHKEV_CLASSES_ROOTftpplicationsGhostexp.exeHKEV

20、_CLfiSSES_R0DTfipplicationsGho5texp.exeshell(5)將映像文件Hash,以保證完整性實驗三恢復已被刪除的數(shù)據(jù)實驗目的1.理解文件存放的原理，懂得數(shù)據(jù)恢復的可能性。2.丁解幾種常用的數(shù)據(jù)恢復軟件如EasyRecovery和RecoveryMyFiles3.使用其中一種數(shù)據(jù)恢復軟件、恢復已被刪除的文件，恢復己被格式化磁盤上的數(shù)據(jù)。實驗環(huán)境和設備(1)WindowsXp或Winfjows2000Professional操作系統(tǒng)。(2)數(shù)據(jù)恢復安裝軟件。中南大學計算機取證實驗報告葛健敏14(3)兩張可用的軟盤(或U盤)和一個安裝有Windows系統(tǒng)的硬盤。實驗

21、步驟及截圖(1)實驗前的準備工作中南大學計算機取證實驗報告葛健敏15在安裝數(shù)據(jù)恢復軟件或其他軟件之前，先在計算機的邏輯盤（如D盤）中創(chuàng)建四個屬于你自己的文件夾，如：BakFilel（存放第一張軟盤上的備份文件）、LostFilel（存放恢復第一張軟盤后得到的數(shù)據(jù)）BakFile2（存放第二張軟盤上的備份文件）和LoFile2（存放恢復第二張軟盤后得到的數(shù)據(jù)）注意：存放備份文件所在的邏輯盤（如D盤）與你準備安裝軟件所在的邏輯盤（如C盤）不要相同，因為如果相同，安裝軟件時可能正好把你的備份文件給覆蓋掉了。（2）EasyRecovery安裝和啟動這里選用EasyRecoveryProfessiona

22、l軟件作為恢復工具，點擊EasyRecovery圖標便可順利安裝，啟動EasyRecovery應用程序，主界面上列出了EasyRecovery的所有功能：磁盤診斷”、“數(shù)據(jù)恢復”、“文件修復”和“郵件修復”等功能按鈕”在取證過程中用得最多的是“數(shù)據(jù)恢復”功能。EasyRecovery安裝和啟動Professional中南大學計算機取證實驗報告葛健敏16EasyRecovery的數(shù)據(jù)恢復界面（3）使用EasyRecovery恢復已被刪除的文件。1將準備好的軟盤（或U盤）插入計算機中，刪除上面的一部分文件和文件夾如果原有磁盤中沒有文件和文件夾，可以先創(chuàng)建幾個，備份到BakFilel文件夾下，再將它

23、刪除。2點擊“數(shù)據(jù)恢復”，出現(xiàn)“高級恢復”、“刪除恢復”、“格式化恢復”和“原始恢復”等按鈕，選擇“刪除恢復”進行快速掃描，查找已刪除的目錄和文件，接著選擇要搜索的驅(qū)動器和文件夾（A盤或U盤圖標）。出現(xiàn)所有被刪除的文件， 選擇要恢復的文件輸入文件存放的路徑D:LostFilel,點擊下一步”恢復完成，并生成刪除恢復報告。數(shù)據(jù)恢復襯|高級恢復使用高紙透康來自定文教撮恢復格式化恢復從已格式化的卷中恢復文件刪除恢復遷董攬井政復已刪除的文件原始恢復玉含任何文忡任統(tǒng)格梅信息的恢簽緊急引導盤創(chuàng)蝶騷急引導誨映速啟動Eaytlpdatc1繼續(xù)恢復堆或巳保存的敷據(jù)恢疫會話中南大學計算機取證實驗報告葛健敏17選擇

24、一個要恢復選擇一個要恢復H除文件的分區(qū)，井造擇除文件的分區(qū)，井造擇下一步下一步 R R 開嶺舊莓文件開嶺舊莓文件 選擇選擇 睪消睪消”退出工具退出工具. .O正在掃描文件._JCCA)NTFS(|=JODA)FAT32SCEA)FM32- -正在處理區(qū)塊正在處理區(qū)塊：49口?？?。/ /花花059已用時間：剩余時間已用時間：剩余時間: :找到目找到目錄：找到文件；上次交件：錄：找到文件；上次交件：4秒秒1:001557洗覽&Dots-Small2.gi河以執(zhí)行快河以執(zhí)行快I有選項來輸有選項來輸I速恢復指定速恢復指定職消職消襤襤，使用現(xiàn)徹底使用現(xiàn)徹底的處區(qū)的處區(qū)v vi&is.II

25、MEft選擇一個要詼復選擇一個要詼復U除文件函分區(qū)，并甚揮除文件函分區(qū)，并甚揮“下一步下一步* *井貽掃措文件井貽掃措文件. .選葬鼻職洎選葬鼻職洎* *退出工具退出工具. .EasyRecovery選擇恢復刪除的磁盤中南大學計算機取證實驗報告葛健敏18文檔文檔(*.doc|*.dot|*.xls|+.KIWI+.ppi|*.ioTEasyRecovery掃描文件中南大學計算機取證實驗報告葛健敏19造中墀想要族套的文件造中墀想要族套的文件, ,逸擇逸擇. .下下一步一步”疆續(xù)到壓目的造擇疆續(xù)到壓目的造擇”屏暮屏暮- -逢擇逢擇 后退后退 棗回到棗回到“分區(qū)逸擇分區(qū)逸擇”屏幕屏幕. .逸拌逸拌-

26、1!退出工具退出工具. .- -_|_|我的驅(qū)動器我的驅(qū)動器- -口二口二IRECYCLERb_!5-1-5-21-1052447992-曰曰Bc47可一帥可一帥JUJKI 川川I用用已標記已標記0個女伴個女伴，共，共。字節(jié)顯示。字節(jié)顯示I個文件共個文件共25.00踴踴V使用過濾器皿過浦器選使用過濾器皿過浦器選項叫項叫查查我建）我建）查看艾件亶）查看艾件亶）EasyRecovery掃描結(jié)果名名稱稱I大小大小| |日期日期| |項祥項祥此計食機此計食機25.00KB3/30/2009D中南大學計算機取證實驗報告葛健敏20比較BakFilel文件夾中刪除過的文件與LoatFilel文件夾中恢復得到

27、的文件，將比較結(jié)果記錄下來。中南大學計算機取證實驗報告葛健敏21查看需要恢復的文件實驗四進行網(wǎng)絡監(jiān)聽和通信分析實驗目的(1)理解什么是網(wǎng)絡證據(jù)，應該采取什么辦法收集網(wǎng)絡證據(jù)(2)了解網(wǎng)路監(jiān)聽和跟蹤的目的，會用windump進行網(wǎng)絡監(jiān)聽和跟蹤(3)使用Ethereal軟件分析數(shù)據(jù)包，查看二進制捕獲文件，找出有效的證據(jù)實驗環(huán)境和設備(1)windowsXP或windows2000Professional操作系統(tǒng)(2)網(wǎng)絡運行良好(3)Winpcap、windump和Ethereal安裝軟件實驗內(nèi)容和步驟(1)windump的使用J0DDDQ0DDDQ嘩女?L1Erf*保存需要恢復的文件口二TCU3

28、t_JmmI24AC事我。中南大學計算機取證實驗報告葛健敏22Windump在命令行下使用，需要winpcap驅(qū)動打開命令提示符，運行windump后出現(xiàn):中南大學計算機取證實驗報告葛健敏23、命令提示符-NicrosoftWindousKFNicrosoftWindousKF版本5 5 1 1 2626目財版權所有xBocumentsandSettingsdninistratorEcdxBocumentsandSettingsdninistratorEcdWindunpWindunpC:XDqcunentC:XDqcunent$ $andSettingsdrtin1stratorSuindu

29、npviindunpandSettingsdrtin1stratorSuindunpviindunpufindurapufindurap：listeninonMteuiceNPFCA2CCe919-8FE0-4CFfi-BEflC-CEE3E0B2115E00:44:36-074694IPMSKTOP-ILEUtLJ-137192listeninonMteuiceNPFCA2CCe919-8FE0-4CFfi-BEflC-CEE3E0B2115E00:44:36-074694IPMSKTOP-ILEUtLJ-137192-37-37：UDP,le

30、ngth00:14:36,076480IPDESKT0P-ILEU6LJ-137UDP,length00:14:36,076480IPDESKT0P-ILEU6LJ-137 192,16192,16 .31.255.13?.31.255.13?：UDP,lengthUDP,length0a0a：4444：3&.077B593&.077B59顯示正常安裝，以下查看參數(shù)C:DocunentsandSettingsAdministratoi*C:DocunentsandSettingsAdministratoi*f f NwindumpXjindiJinipfNwindumpXjin

31、diJinipfVJVJindumpindumpversion3version3. .9 9- -5 5, ,basedontcpdunpveFionbasedontcpdunpveFion.5UinPcapversion4.1.3,basedonlibpcapuer-siUinPcapversion4.1.3,basedonlibpcapuer-sik.0k.0branchl_0_vel0bbranchl_0_vel0bUgasre=vindumpC-aAdDcfILnNOpqRStuUvxUgasre=vindumpC-aAdDcfILnNOpqRStuUvx1 1Beis

32、eBeiseJ J-ccountccount l l一GFile_siseGFile_sise -Ealgo-secretC-Fflie-Ealgo-secretC-Fflie-iinterfaceJt-iinterfaceJt-M-Msecretsecret1(1(i*fliei*flie 3snaplen1L-T3snaplen1L-Ttypetype w wfileC-WfilecountfileC-Wfilecount-ydatalinktype-ydatalinktype11ZuserJexpressLonZuserJexpressLon 開始捕獲數(shù)據(jù)包，表示源地址和目的地址不采用主

33、機名的形式而采用IP地址的形式90:51:13-72389990:51:13-723899IP192-168-31.1-53627IP192-168-31.1-53627 224.O.0.2S2224.O.0.2S2.5355.5355：UBP,length2400:51:13.80921?UBP,length2400:51:13.80921?IPIP18Q.1&3.1S3.226.80192.1G8.31.12?.1258:SF1240149S6418Q.1&3.1S3.226.80192.1G8.31.12?.1258:SF1240149S64：1249564ack2318

34、4261S41249564ack23184261S4uinuin64246424 nas14690B0B：5151：13.9B93S6IP18B.1S3_1B3.22&.S029.1258:SF1240149564:1249564ack2318426184win6424B29.1258:SF1240149564:1249564ack2318426184win6424B 00:51:13-977681IP192_16S-31.1_13755.13700:51:13-977681IP192_16S-31.1_13719

35、55.137：UDPUDPr rlength5030:51length5030:51：14.0B9922IP180.153.1B3.22&.8Q14.0B9922IP180.153.1B3.22&.8Q192.1GS.31.129.1253192.1GS.31.129.1253：SF1240149564:12SF1240149564:12495640ack218426184win64240 &86packetscaptured702packetsrecfriucdbyfilter&86packetscaptured702packetsrecf

36、riucdbyfilter0 0packetsdroppedbykerne1packetsdroppedbykerne1(2)Ethereal(在這里，我使用wireshark,也是抓包工具)的使用198S-2001MlicrosoftCorp.198S-2001MlicrosoftCorp.DocunentsDocunentsandandSettingrsMidlninisti*atoFcdlSettingrsMidlninisti*atoFcdls s桌面C C：XDocumentsXDocumentsandandSettingsAd.riinistiatorSettingsAd.riin

37、istiator cdcdC C：sDocunentsDocunents s系統(tǒng)找不到指定的路徑.andandSettingisSOdniinistratSettingisSOdniinistratOFOF面Xd3indumpXd3indumpIP6IP6中南大學計算機取證實驗報告葛健敏24*Capturingfros*Capturingfros本地連接Tirehark1Tirehark1B B12.4 4W2-4-Q-gb4861da.W2-4-Q-gb4861da. .X XFjledit0ewfioRaptureAnalyzeStatisticsTelephonyToolsInterna

38、lsbelp略暮/或圓國IQQ公已FilttrFilttr：Exprexiicum.Exprexiicum.Cl-:-.：He.TimtSowctDtsliniiitionFrctoc&lLt-nfthInfoHe.TimtSowctDtsliniiitionFrctoc&lLt-nfthInfo160S.246232002629TCPTCPRE1618.S23162OOfe80：504d：6a65：162S.32322300192.1GS.31.151effO2:l:352LLMNRLLMNR86srandr

39、standar1638.346402002625TCP60TCP睡睡1648.44665500192.168.31-155NBNS92Nameqi1658.4463870026192.1681.129TCP60TCPRE1668.44331100fe80：504d：6a65：51effO2：1：3LLMNR86standar8.44844900192.168.31224.O.S252LLMNR66standar16SB.44908700192.16S.31.1192.16S.31.255NBNS

40、92Nameqc16?8.4694590055NBNS92Nameqi17Q,47352000192.160,31.1192-160,31.255NBNS92Nameqi1718.547491002629TCP60TCP1720.4352700180.1.103*226192.168/31.129TCP&0TCPRE1738.66178000192.168.Bl.1192.168.Bl.255NBNS92Nameqc1748.74368200180.153,103.226192.16S.3

41、1.129TCP60TCPREV0000000c的的5f06b4Q05056fO舞舞a903004500)PV,5E,0010002c7b030000SO06C323b49967&2cOaSn口口mV1本地塑寰本地塑寰File:JPadkets999Dtspl.r.Profile； Default(3)用windump和wireshark模擬網(wǎng)絡取證先telnet到一臺沒有開telnet服務的計算機上面，用兩種軟件同時抓包，查看捕獲包的異同三DocumentsandSettingsJfkdministFatortelnet192DocumentsandSettingsJfkdminis

42、tFatortelnet192 .1&8.0,10.1&8.0,10足在連接到192.16S.0-10.192.16S.0-10.不能打開到主機的連瓷在端口2323：連接失敗WindumpLindumpLindump：listeninganJeuiceXNPF_01:10:21,85974arpwho-ha192.16B.31.2tlisteninganJeuiceXNPF_01:10:21,85974arpwho-ha192.16B.31.2tellDESKTOP-ILEU6LJellDESKTOP-ILEU6LJ0tl0tl：1010：21-872473IP180.153_

43、103-22G-80lynn-3457b32f42.localdomaiji.1258:21-872473IP180.153_103-22G-80lynn-3457b32f42.localdomaiji.1258: F124W1495t4F124W1495t4：124014956ack23M426184win64240124014956ack23M426184win64240IP180.153.103,22,80liIP180.153.103,22,80li；nn-3457b32F42,locaIdomain,1259=SF1240149564nn-3457b32F42,locaIdomain

44、,1259=SF1240149564：124B149564(0ack23184261B4uin64240ack23184261B4uin6424014G&01:10:22,027556IP64packetscaptured01:10:22,027556IP64packetscapturedE64packetsreceivedbyfliterE64packetsreceivedbyfliter0packetsdropped0packetsdropped坷Jcerne1Jcerne1Wireshark165&1H酮400Mnwm:g:如Broadcast60Whohas12.lS.

45、31.2?Tell：L9L16EL3L116fi8.1417730019210.31.12EMN5132srandardquery0 x90ePTR3.0.0.O.l.O.Q.O.16?B.,J02O44QQ130,1J.103P221,10.31.129TCPTCPR.etranr5inl55lQn50-125SFIN15YNPAK：K|16Q8.2601000192.Ifia.31.1IM-168.31.255NBrlS2iNamequeryNOI5ATAP|1698.3Q228700ISO.153.103.2261&2-18-31.12&TCP0JT

46、CPRetransmissiionjSD-1258|FINSNfiJCiq相比之下wireshark所捕獲的包的種類更多，內(nèi)容也更直觀中南大學計算機取證實驗報告葛健敏25使用haping工具模擬syn泛洪攻擊， 在被攻擊的計算機上用捕獲數(shù)據(jù)包使用XDOS攻擊工具*1(鯽6tycisor4fttytmcapurid)- -MTMTimnajiBL.Elti：uJ J: :A A5:11皿：xly.si:rKf.9$zlw:M M. .W W-TIPr_1P1FM0rII,rrnxerneiareRupn-i，IIwindump或wireshark用wireshark可以看到大量syn向192.1

47、68.1.43發(fā)送!1T,.T二 XTfp.舊”了-224403XArDFZSMWB謎4?.TCP己彩邛:WWMU.07SHM.lS.Ot.lDF3L：，.心TCP沖心切揭如.-/JiiJ!5.3ibLLDS二二 s_T8JtHUO*-1:-r-；r-f,叩1ys專.3 二可T8PRfl：-二 m:-，；r=r.iw:qTCP沖心224AMIt.OTTSLI43TCP7H-UF-_.-1.1 如七土,35.11212-1.0-3.1-：=【心，-4 口、14.a號、11*mu葛 MTTP*fenHQ5mzwmW;r*土十 X、w+m5q氣I；-winfA/Wll-51g=4lWW，i 宮瑚唱工

48、PJIHJLEJ-k-rW*-1-V.5:C,1-550irwtbfos-fm S S H HJ J卜 I-T 一=f-1Pl:!-V-心#SLL&.(174、”.0*MW；1W-健TC48T1門I5YHJLSWjMcblas-Mn5rnj1of-iir-.ios-3sr:m1l中南大學計算機取證實驗報告葛健敏26實驗五分析Windows系統(tǒng)中隱藏的文件和Cache信息實驗目的(1)學會使用取證分析工具查看Windows操作系統(tǒng)下的一些特殊文件，找出深深隱藏的證據(jù)。(2)學會使用網(wǎng)絡監(jiān)控工具監(jiān)視Internet緩存，進行取證分析。實驗要求：(1)WindowsXp或Windows200

49、0Professional操作系統(tǒng)(2)WindowsFileAnalyzer和CacheMonitor安裝軟件一張可用的軟盤(或u盤)實驗步驟及結(jié)果(1)用WindowsFileAnalyzer分析Windows系統(tǒng)下隱藏的文件。中南大學計算機取證實驗報告葛健敏27D用index.datAnalyzer分析index.dat文件& &TindovsFileAnalyzerTindovsFileAnalyzer IDAIDA= =index,dartindex,dartJ JdBlEile(indtHBS匚ISI最I雀IDA-index.datjIhdex.DATAnalysi

50、sFieC:DocumertlsandSeltiig女血口kieRieKdiVdume忡國B854-4FB0VdumetebelURLTypeModeledLastAccessedH麗FienarteDirectoCisokie:anintstialarcrD admnist商口理cpwbmdi411上例A ACookie:adirinrstialai&Bardi114SD.取URL2D16-5-2114:00392O1E-5-21MDtt3932nm袱laL口曲禎archl14so(1|ltKlCookie:adhiinistvaloicnbingcm/URL2D16-5-2114.

51、23162Q16-5-2114:21162adnwrstialainbiig|2pi4lCWedhnini5tidBd8hma.11URL2016-5-211412432OT6-5-211412433adhwiist由1。|即2|1MMICookie:adhinialoiireduv.cwn/URL20162114:00:57的G521H4:0ft5?1ddwn.siialortSmfidBvIl1IxtCmie:acfrniriGiialordaahang.114s=o.crVURLWCH&5Z114:12:ZTIE5-2114:12422admnMiatci炬dadia叫114袍2

52、|加Cookie: adhwrialaiCcniffiaskjiF.lbiddrixflbiCodie：i5dhTinistiali3ibrigcm/URL2016-5-211507072OT6-5-211507:07ISadhmidialoiC3bhg|21lj&211S0R1214adhwi嗷間饞MV VURL用prefetchAnalyzer挖出Prefetch文件夾中存儲的信息fTXP-Thumbs.dbThumbnailDatabaseAnalysisFie:C:DoeumentsandSettir*g$Admini$trator面k菊花Thumb$.cVolumeserii

53、atBB54-4FB0Volumelabel:Report.Saveimage.Saveimage.ThunbnailImageFilenameTimestamp2009021SC2512591.pg2DO9tJ21SO2512975.|2DO9tJ21SO2512975.|P Pg g2011-2-2114:06:362011-2-212011-2-2114:曲曲36RepciiL.中南大學計算機取證實驗報告葛健敏28馨TindovsFileAnalyzerTindovsFileAnalyzer一IDAIDAindex,datindex,datWindowsHelp回&粕對，022r

54、tcordls日開始質(zhì)質(zhì)7Window.-，:，C:WINDO.*x2 2Int普mWindow!F.H.UUicuj.iI-J.1-3.ir5PDaLSV.EXE2D16-5-2110:321372O1B-5-2113t14:O42016-5-2115:19:172016-52113:14:00STDREFWDEXESD16-5-2110:33:102O1IB-5-211Q33t102016-5-2115t1S:172D16-&2110:33:10SVCHOST.EXE2016-5-211032372O1&-5-211511:572016-5-211511572D16-&am

55、p;-2115114?TMTSETP.EXE2016-5-211034052016-5-21ICt34:052016-5-2115:19:172016-5r?110:3405rPAUTOCONNSVC-EKE2tnG52l13:14:09SnG52113t14:09加ifrswiism?的6物13:14:06TFVCGATEWAY.EXE2D16-5-2113:14:102O1B-5-21”14:10201&-5-2115:19:172016-52113:il4:09UNHEGMP2.EXE2D16-5-2110:33542OTE-5-211Ct33201&-5-2115:1S

56、:172016-2110:33:50UPGRADER.EE3016-5-211033202O1&-5-211Q3S2O2016-5-211519:172D16-5-21103310USERINIT.IXI2016-5-2110：3S162016-5-211Q3116201G-S2115:19:172016-5-2110:33:06VtREOIST_XK.E的M，2l10:3401的G，51047:232tn&52115(19:1/201G-5S1白VERCLSID.EXEZDl6-5-2110:34:02201B-5-2115:17:59201&-5-2115:17:5

57、92016-5211517:593VGAUTHSERV1CE.EXE2D16-5-2113:1439201B-5-2113E14392016-5-2115:19:172016-2113:14跆VMACTHLPEX3Q16-5-211314392O1&-5-211314392016-5-211519:172E6521131429VMIQQLSD.E IDA-ndex.dat削覽文件夾Index.DATRepoit.File:C:DocumenVolumeserial.BSVolumelabelURLCookie:adniiriisliatorcpro.beCookie:achiinisl

58、iatorseach.Cookie:adminisuatorcn.bing日oV*甘*airlmiini-rlYSirkURLSi0U0.0ILjl-MM01-Jt)JJ_*MediamsagentmxtppsmuiNetworkDi0DirOfflineWebPagesPttrNel確定確定取捎VindavsFileAnalyzeE-(PA一Prefetchl中南大學計算機取證實驗報告葛健敏29用RecycleBinAnalyzer打開特定文件夾中的快捷方式，顯示回收站info2文件信息中南大學計算機取證實驗報告葛健敏30用ShortcutAnalyzer找出特定文件夾中的快捷方式并顯示存儲

59、在它們里面的數(shù)據(jù)中南大學計算機取證實驗報告葛健敏31(2)用CacheMonitor監(jiān)控Internet緩存Ent.IJRLEnt.IJRLLMilFilailFilaSLED D1 1b-ltf-b-ltf-：1.1. dn-=q/l/pcblaEckdn-=q/l/pcblaEck di.lar/.di.lar/. .U U：00 企 cumcum .43.43LuiLuiXCCML-ILailLail-!LutSrxic-adH.ax-!LutSrxic-adH.aXX1ITS3xa：40%(3)用WFA口CacheMonitor進行取證分析s交1W胸陽El格式皿|ln0p-K $ttU

60、SFlaqcHHSizpLsstRCCfSSURLAIS*11時F湖F1伽HI53532IM5535B5123甲53508Iff航5的m97Ml5Miq66-M1l5MIS15?41船197SIB?ail船45619ga111皿W餐蜂#4 腥Wu匚姓206TtidsMb2F2fl2.2fi?.lia-12W!Fwtil2Ft_i11:1匚dti+id3白di_:i.dt.ZB?.*3-17X71*n勺81$*11&1購VM11?41113B1275171AHI33755CI甲13碩1&7*13371158甲31府M133甲31岫3221*132dBB7lit3M93233H119S33fl7216Mil329WSC41l335717653172A1SAM3森酢4iia盤 g11W41133婭1鄧*13IB*1335f5*13MW127A|113255?74*1319B3：neo3芝。址64IMF339B19*241i33JS2fl1?/B5-/971B：51A3MVHtp:/172,22,1*111JxBjpgEB1Z/fl5/W11B：51叩相VdU