计算机机取证技术实验(1)-实验报告

summermor
4 ℃
2020-06-09

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

HND,GuizhouNormalUniversityScottishQualificationsAuthorityAssessmentSupportPack/H17V34/001V1SecunrityConceptsMay20171单元标题：计算机取证评估决策指南实验1姓名:陈涛班级：2015级网络互联班学号:157002011048日期:2017/05/08实验测试:Task1HND,GuizhouNormalUniversityScottishQualificationsAuthorityAssessmentSupportPack/H17V34/001V1SecunrityConceptsMay20172一、实验题目用应急工具箱收集易失性数据二、实验目的（1）会创建和使用应急工具箱，并生成工具箱校验和。（2）能对突发事件进行初步调查，做出适当的响应。（3）能在最低限度地改变系统状态的情况下收集易失性数据。三、实验要求（1）Windows7或Windowsxp操作系统。（2）网络运行良好。（3）一张可用U盘（或其他移动介质）和PsTools工具包。四、实验步骤1、将常用的响应工具存入U盘，创建应急工具盘。应急工具盘中的常用工具有cmd.exe;netstat.exe;fport.exe;nslookup.exe;nbtstat.exe;arp.exe;md5sum.exe;netcat.exe;cryptcat.exe;ipconfig.exe;time.exe;date.exe等。1-12、用命令md5sum(可用fsum.exe替代)创建工具盘上所有命令的校验和，生成文本文件commandsums.txt保存到工具盘中，并将工具盘写保护。按下快键键win+R进入运行，输入cmd。得到图2界面。1-2然后找到工具安装的目录，得到图3界面。1-3HND,GuizhouNormalUniversityScottishQualificationsAuthorityAssessmentSupportPack/H17V34/001V1SecunrityConceptsMay20173输入命令md5sum.exe*,创建工具盘上所有命令的校验,避免计算机木马程序更改软件，这与最后的校验形成对比。1-4输入命令md5sum.exe*commandsums-first.txt使校验码保存为文本文档。1-5HND,GuizhouNormalUniversityScottishQualificationsAuthorityAssessmentSupportPack/H17V34/001V1SecunrityConceptsMay201743、用time和date命令记录现场计算机的系统时间和日期。1-61-74、用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间。1-81-9HND,GuizhouNormalUniversityScottishQualificationsAuthorityAssessmentSupportPack/H17V34/001V1SecunrityConceptsMay20175当前时间和日期。1-101-115、用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关。1-126、用ipconfig/all命令获取更多有用的信息：如主机名、DNS服务器、节点类型、网络适配器的物理地址等。1-13HND,GuizhouNormalUniversityScottishQualificationsAuthorityAssessmentSupportPack/H17V34/001V1SecunrityConceptsMay201761-141-15当前时间和日期。1-161-17HND,GuizhouNormalUniversityScottishQualificationsAuthorityAssessmentSupportPack/H17V34/001V1SecunrityConceptsMay201776、用netstat显示现场计算机的网络连接、路由表和网络接口信息，检查哪些端口是打开的，以及与这些监听端口的所有连接。记录当前的时间和日期。1-187、用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。1-198、用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。1-20HND,GuizhouNormalUniversityScottishQualificationsAuthorityAssessmentSupportPack/H17V34/001V1SecunrityConceptsMay20178后续进程和连接1-21后续进程和连接1-22HND,GuizhouNormalUniversityScottishQualificationsAuthorityAssessmentSupportPack/H17V34/001V1SecunrityConceptsMay201799、输入命令md5sum.exe*commandsums-last.txt使校验码保存为文本文档。实验结束。保存在取证工具根目录下的两次的校验文档。1-23五、实验结论及总结1、每次取证完成，必须记录当下时间和日期，保证时效性和真实性，从而达到可用性；2、实验开始和结尾必须把校验码保存为文本文档，防止被木马程序或其他因素修改，也就是两次保存的commandsums-first.txt和commandsums-last.txt文本文档；3、从实验数据可以看出，电脑的连接、进程正常，两次的校验文档也相同，也就是本次的取证结果具有法律效益，达到实验的目的。