计算机取证的技术5.pptVIP

第三章 计算机取证技术;5.1 Windows系统现场证据获取;5.1.1 易失性数据的等级 存储在RAM中的易失性数据可以显示当前计算机的状态，这些数据包括登录用户，运行中的进程以及打开的链接。这些数据可以帮助计算机调查人员判断计算机入侵的活动时间表。 易失性数据的等级 当计算机处于开机状态时，取证的关键点就是存储在RAM中的数据;5.1.2 易失性数据收集 1、 易失性数据收集步骤 步骤1 取证准备 取证工具准备（软件、硬件） 数字调查小组建立 建立收集策略 步骤2 建立概要文档 建立取证概要文档（包括涉及到的软硬件等） 证据收集日志（取证人、取证工具、取证时间等） ;步骤3 决策核实 确定数据收集过程中的权利范围 确定数据收集的方式 步骤4 易失性数据收集策略 确定收集的易失性数据的类型 确定可以有助于证据收集的工具和技术 取证工具收集到信息的输出位置 ;步骤5 易失性数据收集工具 建立一个可信的命令解释程序 建立传输和存储程序的途径（远程网络传输工具netcat、cryptat） 确保取证工具有完整的输出（当电子文件被转移或传输的过程中计算MD5值是十分必要的） netcat是一款实用网络工具，它使用TCP/IP协议通过网络传输数据。它被设计成了一款可靠的工具并可以通过其它程序或脚本语言调用。 cryptat是netcat的一个缩减版本，但是可以在传输的过程中以密文的形式传输。;步骤6 易失性数据收集 收集更新时间、日期、时间、命令记录 执行取证工具或命令的时候，将产生的数据和时间建立审计追踪 建立命令历史记录，将所有的取证活动记录下来 收集涉及系统和网络的易失性信息 ;2、易失性系统信息 系统概要文件：描述可疑计算机的配置信息。 当前系统时间、日期、命令历史记录(f7可以显示可疑计算机用户最近的行动) 当前系统运行时间 当前运行进程 打开文件、启动文件和剪贴板数据 登录用户（windows历史日志是虚拟的） Dll和共享的程序库;动态链接库英文为DLL，是Dynamic Link Library 的缩写形式，DLL是一个包含可由多个程序同时使用的代码和数据的库，DLL不是可执行文件。动态链接提供了一种方法，使进程可以调用不属于其可执行代码的函数。 PID就是各进程的身份标识,程序一运行系统就会自动分配给进程一个独一无二的PID。进程中止后PID被系统回收，可能会被继续分配给新运行的程序。;剪贴板（ClipBoard）是内存中的一块区域，可随存放信息的大小而变化的内存空间，用来临时存放交换信息，是Windows内置的一个非常有用的工具，并且使用系统的内部资源RAM，或虚拟内存来临时保存剪切和复制的信息。 可以存放的信息种类是多种多样的，各种应用程序之间可以传递和共享信息。 然而剪贴板只能保留一份数据，每当新的数据传入，旧的便会被覆盖。 剪切或复制时保存在剪贴板上的信息，只有再剪贴或复制另外的信息，或停电、或退出windows，或有意地清除时，才可能更新或清除其内容，即剪贴或复制一次，就可以粘贴多次。 ;在Windows XP系统中打开 　　 ①开始—→运行—→clipbrd，即可打开“剪贴板查看器”。见图！ 　　 ②右键单击桌面， 选择“新建”命令下的“快捷方式”，弹出对话框，在位置域中输入C:/Windows/system32/clipbrd.exe。单击“下一步”直至“完成”。双击桌面上的快捷方式，就能查看剪贴板内容了。 　　 window7系统中位置　C:\WINDOWS\system32\clip;3、现场取证小工具及应用实例 date/time/netstat PsInfo.exe（可以建立一个系统概要文件） systeminfo.exe net statistics 评价当前运行的进程实用工具 信息转储 （pmdump 是一个命令行工具 ，在不结束程序运行的情况下转储（dump）一个进程的内存内容的） Afind 登录用户netusers工具可以展示本地登录的用户，包括当前用户和曾经登陆过的用户。 ;命令行就是在Windows操作系统中打开DOS窗口，以字符串的形式执行Windows管理程序。在这里，先解释什么是DOS？DOS——Disk Operation System 磁盘操作系统目前我们常用的操作系统有windows 9x/Me,NT,2000等，都是可视化的界面。在这些系统之前的人们使用的操作系统是DOS系统。DOS系统目前已经没有什么人使用了，但是dos命令却依然存在于我们使用的windows系统之中。大部分的DOS命令都已经在Windows里变成了可视化的界面，但是有一些高级的DOS命令还是要在DOS环境下来执行。所以学习命令行对于我们熟练操作Windows系统是很有必要的。;开始,运行,输入n