网络空间安全概论 实验9 内存取证实验样例3.docx

实验二内存取证

实验目的

1、掌握通过命令指令取证，并熟悉基本的取证信息；

2、了解计算机系统取证基本方法，并结合Sysinternals工具进行取证；

实验内容

通过CMD和Sysinternals工具结合使用，从计算机内存中获得系统当前时间日期，系统信息，handle，PsPasswd,listdlls，PsGetSid，PsInfo，Pskill，PsList，PsLoggedOn，PsLogList，PsService，PsShutdown，PsSuspend，PsFile，arpfport，ipconfig，nbtstat，Netstat，SC，string等内存信息。

实验步骤

下载sysinternals工具/zh-cn/sysinternals/；开始——运行——键入“cmd”——结合sysinternals工具对系统进行取证。

四、CMD和Sysinternals工具结合使用

1、取证系统当前的时间和日期

图2.1

2、PsPasswd——变更帐户密码。

PsPasswd是一个用来更改WinNT/2K用户密码的程序。

pstool下载下载后解压成文件夹，放置于C:\Windows\System32，添加PATH环境变量，cmd中输入pspasswd，弹出确认框，同意，可以批量远程更改密码。

PsPasswd有两大优点一是便于管理不在域中的远程系统；二是简化了某些管理脚本。?

图2.2

3、查看系统信息：

图2.3

图2.4

4、指令arp

使用arp-a指令可以查看本机的保存的arp缓存

使用arp-dIP可以删除某主机的arp记录

使用arp-d*可以删除某主机的所有arp记录

在ARP缓存中显示(修改)条目。ARP缓存包含一个或多个表，这些表用于存储IP地址及其解析的以太网或令牌环物理地址。计算机上安装的每个以太网或令牌环网络适配器都有一个单独的表。在不带参数的情况下使用?，arp?显示帮助信息。

图2.5

图2.6

5、使用ipconfig可以查看本机的ip地址

图2.7

图2.8

handle——这个易於操纵的命令列公用程式能够显示档案开启的种类和使用的处理程序等更多资讯。

如果你不加任何参数，只输入handle命令时（就像我上面那样），那么这个工具会返回系统所有进程打开的所有文件句柄，当然你也可以加一些参数来进行设定。

命令的正则表达式如下：

handle[[-a][-u]|[-chandle[-l][-y]]|[-s]][-pprocessname|pid|name]

这个程序有三个部分，handle是程序名，第一个参数有3个可以并列出现的可选项。

-a用于设定显示的句柄不限于文件句柄，还把所有的注册表项，端口项，同步项，线程和进程都显示出来。

-c关闭某个句柄（16进制表示）的意思，进程由PID来标识。

-l显示页面交换文件的大小。

-y不提示关闭句柄的信息。

-s打印每种已打开句柄类型的引用计数。

-u搜索句柄时显示拥有这些句柄的用户名。

-p此参数可以缩小Handle的扫描范围，只扫描以此名称开头的进程，而不对系统中的所有句柄进行检查。

-name指示Handle搜索对带有特定名称的对象的引用。

图2.9

图2.10

Listdlls——列出所有目前载入的DLL，包括载入位置和他们的版本编号

ListDL用于报告加载到进程中的DLL。可以使用它列出加载到所有进程中、加载到特定进程中的所有DLL，或列出加载了特定DLL的进程。ListDL还可以显示DLL的完整版本信息（包括其数字签名），并可用于扫描进程以扫描无符号DLL。

图2.11

8、nbtstat

该命令用于显示本地计算机和远程计算机的基于TCP/IP（NetBT）协议的NetBIOS统计资料、NetBIOS名称表和NetBIOS名称缓存。NBTSTAT可以刷新NetBIOS名称缓存和注册的WindowsInternet名称服务(WINS)名称。RemoteName是远程计算机的NetBIOS计算机名称。

使用不带参数的NBTSTAT显示帮助信息。

-a和–A选项

这两个参数的功能相同，都是显示远程计算机的名称表。区别是-a选项后面既可跟远程计算机的计算机名，也可跟IP地址，-A选项后面只能跟远程计算机的IP地址。

-c选项

显示NetBIOS名称缓存内容、NetBIOS名称表及其解析的各个地址。

列出远程计算机的名称及其IP地址的缓存，这个参数就是用来列出在你的NetBIOS里缓存的你连接过的计算机的IP。

图2.22

图2.23

图2.2