040739-计算机取证技术-实验指导书讲述.doc

《计算机取证技术》 实验指导书  实验一 犯罪现场收集证据 1.1 实验目的 1.会创建应急工具箱，并生成工具箱校验和。 2.能对突发事件进行初步调查，做出适当的响应。 3.能在最低限度地改变系统状态的情况下收集易失性数据。 1.2 实验环境和设备 1. Windows Professional操作系统。 2．网络运行良好。 3. 一张可用的软盘（或U盘）和PsTools 工具包。 1.3 实验内容和步骤 1. 将常用的响应工具存入软盘（或U盘），创建应急工具盘。应急工具盘中的常用工具有： cmd.exe (Windows Xp/2000命令提示符) ; netstat; fport; nslookup; nbtstat; arp; md5sum; netcat; cryptcat; ipconfig等。 2. 用命令md5sum创建工具盘上所有命令的校验和，生成文本文件commandsums.txt保存到工具盘中，并将工具盘写保护。 3. 用time和date命令记录现场计算机的系统时间和日期，第4、5、6、7和8步完成之后再运行一遍time和date命令。 4. 用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间。 5. 用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关，用ipconfig /all命令获取更多有用的信息：如主机名、DNS服务器、节点类型、网络适配器的物理地址等。 6. 用netstat显示网络连接路由表和网络接口信息PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。 8. 用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。 注解：PsTools v2.3工具包使用在Windows命令行下，包含工具如下： PsExec - 远程运行程序； PsFile - 显示远程打开的文件；PsGetSid - 显示计算机或用户的SID； PsKill - 根据进程名或进程ID杀进程；PsInfo - 显示系统有关信息； PsList - 显示详细的进程信息； PsLoggedOn - 显示通过资源共享登陆到本地； PsLogList - 导出日志文件； PsPasswd - 更改用户密码； PsService - 查看和控制服务； PsShutdown - 关闭或重启远程计算机； PsSuspend - 终止进程； PsUptime -重启后系统运行的时间。实验二 证据的验证和保全 2.1 实验目的 1.熟悉使用hash函数保全证据的方法。 2.会使用数字签名对电子公文生成电子签名。 3.会对生成的电子签名验证它的有效性。 2.2 实验环境和设备 1. Windows Professional操作系统。 2．网络运行良好。 3. PDF软件包。 2.3 实验内容和步骤 1. 打开PDF文档，在签署下拉选项中选择“签署文件” 2. 出现下图对话框，可以将小方框打钩，不再显示此提示信息，点击确定后在要放置电子签名的地方画一个小方框。 选择新建ID 选择“我要立即建立新数位ID 选择下一步 下一步，来到数位信息填写，按照下图示例添加相关信息，其中ASCII下面的名称、机构部门、机构名称等不能使用中文填写，可在右侧填写中文名称、机构等。 下一步，选择存储位置，并添加签署文件所用的密码，自己任意设定，不少于六位字符 7. 完成后如下图，在密码框中输入上图自己设定的密码，然后选择签署，即可在原划定的方框中显示设定的签名  证据推理与分析 3.1 实验目的 1. 学会使用取证分析工具查看Internet缓存，进行取证分析。 3.2 实验环境和设备 1. Windows Professional操作系统。 2. Windows File Analyzer和CacheMonitor安装软件。 3.一张可用的U盘。 3.3 实验内容和步骤 1.用Windows File Analyzer分析Windows系统下隐藏的文件。 Windows File Analyzer软件不需要安装，点击图标可直接进入应用程序窗口，分析和找出Windows操作系统中一些特定的文件，以报告的形式打印出来。 （1）用Thumbnail Database Analyzer读出Thumbs.db文件。 打开Windows File Analyzer应用程序窗口，选择“File” -“Analyze Thumbnail Database”下拉式菜单，查看 Thumbs.db 的内容，Thumbs.db得到此文件夹中所有的文件名及缩略内容，导出其中的图，有不健