040739-计算机取证技术-实验指导书摘要.doc

040739-计算机取证技术-实验指导书摘要.doc

  1. 1、本文档共13页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
 PAGE \* MERGEFORMAT 12 《计算机取证技术》 实验指导书 实验一 犯罪现场收集证据 1.1 实验目的 1.会创建应急工具箱,并生成工具箱校验和。 2.能对突发事件进行初步调查,做出适当的响应。 3.能在最低限度地改变系统状态的情况下收集易失性数据。 1.2 实验环境和设备 1. Windows Professional操作系统。 2.网络运行良好。 3. 一张可用的软盘(或U盘)和PsTools 工具包。 1.3 实验内容和步骤 1. 将常用的响应工具存入软盘(或U盘),创建应急工具盘。应急工具盘中的常用工具有: cmd.exe (Windows Xp/2000命令提示符) ; netstat; fport; nslookup; nbtstat; arp; md5sum; netcat; cryptcat; ipconfig等。 2. 用命令md5sum创建工具盘上所有命令的校验和,生成文本文件commandsums.txt保存到工具盘中,并将工具盘写保护。 3. 用time和date命令记录现场计算机的系统时间和日期,第4、5、6、7和8步完成之后再运行一遍time和date命令。 4. 用dir命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间。 5. 用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关,用ipconfig /all命令获取更多有用的信息:如主机名、DNS服务器、节点类型、网络适配器的物理地址等。 6. 用netstat显示现场计算机的网络连接、路由表和网络接口信息,检查哪些端口是打开的,以及与这些监听端口的所有连接。 7. 用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。 8. 用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。 注解:PsTools v2.3工具包使用在Windows命令行下,包含工具如下: PsExec - 远程运行程序; PsFile - 显示远程打开的文件;PsGetSid - 显示计算机或用户的SID; PsKill - 根据进程名或进程ID杀进程;PsInfo - 显示系统有关信息; PsList - 显示详细的进程信息; PsLoggedOn - 显示通过资源共享登陆到本地; PsLogList - 导出日志文件; PsPasswd - 更改用户密码; PsService - 查看和控制服务; PsShutdown - 关闭或重启远程计算机; PsSuspend - 终止进程; PsUptime -重启后系统运行的时间。 实验二 证据的验证和保全 2.1 实验目的 1.熟悉使用hash函数保全证据的方法。 2.会使用数字签名对电子公文生成电子签名。 3.会对生成的电子签名验证它的有效性。 2.2 实验环境和设备 1. Windows Professional操作系统。 2.网络运行良好。 3. PDF软件包。 2.3 实验内容和步骤 1. 打开PDF文档,在签署下拉选项中选择“签署文件” 2. 出现下图对话框,可以将小方框打钩,不再显示此提示信息,点击确定后在要放置电子签名的地方画一个小方框。 3. 选择新建ID 选择“我要立即建立新数位ID 4.选择下一步 5. 下一步,来到数位信息填写,按照下图示例添加相关信息,其中ASCII下面的名称、机构部门、机构名称等不能使用中文填写,可在右侧填写中文名称、机构等。 6. 下一步,选择存储位置,并添加签署文件所用的密码,自己任意设定,不少于六位字符  HYPERLINK /album/91f5db1b3055831c7e05e35b.html?picindex=6 \t _self 步 7. 完成后如下图,在密码框中输入上图自己设定的密码,然后选择签署,即可在原划定的方框中显示设定的签名 实验三 证据推理与分析 3.1 实验目的 1. 学会使用取证分析工具查看Windows操作系统下的一些特殊文件,找出深深隐藏的证据。 2. 学会使用网络监控工具监视Internet缓存,进行取证分析。 3.2 实验环境和设备 1. Windows Professional操作系统。 2. Windows File Analyzer和CacheMonitor安装软件。 3.一张可用的U盘。 3.3 实验内容和步骤 1.用Windows File Analyzer分析Windows系统下隐藏的文件。 Windows File Analyzer软件不需要安装,点击图标可直接进入应用程序窗口,分析和找出Windows操作系统中一些特定的文件,以报告的形式打印出来。 (1)

文档评论(0)

shuwkb + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档