计算机取证技术实验报告学院:信息科学与工程学院班级:学号:姓名:指导老师:张健中南大学计算机取证实验报告葛健敏1 目录目录 ------------------------------------------------------------------------------------------------------------------ 1 实验一事发现场收集易失性数据-------------------------------------------------------------------------- 2 实验二磁盘数据映像备份---------------------------------------------------------------------------------- 7 实验三恢复已被删除的数据------------------------------------------------------------------------------ 11 实验四进行网络监听和通信分析------------------------------------------------------------------------- 16 实验五分析 Windows 系统中隐藏的文件和Cache 信息 --------------------------------------------- 20 实验六数据解密 ------------------------------------------------------------------------------------------------ 26 总结 ----------------------------------------------------------------------------------------------------------------- 28 中南大学计算机取证实验报告葛健敏2 实验一事发现场收集易失性数据实验目的(1)会创建应急工具箱,并生成工具箱校验和。(2)能对突发事件进行初步调查,做出适当的响应。(3)能在最低限度地改变系统状态的情况下收集易失性数据。实验环境和设备(1)Windows XP 或Windows 2000 Professional操作系统。(2)网络运行良好。(3)一张可用 U盘(或其他移动介质)和PsTools 工具包。实验步骤及截图(1)将常用的响应工具存入U盘,创建应急工具盘。 应急工具盘中的常用工具有cmd.exe; netstat.exe;fport.exe;nslookup.exe 等(2)用命令 md5sum创建工具盘上所有命令的校验和,生成文本文件 commandsums.txt 保存到工具盘中,并将工具盘写保护。 Windows上面没有这个命令(3)用 time 和date 命令记录现场计算机的系统时间和日期,第(4)、( 5)、( 6)、(7)和( 8)步完成之后再运行一遍time 和date 命令。中南大学计算机取证实验报告葛健敏3 (4)用 dir 命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间。中南大学计算机取证实验报告葛健敏4 (5)用 ipconfig命令获取现...
