朗威計算機保密檢查取證工具用戶手冊

計算機檢查取證工具用戶手冊朗威電子技術開發(fā)目錄TOC\o"1-5"\h\z\u第一章計算機檢查取證工具簡介11.概述12.主要功能13.主要特點2第二章檢查工具使用向導3第三章檢查工具使用方法41.檢查工具使用方法41.1檢查功能41.2其他功能81.2.1文件恢復81.2.2隱藏文件檢索141.2.3搜索文件14保存結果162.涉密版和非涉密版區(qū)別16公司簡介朗威電子技術開發(fā)成立于1999年11月5日，注冊資金朗威電子技術開發(fā)是國家商用密碼產(chǎn)品生產(chǎn)定點單位，具有涉及國家秘密的計算機信息系統(tǒng)集成資質，全面致力于“信息平安產(chǎn)品〞、“信息平安應用產(chǎn)品〞的研制，并且是“平安效勞〞提供商。朗威公司目前已經(jīng)形成了多項擁有自主知識產(chǎn)權的信息平安類產(chǎn)品，分別通過局、公安部、信息產(chǎn)業(yè)部等權威部門認證，并為用戶提供專家級的咨詢和平安效勞。朗威電子簽章系統(tǒng)作為中間件在中央政府采購工程中中標，標志著朗威電子簽章技術在政府公文傳輸系統(tǒng)中獲得認可，并得到廣泛推廣。多年來，朗威電子技術開發(fā)專注市場，專心于標準的研究，專門制作符合單項要求的產(chǎn)品，在產(chǎn)品的研發(fā)、生產(chǎn)和銷售各個環(huán)節(jié)完全符合國家相關政策的規(guī)定。公司擁有自己的研發(fā)隊伍。朗威電子技術開發(fā)現(xiàn)有平安產(chǎn)品：朗威桌面平安管理系統(tǒng)、朗威USB移動存儲介質使用管理系統(tǒng)、朗威涉密信息實時監(jiān)管系統(tǒng)、朗威電子簽章系統(tǒng)和朗威公文傳輸系統(tǒng)等。朗威公司憑借專業(yè)的行業(yè)背景、先進的軟件產(chǎn)品、成熟的技術優(yōu)勢、高素質的技術人才、優(yōu)越的研發(fā)環(huán)境為用戶提供了完善的解決方案和專業(yè)的技術支持，廣泛效勞于政府、企業(yè)、教育、金融、電信等領域，為全國各級涉密部門提供平安保障，為全國許多軍工單位的軍工資質認證和系統(tǒng)評測提供咨詢及技術效勞，受到了市場的普遍歡送。朗威公司充分意識到工作的嚴肅性和重要性，研制出的平安產(chǎn)品嚴格執(zhí)行國家相關標準、政策，得到了國家局、各地局和軍工集團辦的肯定。其中，桌面平安管理系統(tǒng)率先通過國家認證，涉密信息實時監(jiān)管系統(tǒng)作為全國的優(yōu)秀模式得到推廣，而涉密介質管理系統(tǒng)則是目前唯一能做到對涉密移動存儲介質的外聯(lián)進展監(jiān)管的產(chǎn)品，居全國領先地位。朗威電子技術開發(fā)立足龍江，效勞全國，提供本地化的平安效勞，以“管理嚴格、操作規(guī)、功夫到家〞的司訓，“誠信、進取、團隊、創(chuàng)新〞的企業(yè)精神，“以效勞贏得客戶，以創(chuàng)新求得開展〞的經(jīng)營理念和“做一項工程，樹一座豐碑〞的效勞理念，不斷提升公司的技術研發(fā)實力，立志使公司產(chǎn)品成為全國同類產(chǎn)品最優(yōu)，效勞社會，構建完善的信息平安平臺。計算機檢查取證工具簡介概述計算機檢查取證工具〔以下簡稱“檢查工具〞〕主要針對各級局、政府機關、軍工單位、科研院所等各類機關企事業(yè)單位管理工作機構使用，進展為部門對本單位計算機系統(tǒng)的檢查工作提供強有力的檢查手段，檢查涉密網(wǎng)及非涉密網(wǎng)在運行中是否發(fā)生違規(guī)操作及不符合要求的操作行為。該產(chǎn)品可以準確、全面、快捷、方便地提供被檢查計算機的相關違規(guī)信息等，重點檢查涉密計算機是否違規(guī)上互聯(lián)網(wǎng)、使用非合理的存儲介質和非涉密計算機是否違規(guī)處理涉密信息等，并提供數(shù)據(jù)恢復的深入檢查功能，提供當前系統(tǒng)用戶、共享、開放端口等相關信息。主要功能1、系統(tǒng)信息檢查主機名、硬盤序列號、硬盤型號、IP地址、MAC地址、操作系統(tǒng)名稱、操作系統(tǒng)安裝時間、用戶賬號情況、多操作系統(tǒng)信息、補丁安裝情況、硬盤分區(qū)情況、系統(tǒng)驅動信息。2、違規(guī)外聯(lián)檢查歷史上網(wǎng)記錄信息、Cookies目錄下遺留的上網(wǎng)記錄信息、系統(tǒng)臨時目錄下上網(wǎng)記錄信息、收藏夾下網(wǎng)絡信息、注冊表上網(wǎng)記錄、系統(tǒng)是否安裝無線網(wǎng)卡、常用網(wǎng)絡工具、系統(tǒng)是否安裝藍牙設備、是否連接網(wǎng)絡、撥號信息、手機設備、深度上網(wǎng)記錄。3、違規(guī)接入檢查常規(guī)移動介質記錄、深度移動介質記錄、手機設備、打印機安裝信息、導入USB介質信任列表。4、涉密隱患檢查端口信息、平安策略、多操作系統(tǒng)系統(tǒng)、其他軟件信息、進程信息、效勞信息、殺毒軟件信息、常規(guī)系統(tǒng)日志信息、共享信息、深度系統(tǒng)日志信息。5、文件信息檢查歷史文件操作記錄、其它文件操作記錄、最近操作的文檔信息、系統(tǒng)數(shù)據(jù)庫中的文件操作信息、深度文件操作信息、常規(guī)文件信息、深度文件信息、刪除文件恢復。主要特點1、能夠準確的檢查涉密計算機的上網(wǎng)記錄，并進展數(shù)據(jù)取證，即使通過專業(yè)清理工具對上網(wǎng)信息進展了去除處理、格式化硬盤或重新安裝操作系統(tǒng)，本系統(tǒng)仍能夠獲得準確的上網(wǎng)信息。2、支持容檢索功能，通過對文件信息檢索技術，可以對不同的磁盤分區(qū)的所有DOC、*LS、T*T、WPS等格式文件進展容搜索。即使用戶把存在磁盤的涉密文件或處理過的涉密文件的操作記錄去除掉，本系統(tǒng)也會應用數(shù)據(jù)恢復技術，把其恢復出來，并進展檢查取證。3、系統(tǒng)使用簡便，操作界面友好，本系統(tǒng)被存儲在專用介質中，無需安裝，可直接在被檢查計算機上自動運行，檢查人員僅需輸入必要的檢測配置既可自動進展檢測，檢測整個過程無須用戶干預，檢測完畢后自動生成檢測報告供用戶進展檢查取證。4、自主知識產(chǎn)權，系統(tǒng)部設計采用可擴大框架構造，實現(xiàn)檢測模塊化處理，方便滿足用戶個性化二次開發(fā)需求。5、能夠準確檢查移動介質的插拔記錄，并在取證報告中顯示移動介質的設備名稱、序列號、第一次使用時間、最后一次使用時間，PID&VID等信息詳盡。6、界面簡潔美觀，檢查結果清晰醒目。檢查工具使用向導本向導會詳細地講解檢查工具的各項功能，請您仔細查看使用向導，按照使用向導的講解，相信您會很快便能掌握檢查工具的使用方法及其微妙所在！檢查工具總共分為了兩個版本，一個是涉密專用版，一個是非涉密專用版。檢查工具提供五大方面的檢查功能：違規(guī)外聯(lián)檢查、涉密隱患檢查、違規(guī)接入檢查、文件信息檢查、系統(tǒng)根本信息檢查。違規(guī)外聯(lián)檢查針對十二個方面進展檢查，其中包括：歷史上網(wǎng)記錄信息、Cookies目錄下遺留的上網(wǎng)記錄信息、系統(tǒng)臨時目錄下上網(wǎng)記錄信息、收藏夾下網(wǎng)絡信息、注冊表上網(wǎng)記錄、系統(tǒng)是否安裝無線網(wǎng)卡、常用網(wǎng)絡工具、系統(tǒng)是否安裝藍牙設備、是否連接網(wǎng)絡、撥號信息、手機設備、深度上網(wǎng)記錄；涉密隱患檢查針對十個方面進展檢查，其中包括：端口信息、平安策略、多操作系統(tǒng)系統(tǒng)、其他軟件信息、進程信息、效勞信息、殺毒軟件信息、常規(guī)系統(tǒng)日志信息、共享信息、深度系統(tǒng)日志信息；違規(guī)接入檢查針對六個方面進展檢查，其中包括：常規(guī)移動介質記錄、深度移動介質記錄、手機設備、打印機安裝信息、導入USB介質信任列表；文件信息檢查針對七個方面進展檢查，其中包括：歷史文件操作記錄、其它文件操作記錄、最近操作的文檔信息、系統(tǒng)數(shù)據(jù)庫中的文件操作信息、深度文件操作信息、常規(guī)文件信息、深度文件信息、刪除文件恢復；系統(tǒng)根本信息針對十二個方面進展檢查，其中包括：主機名、硬盤序列號、硬盤型號、IP地址、MAC地址、操作系統(tǒng)名稱、操作系統(tǒng)安裝時間、用戶賬號情況、多操作系統(tǒng)信息、補丁安裝情況、硬盤分區(qū)情況、系統(tǒng)驅動信息。下一章我們將為您講解檢查工具各個功能的具體使用方法。第三章檢查工具使用方法檢查工具使用方法檢查工具主要是對涉密電腦進展全面并且綜合的檢查，檢查計算機當前是否與互聯(lián)網(wǎng)相連接，是否存在違規(guī)上網(wǎng)記錄和痕跡，檢查涉密計算機是否曾經(jīng)撥號上互聯(lián)網(wǎng)，使用非合理的存儲介質等，并提供數(shù)據(jù)恢復的深入檢查〔信息檢索〕、文件檢索等功能，提供當前系統(tǒng)用戶、共享、開放端口等相關信息等。1.1檢查功能將計算機檢查取證工具〔光盤〕插入被檢查計算機中，雙擊其中的檢查工具，啟動檢查工具.當用戶按照使用簡介進入檢查工具后，可進入檢查工具主界面，如：圖1所示：圖1檢查工程包括五大項：違規(guī)外聯(lián)檢查、涉密隱患檢查、違規(guī)接入檢查、文件信息檢查、系統(tǒng)根本信息檢查。每一塊又包括不同的分項，詳細說明如下：系統(tǒng)根本信息檢查：主機名、硬盤序列號、硬盤型號、IP地址、MAC地址、操作系統(tǒng)名稱、操作系統(tǒng)安裝時間、用戶賬號情況、多操作系統(tǒng)信息、補丁安裝情況、硬盤分區(qū)情況、系統(tǒng)驅動信息。違規(guī)外聯(lián)檢查：歷史上網(wǎng)記錄信息、Cookies目錄下遺留的上網(wǎng)記錄信息、系統(tǒng)臨時目錄下上網(wǎng)記錄信息、收藏夾下網(wǎng)絡信息、注冊表上網(wǎng)記錄、系統(tǒng)是否安裝無線網(wǎng)卡、常用網(wǎng)絡工具、系統(tǒng)是否安裝藍牙設備、是否連接網(wǎng)絡、撥號信息、手機設備、深度上網(wǎng)記錄。涉密隱患檢查：端口信息、平安策略、多操作系統(tǒng)系統(tǒng)、其他軟件信息、進程信息、效勞信息、殺毒軟件信息、常規(guī)系統(tǒng)日志信息、共享信息、深度系統(tǒng)日志信息。違規(guī)接入檢查：常規(guī)移動介質記錄、深度移動介質記錄、手機設備、MP3設備、打印機安裝信息、導入USB介質信任列表。文件信息檢查：歷史文件操作記錄、其它文件操作記錄、最近操作的文檔信息、系統(tǒng)數(shù)據(jù)庫中的文件操作信息、深度文件操作信息、常規(guī)文件信息、深度文件信息、刪除文件恢復。用戶可通過兩種方式對被檢查計算機進展一系列檢查操作，具體操作如下：方式一：通過點擊“快速開場〞菜單下的“檢查常規(guī)信息〞，彈出如下對話框：圖2用戶可通過對想要檢查的工程進展選擇，選擇確認后，點擊“開場〞按鈕，既可對選擇的工程進展檢查。如用戶選擇檢查全部的工程，則檢查完畢后，可以在主窗口中查看相關檢查結果。方式二：通過直接點擊工具欄中的“常規(guī)檢查〞〔功能與方式一一樣〕。常規(guī)檢查是全面檢查功能，如果想進展局部檢查可點擊：“根本信息檢查〞、“違規(guī)外聯(lián)檢查〞、“違規(guī)接入檢查〞、“涉密隱患檢查〞、“文件信息檢查〞按鈕，可對一個或多個工程進展檢查以及查看檢查結果信息。例如點擊“根本信息〞工具欄按鈕，點擊“開場〞，可通過主窗口對檢查結果進展查看，如圖3所示：圖3如果要檢查“根本信息〞中的一個或者多個項有兩種方法，具體操作如下：1〕直接點擊工具欄中的“根本信息〞，然后選擇其中想要檢查的項，如圖4所示：圖42〕選擇菜單欄中的“系統(tǒng)信息檢查〞菜單下的單個選項進展檢查，也可以在此勾選其他項。1.2其他功能文件恢復文件恢復，主要分為正常搜索與深度搜索。正常搜索主要檢查用戶機器中現(xiàn)有存在的文件，深度搜索主要實現(xiàn)對已經(jīng)被完全刪除文件的查詢功能，輔助檢查人員準確地對上網(wǎng)行為等進展檢查取證。用戶可通過點擊如圖1所示主界面中“文件恢復〞工具欄按鈕，彈出“磁盤深度搜索檢查工具〞界面，如圖5所示：圖5一、正常搜索正常搜索包括文件分類搜索、文件容搜索。選擇“文件搜索〞菜單下的“正常搜索〞項或單擊工具欄中的“正常搜索〞按鈕，出現(xiàn)“正常檢查〞界面，如圖6所示：圖6〔1〕文件分類搜索〔普通選項〕：對指定的路徑，根據(jù)文件或文件夾名、擴展名、日期進展搜索。在“搜索圍〞處選擇搜索路徑，在“要搜索的文件或文件夾名為〞處輸入要搜的文件或文件夾名稱，在“日期〞處選擇要搜索的日期，“擴展名〞處輸入要搜索的擴展名，在“高級選項〞處用戶可以設置是否搜索子文件夾和搜索目錄級別。設置完搜索條件后，點擊“開場〞進展文件分類搜索。〔2〕文件容搜索〔關鍵字選項〕：對文件正文容進展搜索，支持t*t、word、e*cel、wps、ppt等文件格式。在“搜索圍〞處選擇搜索路徑，選中“啟動關鍵字搜索〞，輸入關鍵字，選擇搜索的格式，在“高級選項〞處用戶可以設置是否搜索子文件夾和搜索目錄級別。設置完搜索條件后，點擊“開場〞進展文件容搜索。在搜索PDF、壓縮文件和圖片時需要選擇暫存盤?？梢詫λ阉鞯降奈募M展以下操作：翻開文件、粉碎文件、查看文件屬性、導出報表。翻開文件：在要翻開的文件或文件夾上點擊鼠標右鍵，在出現(xiàn)的菜單上選擇“翻開文件〞，即可將該文件翻開或將文件夾目錄翻開。粉碎文件：在要粉碎的文件或文件夾上點擊鼠標右鍵，在出現(xiàn)的菜單上選擇“粉碎文件〞或“文件夾粉碎〞，即可將該文件或文件夾刪除。文件屬性：在要查看文件屬性的文件上點擊鼠標右鍵，在出現(xiàn)的菜單上選擇“文件屬性〞，出現(xiàn)“文件屬性〞界面，如圖7所示：圖7文件屬性中包括文件名、所在目錄、大小、占用空間、創(chuàng)立時間、修改時間、訪問時間和屬性。導出報表：在搜索到的文件上點擊鼠標右鍵，在出現(xiàn)的菜單上選擇“導出報表〞，出現(xiàn)“保存〞對話框，如圖8所示：圖8在彈出的對話框中，輸入用戶設定的文件名及選擇保存路徑后，點擊“保存〞按鈕，既可將搜索到的詳細記錄以HTML形式的報表格式導出，用于查看取證。二、深度搜索深度搜索包括文件分類搜索、文件容搜索、文件恢復。選擇“文件搜索〞菜單下的“深度搜索〞或單擊工具欄中的“深度搜索〞按鈕，翻開“深度檢查〞界面，如圖9所示：圖9〔1〕文件分類搜索〔普通選項〕：對指定的路徑，根據(jù)文件或文件夾名、擴展名、日期進展搜索。在“搜索圍〞處選擇搜索路徑，在“要搜索的文件或文件夾名為〞處輸入要搜的文件或文件夾名稱，在“日期〞處選擇要搜索的日期，“擴展名〞處輸入要搜索的擴展名，在“高級選項〞處用戶可以設置是否搜索子文件夾和搜索目錄級別。設置完搜索條件后，點擊“開場〞進展文件分類搜索?！?〕文件容搜索〔關鍵字選項〕：對文件正文容進展搜索，支持t*t、word、e*cel、wps、ppt等文件格式。在“搜索圍〞處選擇搜索路徑，選中“啟動關鍵字搜索〞，輸入關鍵字，選擇搜索的格式，在“高級選項〞處用戶可以設置是否搜索子文件夾和搜索目錄級別。設置完搜索條件后，點擊“開場〞進展文件容搜索。在搜索PDF、壓縮文件和圖片時需要選擇暫存盤。〔3〕文件恢復：將深度搜索查詢到的文件進展恢復。進展文件搜索，對搜索到的已刪除文件可以進展一個或多個文件恢復操作，在要恢復的文件上點擊鼠標右鍵，在出現(xiàn)的菜單上選擇“恢復〞，出現(xiàn)“文件恢復〞界面，如圖10所示，圖10文件默認恢復保存到C盤，選擇保存路徑以及要恢復的一個或多個文件后，注意請不要選擇與要恢復文件的磁盤一樣的路徑，選擇完路徑后，點擊“開場〞既可成功恢復被刪除的文件。還可以對搜索到的已刪除文件進展以下操作：查看文件屬性、導出報表。文件屬性：在要查看文件屬性的文件上點擊鼠標右鍵，在出現(xiàn)的菜單上選擇“文件屬性〞，出現(xiàn)“文件屬性〞界面，如圖8所示。其中文件屬性中包括文件名、所在目錄、大小、占用空間、創(chuàng)立時間、修改時間、訪問時間和屬性。導出報表：在搜索到的文件上點擊鼠標右鍵，在出現(xiàn)的菜單上選擇“導出報表〞，出現(xiàn)“保存〞對話框，如圖9所示。在彈出的對話框中，輸入用戶設定的文件名及選擇保存路徑后，點擊“保存〞按鈕，既可將搜索到的詳細記錄以HTML形式的報表格式