学院：信息科学与工程学院班级：学号：姓名：指导老师：张健目录目录 ------------------------------------------------------------------------------------------------------------------ 0 实验一事发现场收集易失性数据-------------------------------------------------------------------------- 1 实验二磁盘数据映像备份---------------------------------------------------------------------------------- 6 实验三恢复已被删除的数据------------------------------------------------------------------------------ 10 实验四进行网络监听和通信分析------------------------------------------------------------------------- 15 实验五分析Windows系统中隐藏的文件和Cache信息 --------------------------------------------- 19 实验六数据解密 ------------------------------------------------------------------------------------------------ 25 总结 ----------------------------------------------------------------------------------------------------------------- 27实验一事发现场收集易失性数据实验目的（1）会创建应急工具箱，并生成工具箱校验和。

（2）能对突发事件进行初步调查，做出适当的响应。

（3）能在最低限度地改变系统状态的情况下收集易失性数据。

实验环境和设备（1）Windows XP 或Windows 2000 Professional操作系统。

（2）网络运行良好。

（3）一张可用U盘（或其他移动介质）和PsTools工具包。

实验步骤及截图（1）将常用的响应工具存入U盘，创建应急工具盘。

应急工具盘中的常用工具有cmd.exe; netstat.exe；fport.exe；nslookup.exe 等（2）用命令md5sum创建工具盘上所有命令的校验和，生成文本文件commandsums.txt保存到工具盘中，并将工具盘写保护。

Windows上面没有这个命令（3）用time 和date命令记录现场计算机的系统时间和日期，第（4）、（5）、（6）、（7）和（8）步完成之后再运行一遍time 和date命令。

（4）用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间。

（5）用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关，用ipconfig/all 命令获取更多有用的信息：如主机名、DNS服务器、节点类型、网络适配器的物理地址等。

（6）用netstat显示现场计算机的网络连接、路由表和网络接口信息，检查哪些端口是打开的，以及与这些监听端口的所有连接。

（7）用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。

（8）用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。

实验二磁盘数据映像备份实验目的（1）理解什么事合格的司法鉴定备份文件，了解选用备份工具的要求（2）能用司法鉴定复制工具对磁盘数据进行备份（3）查看映像备份文件的内容，将文件进行Hash计算，保证文件的完整性实验环境和设备（1）Windows XP或Windows 2000 Professional操作系统（2）网络运行良好。

（3）一张可用的软盘和外置USB硬盘实验步骤及截图（1）制作MS-DOS引导盘，给硬盘或分区做映像是提供干净的操作系统。

键入以下命令制作引导盘c:\format a:\ /sformat命令用法（并没有/s ？）软盘的根目录下至少有下面三个文件IO.SYS,COMMAND,COM,MSDOS.SYS（2）下载ghost应用软件存放到e盘，启动ghost.exe文件（3）使用ghost对磁盘数据进行映像备份，可以对磁盘某个分区或对整个银盘进行备份①对磁盘某个分区备份系统询问采用什么方式备份，选用high模式（高压缩率）②对整个硬盘进行备份（参见对某个分区进行备份的方法）③网络之间的映像备份在被攻击主机上选择Master，确定备份计算机名后，后面步骤与前面相似（4）用check选项对以生成的备份文件进行检查在ghost文件夹下打开ghostexp文件，可以看到展开映像后的所有文件列表（5）将映像文件Hash，以保证完整性实验三恢复已被删除的数据实验目的1.理解文件存放的原理，懂得数据恢复的可能性。

2.丁解几种常用的数据恢复软件如Easy Recovery和RecoveryMyFiles3.使用其中一种数据恢复软件、恢复已被删除的文件，恢复己被格式化磁盘上的数据。

实验环境和设备(1) Windows Xp或Winfjows 2000 Professional操作系统。

(2)数据恢复安装软件。

(3)两张可用的软盘（或U盘）和一个安装有Windows系统的硬盘。

实验步骤及截图（1）实验前的准备工作在安装数据恢复软件或其他软件之前，先在计算机的逻辑盘（如D盘）中创建四个属于你自己的文件夹，如：Bak F'ilel（存放第一张软盘上的备份文件）、LostFile1（存放恢复第一张软盘后得到的数据）BakFile2（存放第二张软盘上的备份文件）和LoFile2（存放恢复第二张软盘后得到的数据）注意：存放备份文件所在的逻辑盘（如D盘）与你准备安装软件所在的逻辑盘（如C盘）不要相同，因为如果相同，安装软件时可能正好把你的备份文件给覆盖掉了。

(2) EasyRecovery安装和启动这里选用Easy Recovery Professional软件作为恢复工具，点击Easy Recovery图标便可顺利安装，启动EasyRecovery应用程序，主界面上列出了Easy Recovery的所有功能：“磁盘诊断”、“数据恢复”、“文件修复”和“邮件修复”等功能按钮”在取证过程中用得最多的是“数据恢复”功能。

EasyRecovery安装和启动EasyRecovery的数据恢复界面(3)使用EasyRecovery恢复已被删除的文件。

①将准备好的软盘（或U盘）插入计算机中，删除上面的一部分文件和文件夹如果原有磁盘中没有文件和文件夹，可以先创建几个，备份到BakFilel文件夹下，再将它删除。

②点击“数据恢复”，出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮，选择“删除恢复”进行快速扫描，查找已删除的目录和文件，接着选择要搜索的驱动器和文件夹(A盘或U盘图标)。

出现所有被删除的文件，选择要恢复的文件输入文件存放的路径D：LostFilel，点击“下一步”恢复完成，并生成删除恢复报告。

EasyRecovery选择恢复删除的磁盘EasyRecovery扫描文件EasyRecovery扫描结果③比较BakFilel文件夹中删除过的文件与LoatFilel文件夹中恢复得到的文件，将比较结果记录下来。

查看需要恢复的文件保存需要恢复的文件实验四进行网络监听和通信分析实验目的（1）理解什么是网络证据，应该采取什么办法收集网络证据（2）了解网路监听和跟踪的目的，会用windump进行网络监听和跟踪（3）使用Ethereal软件分析数据包，查看二进制捕获文件，找出有效的证据实验环境和设备（1）windows XP 或windows 2000 Professional操作系统（2）网络运行良好（3）Winpcap、windump和Ethereal安装软件实验内容和步骤（1）windump的使用Windump在命令行下使用，需要winpcap驱动打开命令提示符，运行windump后出现：显示正常安装，以下查看参数开始捕获数据包，表示源地址和目的地址不采用主机名的形式而采用IP地址的形式（2）Ethereal（在这里，我使用wireshark，也是抓包工具）的使用（3）用windump和wireshark模拟网络取证①先telnet到一台没有开telnet服务的计算机上面，用两种软件同时抓包，查看捕获包的异同WindumpWireshark相比之下wireshark所捕获的包的种类更多，内容也更直观②使用haping工具模拟syn泛洪攻击，在被攻击的计算机上用windump或wireshark 捕获数据包使用XDOS攻击工具用wireshark可以看到大量syn向192.168.1.43发送实验五分析Windows系统中隐藏的文件和Cache信息实验目的（1）学会使用取证分析工具查看Windows操作系统下的一些特殊文件，找出深深隐藏的证据。

（2）学会使用网络监控工具监视Internet缓存，进行取证分析。

实验要求：（1）Windows Xp 或 Windows 2000 Professional 操作系统（2）Windows File Analyzer 和 CacheMonitor 安装软件一张可用的软盘（或u盘）实验步骤及结果（1）用Windows File Analyzer分析Windows 系统下隐藏的文件。

①用WFA读出Thumbs.db文件，查看其中内容②用index.dat Analyzer分析index.dat文件③用prefetch Analyzer挖出Prefetch文件夹中存储的信息④用Recycle Bin Analyzer打开特定文件夹中的快捷方式，显示回收站info2文件信息⑤用Shortcut Analyzer找出特定文件夹中的快捷方式并显示存储在它们里面的数据（2）用CacheMonitor监控Internet缓存（3）用WFA和CacheMonitor进行取证分析实验六数据解密实验目的（1）理解数据加密的原理，掌握常用的密码破解技术（2）打开已被加密的现场可以计算机，找到有效的证据证据（3）将犯罪嫌疑人的重要文件进行破解和分析实验环境和设备（1）windows XP 或windows 2000 Professional操作系统（2）一些常用密码破解工具（3）网络运行良好实验内容和步骤（1）用工具软件Cmospwd破解CMOS密码（2）通过删除Windows安装目录下的*.pwl密码文件和Profiles子目录下的文件，破解windows密码。