1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 高等教育
  5. 工学

安全审计与取证技术实验报告-易失性数据收集.docVIP

安全审计与取证技术实验报告-易失性数据收集.doc

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    第PAGE7页共NUMPAGES9页

    实验报告

    学院(系)名称:计算机科学与工程学院

    姓名

    学号

    专业

    信息安全

    班级

    实验

    项目

    实验一:易失性数据收集(PsTools工具包的使用)

    课程名称

    安全审计与取证技术

    课程

    代码

    0662713

    实验时间

    2018年9月8日

    实验

    地点

    7-219

    考核标准

    实验准备(实验目的/工具熟悉情况)10分

    实验过程(实验方案可行性及步骤完整性)40分

    实验报告(实验内容丰富度与格式清晰度)30分

    实验结果(结论正确性以及分析合理性)20分

    成绩

    教师签字:

    考核内容

    评价实验目的是否明确,实验工具是否清晰了解以及熟悉情况

    ○可行,完整

    ○可行,不完整

    ○不可行,不完整

    ○丰富,清晰

    ○较丰富,较清晰

    ○丰富,不清晰

    ○不丰富,不清晰

    ○结论正确,分析合理

    ○结论正确,分析不充分

    ○结论不正确,分析不合理

    1.实验目的

    (1)会创建应急工具箱,并生成工具箱校验和。

    (2)明确哪些属于易失性数据及易失性数据的收集方法。

    (3)能在最低限度地改变系统状态的情况下收集易失性数据。

    2.实验工具

    (1)WindowsXP或Windows2000Professional操作系统。

    (2)网络运行良好。

    (3)一张可用U盘(或其他移动介质)和PsTools工具包。

    实验方案

    将常用的响应工具存入U盘

    用命令md5sum(可用fsum.exe替代)创建工具盘上所有命令的校验和

    (3)用time和date命令记录现场计算机的系统时间和日期

    4.实验步骤:

    (1)将常用的响应工具存入U盘,创建应急工具盘。应急工具盘中的常用工具有cmd.exe;netstat.exe;fport.exe;nslookup.exe;nbtstat.exe;arp.exe;md5sum.exe;netcat.exe;cryptcat.exe;ipconfig.exe;time.exe;date.exe等,见工具包。

    (2)用命令md5sum(可用fsum.exe替代)创建工具盘上所有命令的校验和,生成文本文件commandsums.txt保存到工具盘中,并将工具盘写保护。

    (3)用time和date命令记录现场计算机的系统时间和日期,第(4)、(5)、(6)、(7)和(8)步完成之后再运行一遍time和date命令。

    (4)用dir命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间。

    (5)用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关,用ipconfig/all命令获取更多有用的信息:如主机名、DNS服务器、节点类型、网络适配器的物理地址等。

    (6)用netstat显示现场计算机的网络连接、路由表和网络接口信息,检查哪些端口是打开的,以及与这些监听端口的所有连接。

    (7)用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。

    (8)用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。

    5.实验结论与分析:

    (结合理论知识总结实验结果,并对其正确性、创新性进行分析以及本次实验心得体会)

    结果

    通过本次实验,将结果总结归纳如下:?

    (1)?易失数据的分类:?

    易失数据的分类从高到底依次是:寄存器、CASHE;路由表、进程表、内核统计;临时文件系统;硬盘;离线日志、监视数据;物理配置、网络拓扑;备份介质磁盘等等。

    ?主要的易失数据包括:?a.?系统日期和时间;b.?当前运行的活动进程;c.?当前的网络连接;?d.?当前打开的端口;?e.?当前打开的套接字上的应用程序;f.?当前登陆的用户。?

    (2)?易失数据的特点:?

    ??经查阅资料,可将以上易失数据类型的特点归纳如下:?

    a.?隐蔽性。计算机系统中的各个地方都可能存在着计算机证据,而数据在计算机中是以二进制代码形式进行存储和传输的,所以人们不能直接感知,隐蔽性很强。b.?客观性。如果没有外界对数据故意的篡改,计算机证据将很少受影响而发生变化,所以,一般计算机证据具有较强的证明力,能准确是反映案件的事实。

    c.?脆弱易逝性。计算机证据很容易受外界刻意的窃取、修改和销毁,且几乎不留痕迹。此外,计算机中的有些数据是动态存在的,所以,它有很强的时效性,这些数据可能随着时间的推移而改变或消失。?(3)?易失性数据的收集:?

    a.?做好取证准备工作。一般是先成立数字调查小组,而后是调查小组分

    析案情,并根据案情做出相对应的收集策略,最后根据策略和现场情况准备收集工具。?

    b.?建立概要文档。建立取证概要文档;证据收集日志。?

    c.?决策核实。主要是确立证据收集过程中的权力范围,证据收

    您可能关注的文档

    最近下载

    文档评论(0)

    A女汉子~小郭 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >