在线取证系统--操作手册.docVIP

蓝盾在线取证系统 操作手册 广东天海威数码技术有限公司 日期：2006-09-24  目 录 1．概述 1 1.1 系统简介 1 1.2 系统部署 1 1.3 系统特点 1 2．系统界面 1 2.1 存储媒介获取系统 1 2.2 易丢失数据获取系统 1 3．操作指南--存储媒介获取系统 1 3.1 准备工作 1 3.2 克隆宿主计算机物理磁盘 1 3.3 克隆宿主计算机物理磁盘中的一个分区 1 3.4 克隆宿主计算机逻辑磁盘 1 3.5 将宿主计算机磁盘数据复制到文件 1 3.6 提取宿主计算机磁盘中的某一存储区域 1 3.7 复制宿主计算机存储媒介上的文件 1 3.8 在宿主计算机存储媒介上搜索文件 1 4．操作指南—易丢失数据获取系统 1 4.1 准备工作 1 4.2 提取宿主计算机的网络类易丢失数据 1 4.3 提取宿主计算机的进程类易丢失数据 1 4.4 提取宿主计算机的自启动程序数据 1 4.5 提取宿主计算机的物理内存数据 1 4.6 提取宿主计算机的应用程序内存数据 1 4.7 浏览宿主计算机的物理内存 1 4.8 浏览宿主计算机的应用程序内存 1 4.9 比对两次提取的易丢失数据 1 4.10 阅读已经提取的易丢失数据 1 5、典型应用 1 5.1 宿主计算机存储媒介的提取 1 5.2 宿主计算机易丢失数据的提取 1 6、名词解释 1  1．概述 1.1 系统简介 蓝盾在线取证系统是一套基于光盘运行的证据提取系统，蓝盾在线取证系统的任务是将用户需要获取的存储媒介、易丢失数据等证据信息快速提取到USB、1394等移动存储设备上，并在提取的同时进行校验。主要包括PE启动光盘、存储媒介获取系统和易丢失数据获取系统三部分。其中： PE启动光盘：提供图形界面的光盘启动操作环境，对宿主计算机原有存储设备只读，并支持FAT16、FAT32、NTFS、EXT2、EXT3等磁盘文件系统；PE操作环境支持简体、繁体等中文编码；PE操作环境支持对USB、1394等移动存储设备的即插即用。 存储媒介获取系统：提供将宿主计算机原有存储媒介快速复制到移动设备的功能，可以用来提取宿主计算机的物理存储媒介、逻辑存储媒介、分区、存储区域、文件等静态存储媒介；支持在复制的过程中同步计算校验码。 易丢失数据获取系统：提供对宿主计算机易丢失数据的快速获取、比对功能，可以用来提取宿主计算机的基本信息、网络连接、网络服务程序、网络访问程序、进程、文件访问、物理内存、应用程序内存、虚拟内存等动态信息。 1.2 系统部署 蓝盾在线取证系统无须安装，根据任务的不同可采用两种运行方式： 1、光盘启动方式：用于提取宿主计算机的存储媒介。使用本方式时，系统对宿主计算机的存储媒介只读，提取的数据存储到1394、USB等移动存储设备。 2、光盘运行方式：用于提取宿主计算机当前的动态运行信息。使用本方式时，系统对宿主计算机的基本信息、网络连接、网络服务程序、网络访问程序、进程、文件访问、物理内存、应用程序内存、虚拟内存等动态信息进行快速提取、阅读、比对及取证。 1.3 系统特点 1、宿主计算机的存储媒介只读； 2、支持包括FAT16、FAT32、NTFS、EXT2、EXT3等多种文件系统格式； 3、存储媒介的提取方式多样，支持物理磁盘、分区、逻辑磁盘、存储区域、文件、目录等多种复制源 4、速度快，最高可达2GB/分钟 5、支持对各种易丢失数据的快速获取，包括基本信息、网络连接、网络服务程序、网络访问程序、进程、文件访问、物理内存、应用程序内存、虚拟内存等。 2．系统界面 2.1 存储媒介获取系统 2.1.1 主界面 如图所示，存储媒介获取系统系统主界面由系统菜单、工具栏、设备面板、数据区、信息区等部分组成。其中： 系统菜单：提供系统具备的各种功能操作菜单；包括文件、编辑、取证、显示、窗口等菜单； 工具栏：提供常用功能的快捷操作按钮；包括打开、另存为、搜索、前进、后退、退出等功能按钮； 设备面板：显示宿主计算机的物理存储设备表，以及关联的逻辑设备表；显示当前移动设备列表； 数据区：显示物理设备、逻辑设备、目录、文件列表； 信息区：显示当前资源的常规信息。 2.1.2 系统菜单和工具栏 [文件]：包括打开、另存为、设置取证参数、退出等子菜单。其中： 打开：根据文件类型打开选中的文件。打开方式包括文本、WORD、二进制等方式。 另存为：将当前浏览的文件保存为另一个文件。 设置取证据参数：弹出参数设置窗体，设置案件的基本信息和取证的基本参数。 [编辑]：包括搜索、阅读、自动识别编码、自动识别文件类型、获取文件版本信息等子菜单。其中： 搜索：弹出搜索窗体搜索符合指定条件的文件。 阅读：打开被选择的资源，显示资源的内容。包括物理磁盘、逻辑磁盘、文件等。 自动识别