《计算机取证与司法鉴定》项目二Windows环境单机取证.pptx

项目二Windows 环境单机取证;理解电子证据的概念和特点 掌握Windows 环境下易失性证据的固定方法和磁盘取证镜像的制作方法 掌握Windows 环境注册表取证调查方法 掌握Windows 环境重要文件目录和日志调查方法 掌握Windows 环境常用进程和网络痕迹调查方法;在项目一的案例中，某公司主管Alice 怀疑部门经理Adam 对公司有侵权行为，因此委托计算机取证调查人员Tom 进行调查。Tom 通过对案件的了解和取证的准备以及现场的勘察，了解到被调查者Adam 使用的办公计算机采用Windows XP 的操作系统，且其USB 盘和存储卡等也采用Microsoft 的文件结构。那么Tom如何针对Adam的计算机进行计算机取证调查呢？;项目任务;电子证据;电子证据的特点;电子证据的可采性问题;Windows/DOS 取证基础;Tom 明确针对Adam 的办公计算机进行调查时需获取和固定原始证据，即对Adam 的办公计算机硬盘和所有公司配给其使用的USB 盘和存储卡制作取证镜像备份。 考虑到如果进入取证现场时取证目标处于开机并正常运行，需在关机前对易失性证据进行获取和固定，因此需要准备易失性证据获取工具包，以便快速获取和固定易失性证据。 准备在取证实验室深入分析原始证据镜像备份前，首先对取证目标系统的注册表、重要文件和目录、重要日志、常用进程和网络痕迹等这些最容易获取证据和线索的方便进行初步的调查。;任务一：原始证据取证复制;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;初始响应工具包;任务一：原始证据取证复制;任务二：Windows 注册表调查;任务二：Windows 注册表调查;任务二：Windows 注册表调查;任务二：Windows 注册表调查;任务二：Windows 注册表调查;任务二：Windows 注册表调查;任务二：Windows 注册表调查;固定注册表信息;固定注册表信息;固定注册表信息;固定注册表信息;固定注册表信息;固定注册表信息;固定注册表信息;任务三：Windows 文件目录调查;任务四：Windows 日志调查;任务四：Windows 日志调查;任务五：Windows 的进程和网络痕迹调查;任务五：Windows 的进程和网???痕迹调查