- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
PAGE \* MERGEFORMAT 12
《计算机取证技术》
实验指导书
实验一 犯罪现场收集证据
1.1 实验目的
1.会创建应急工具箱,并生成工具箱校验和。
2.能对突发事件进行初步调查,做出适当的响应。
3.能在最低限度地改变系统状态的情况下收集易失性数据。
1.2 实验环境和设备
1. Windows Professional操作系统。
2.网络运行良好。
3. 一张可用的软盘(或U盘)和PsTools 工具包。
1.3 实验内容和步骤
1. 将常用的响应工具存入软盘(或U盘),创建应急工具盘。应急工具盘中的常用工具有: cmd.exe (Windows Xp/2000命令提示符) ; netstat; fport; nslookup; nbtstat; arp; md5sum; netcat; cryptcat; ipconfig等。
2. 用命令md5sum创建工具盘上所有命令的校验和,生成文本文件commandsums.txt保存到工具盘中,并将工具盘写保护。
3. 用time和date命令记录现场计算机的系统时间和日期,第4、5、6、7和8步完成之后再运行一遍time和date命令。
4. 用dir命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间。
5. 用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关,用ipconfig /all命令获取更多有用的信息:如主机名、DNS服务器、节点类型、网络适配器的物理地址等。
6. 用netstat显示现场计算机的网络连接、路由表和网络接口信息,检查哪些端口是打开的,以及与这些监听端口的所有连接。
7. 用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。
8. 用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。
注解:PsTools v2.3工具包使用在Windows命令行下,包含工具如下: PsExec - 远程运行程序; PsFile - 显示远程打开的文件;PsGetSid - 显示计算机或用户的SID; PsKill - 根据进程名或进程ID杀进程;PsInfo - 显示系统有关信息; PsList - 显示详细的进程信息; PsLoggedOn - 显示通过资源共享登陆到本地; PsLogList - 导出日志文件; PsPasswd - 更改用户密码; PsService - 查看和控制服务; PsShutdown - 关闭或重启远程计算机; PsSuspend - 终止进程; PsUptime -重启后系统运行的时间。
实验二 证据的验证和保全
2.1 实验目的
1.熟悉使用hash函数保全证据的方法。
2.会使用数字签名对电子公文生成电子签名。
3.会对生成的电子签名验证它的有效性。
2.2 实验环境和设备
1. Windows Professional操作系统。
2.网络运行良好。
3. PDF软件包。
2.3 实验内容和步骤
1. 打开PDF文档,在签署下拉选项中选择“签署文件”
2. 出现下图对话框,可以将小方框打钩,不再显示此提示信息,点击确定后在要放置电子签名的地方画一个小方框。
3. 选择新建ID
选择“我要立即建立新数位ID
4.选择下一步
5. 下一步,来到数位信息填写,按照下图示例添加相关信息,其中ASCII下面的名称、机构部门、机构名称等不能使用中文填写,可在右侧填写中文名称、机构等。
6. 下一步,选择存储位置,并添加签署文件所用的密码,自己任意设定,不少于六位字符
HYPERLINK /album/91f5db1b3055831c7e05e35b.html?picindex=6 \t _self 步
7. 完成后如下图,在密码框中输入上图自己设定的密码,然后选择签署,即可在原划定的方框中显示设定的签名
实验三 证据推理与分析
3.1 实验目的
1. 学会使用取证分析工具查看Windows操作系统下的一些特殊文件,找出深深隐藏的证据。
2. 学会使用网络监控工具监视Internet缓存,进行取证分析。
3.2 实验环境和设备
1. Windows Professional操作系统。
2. Windows File Analyzer和CacheMonitor安装软件。
3.一张可用的U盘。
3.3 实验内容和步骤
1.用Windows File Analyzer分析Windows系统下隐藏的文件。
Windows File Analyzer软件不需要安装,点击图标可直接进入应用程序窗口,分析和找出Windows操作系统中一些特定的文件,以报告的形式打印出来。
(1)
您可能关注的文档
最近下载
- 心理健康教育对青少年学习动力的影响.pptx VIP
- 基于财务共享模式下的财务风险管理—以海尔集团为例.doc VIP
- 初一学生期中家长会优质课件.ppt
- 中国华电集团发电运营有限公司招聘笔试题库2024.pdf
- 物流服务师(高级工)职业技能鉴定考试及答案.doc VIP
- 2024年浙江省中考数学试卷(附答案).pdf
- 人教版九年级全册英语Unit 14大单元整体教学设计.docx
- 4.11.1《探问人生目标》课件人教统编版道德与法治七年级上册2024新教材.pptx
- JB∕T 10923-2020 电能表用磁保持继电器.pdf
- 2018年版《广东省安装工程定额说明及计算规则》C.5 建筑智能化工程.pdf
文档评论(0)