信息犯罪与计算机取证课件.ppt

1、第第十一十一章章 实验项目实验项目11.1 11.1 实验项目一实验项目一 易失性数据的易失性数据的收集（收集（PsToolsPsTools工具包的使用）工具包的使用）11.1.1 11.1.1 实验目的实验目的1. 能创建应急工具箱，并生成工具箱校验和；2. 能在最低限度地改变系统状态的情况下收集易失性证据；3. 熟悉PsTools工具包的各组件的功能以及使用方法和技巧；4. 熟悉Windows系统内可获取易失性数据的工具的功能以及使用方法和技巧。11.1.2 11.1.2 实验环境和设备（工具和材料）实验环境和设备（工具和材料）操作系统：操作系统： Windows 2000 Profess

2、ional SP4；Windows XP Professional SP2。需求：需求： 默认的admin$共享可用；Remote Registry服务开启。工具：工具： PsTools；cmd.exe；netstat；ipconfig；md5sum；arp。1.1.3 1.1.3 实验内容和步骤实验内容和步骤将Windows系统内可获取易失性数据的工具存入U盘，创建应急工具盘。应急工具盘中的常用工具有：cmd.exe；netstat；ipconfig；md5sum；arp；PsTools工具包等。用md5sum工具创建工具盘上所有命令的校验和，生成文本文件cmdhash.txt，保存到工具盘

3、中，并将工具盘写保护。用time和date命令记录现场计算机的系统时间和日期。用psuptime工具记录现场计算机从上一次重启后系统运行的时间。用psloggedon工具查看当前有哪些用户与现场计算机系统保持连接状态。用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间。用ipconfig工具获取现场计算机的IP地址、子网掩码、默认网关，DNS配置，网络接口的MAC地址，主机名等信息。用arp工具获取现场计算机的ARP缓存信息。用netstat工具获取现场计算机的网络连接、路由表和网络接口信息，检查打开端口以及与这些监听端口相关的所有连接信息等。用p

4、sinfo工具获取现场计算机的平台信息，安装的软件，补丁等信息。用pslist工具获取现场计算机正在运行的进程信息。用psservice工具记录现场计算机正在运行的服务。用psloglist导出现场计算机的日志文件。用time和date命令再次记录现场计算机的系统时间和日期。生成校验和，是为了确保应急工具盘中的工具是原始的，未被修改的，从而保证收集的信息的准确性。工具盘写保护，是为了确保应急工具盘创建后不被修改，从而保证工具盘中的工具的可信性。两次使用time和date命令记录取证开始和结束的时间，是为了保护取证人员工作的一致性，排除其破坏现场的嫌疑。11.2 11.2 实验项目二实验项目二

5、磁盘数据映像磁盘数据映像备份备份11.2.1 11.2.1 实验目的实验目的理解什么是合格的司法鉴定备份文件，了解选用备份工具的要求；能用司法鉴定复制工具对磁盘数据进行备份；查看映像备份文件的内容，将文件执行hash计算，保证文件的完整性；熟悉不同环境下的备份方法和技巧。11.2.2 11.2.2 实验环境和设备（工具和材料）实验环境和设备（工具和材料）操作系统：操作系统： Windows XP Professional SP2 、Windows 2000 Professional SP4、Windows Vista Home Basic或Red Hat Linux。外存储设备：外存储设备：

6、一个可用的USB硬盘或光盘（以下称为移动硬盘）。工具：工具： WinHex；Ghost；dd。11.2.3 11.2.3 实验内容和步骤实验内容和步骤 一、一、WindowsWindows操作系统下的数据备份操作系统下的数据备份下载最新版本的WinHex软件，最好放在自带光盘、U盘等存储设备上，不能放在需要备份的硬盘上。运行WinHex，打开TOOLS菜单下的open disk(F9)，从Physical Media中找到本机上的硬盘，列出整个硬盘中的比特序列。打开File菜单下的create disk image（ALT+C），选择raw image，勾选computer hash：MD5，

7、最后选择备份路径，ok即可完成备份。二、二、Linux/UnixLinux/Unix操作系统下的数据备份操作系统下的数据备份利用系统自带的dd命令完成位对位的硬盘副本制作工作，dd命令的格式如下： dd if=待取证硬盘设备 of=硬盘副本设备（硬盘镜像文件） bs=块大小三、未进操作系统下的备份三、未进操作系统下的备份下载ghost应用软件存放在u盘或其他盘上，但不要放在准备备份的硬盘或分区上。在u盘上启动MS-DOS，找到ghost文件夹下ghost.exe文件，键入ghost回车。使用ghost对磁盘数据进行映像备份，既可以对磁盘的某个分区进行备份，也可以对整个硬盘进行备份，还可以进行网

8、络之间的映像备份。对硬盘的某个分区进行映像备份。（1）首先点击“Local”之后，会弹出三个子项：Disk：对整个硬盘进行备份。Partition：对分区进行备份。Check：检查备份文件。（2）选择“Partition”选项，进行磁盘分区备份，此时又会弹出三个选项。To Partition：把一个分区完整地复制到另外一个分区中。To Image：把分区制作成一个映像文件存放。From Image：恢复映像文件。（3）选择“To Image”来制作映像文件，出现的界面是当前硬盘的选择窗口，选中需要备份的分区之后，再键入映像文件的保存路径和文件名。（4）接下来，系统会询问是采用No（无压缩）、F

9、ast（快速）还是High（高压缩率）中的哪一种方式进行备份，例如，选择High模式后，稍等片刻，磁盘分区的映像文件便生成了。4.对整个硬盘进行映像备份。先将准备好的外置USB硬盘接到计算机上，再选择“Local”“Disk”命令，接着确定目标硬盘，此时可以对目标盘进行分区、格式化等操作，最后，点击“Yes”按键开始备份，将现场计算机的硬盘完全复制到目标硬盘上。要注意的是，现场计算机的硬盘不能太大，因为外置USB硬盘的容量一般很有限，两者容量要相当，否则会导致复制出错。实验注解实验注解1.备份工具应放在外存储设备上，并要保证所需要备份的原盘数据未被改写。2. 数据备份后需进行文件校验，例如，使

10、用WinMD5sum，比较MD5校验值，确认副本数据的完整性。11.3.1 11.3.1 实验目的实验目的1. 理解文件存放原理，懂得数据恢复的可能性；2. 了解并掌握常用的数据恢复软件的使用方法和技能，例如EasyRecovery等软件的使用；3. 使用其中一种数据恢复软件恢复已被删除的文件或已被格式化的磁盘数据。11.3.2 11.3.2 实验环境和设备（工具和材料）实验环境和设备（工具和材料）操作系统：操作系统： Windows 9x/NT/2000/2003/XP操作系统。工具：工具： EasyRecovery数据恢复安装软件。外设存储：外设存储： 两个可用的U盘（或软盘）和一个安装有

11、Windows系统的硬盘。11.3.3 11.3.3 实验内容和步骤实验内容和步骤一、实验前准备工作一、实验前准备工作 在安装数据恢复软件之前，先在计算机的逻辑磁盘（如D盘）里创建四个新文件夹，如：BakFile1（用于存放第一个U盘上文件的备份）LostFile1（用于存放第一个U盘上文件经恢复后得到的数据）BakFile2（用于存放第二个U盘上文件的备份）LostFile2（用于存放第二个U盘上文件经恢复后得到的数据）。注意：注意：数据恢复进行期间不可对该逻辑磁盘执行写操作，原因是写入的数据可能将待恢复数据覆盖，使得数据恢复的可能性降低。因此存放备份文件所在的逻辑磁盘（如D盘）与你准备安装

12、软件所在的逻辑磁盘（如C盘）不要相同。二、二、EasyRecoveryEasyRecovery软件的安装和启动软件的安装和启动 这里选用EasyRecovery专业版作为恢复工具，点击EasyRecovery安装程序图标即可完成安装，启动EasyRecovery应用程序，主界面列出了所以功能标签：“磁盘诊断”“数据恢复”“文件修复”“邮件修复”等。在取证过程中最常用的是“数据恢复”功能。三、使用三、使用EasyRecoveryEasyRecovery软件恢复已被删软件恢复已被删除的文件除的文件1. 将准备好的U盘（或软盘）插入计算机，删除上面的一部分文件或文件夹，如果U盘（或软盘）上没用文件或

13、文件夹，可以先创建若干，将文件和文件夹备份到BakFile1文件夹下后，将它们删除。2. 点击“数据恢复”标签，出现“高级修复”“删除修复”“格式化修复”和“原始修复”等按钮，选择“删除修复”即可准备快速扫描，查找已删除的文件和文件夹，接着选择要搜索的驱动器和文件夹（U盘或A盘）进行扫描。之后出现所有被删除的文件，如图3-1所示，选择要恢复的文件，并输入文件存放路径D：LostFile1，点击“下一步”恢复完成，并生成删除恢复报告。3. 比较BakFile1文件夹中删除过的文件与LostFile1文件夹中恢复的文件，将比较结果记录下来。注意注意：有些文本文档（如Word和Excel）经恢复后会

14、发现原来的文本全部或部分呈现乱码，此时需要使用EasyRecovery中的“文件修复”功能对其进行修复。即点击“文件修复”标签，定位需要修复文件路径和修复后文件存放路径即可。四、使用四、使用EasyRecoveryEasyRecovery软件，恢复已被格软件，恢复已被格式化的磁盘上的数据式化的磁盘上的数据 插入另一个U盘（或软盘），将上面的文件备份到文件夹BakFile2下，再将此U盘（或软盘）格式化，启动EasyRecovery，点击“数据恢复”“格式化修复”，之后程序会在已格式化的U盘上搜索那些丢失的文件，找到丢失的文件后将它们保存到D：LostFile2文件夹下，比较文件夹BakFile

15、2和LostFile2中的文件，将结果记录下来。五、使用五、使用EasyRecoveryEasyRecovery软件，恢复系统启动分软件，恢复系统启动分区数据区数据 将安装有Windows系统的硬盘接入计算机，并退出当前系统，并设置由接入硬盘内的系统来启动计算机，然后再运行EasyRecovery进行恢复。根据原系统启动分区毁坏程度选择相应的工具，如原硬盘的文件目录结构已经损坏，分区也有严重损坏，就使用“数据恢复”中“原始恢复”，它不依赖任何文件系统结构信息进行数据恢复，其他情况可使用“高级修复”，恢复的步骤和前面类似，恢复完成后打印删除恢复报告。图图11-1 11-1 用用“删除恢复删除恢复

16、”功能搜索已删除的功能搜索已删除的文件文件实验注解实验注解本实验的重点是选用适当的数据恢复工具或软件对被删除的数据进行恢复。实验中需要观察或思考的是数据恢复的原理，以及删除数据的复杂情况下（比如多次删除或删除后磁盘被改写等情况）对数据恢复成功率高低的影响。11.4.1 11.4.1 实验目的实验目的理解数据加密的原理，掌握常用的密码破解技术；学会将加密后的数据隐藏于图片之中；学会分析并破解已被使用了密码保护技术的现场可疑计算机；学会分析并破解已被使用了密码保护技术的可疑文件；学会使用星号密码查看器来查看密码框内的密码原文；学会手工破解常见Windows平台的系统密码。11.4.2 11.4.2

17、 实验环境和设备（工具和材料）实验环境和设备（工具和材料）操作系统：操作系统： Windows 2000 SP4；Windows XP SP2。工具：工具： Cmospwd；AOPR；GetIP；UZPC；CRACK；L0phtCrack5；WinPE启动光盘；ImageHide。用工具软件Cmospwd破解CMOS密码，或将主板上的CMOS RAM进行放电，清除密码保护。用解密软件UZPC（Ultra Zip Password Cracker）破解ZIP压缩包密码，用CRACK软件破解RAR压缩包密码。用解密软件AOPR（Advanced Office Passwrod Recovery）对

18、微软Office系列中的Word、Excel以及Access等应用软件生成的密码保护进行破解。用星号密码查看器GetIP将代表口令的密码“*”号还原成密码原文字符。使用WinPE启动光盘启动现场可疑计算机系统，检查操作系统版本，若是Windows 2000，则删除C:WINDOWSsystem32configSAM文件，清除系统密码；若是Windows XP，则用C:WINDOWSrepairSAM文件替换C:WINDOWSsystem32configSAM文件，清除系统密码。获取现场可疑计算机系统的SAM文件，用L0phtCrack5暴力破解系统帐户密码。打开ImageHide软件，点击Lo

19、ad Image图标，在软件的输入区域内输入消息，点击Encrypt图标，在Image Encrypter对话框中点击Encrypt图标，在PassWord对话框中输入密码，点击OK，并点击Close，点击Save Image完成。实验注解实验注解本实验的重点是对密码系统原理的理解，以及其具体应用的漏洞的理解。11.5.1 11.5.1 实验目的实验目的在综合的取证、分析环境中建立案例和保存证据链；模拟计算机取证的全过程，包括保护现场、获取证据、保存证据、分析证据和提交证据；熟悉EnCase 6取证软件的功能和操作。11.5.2 11.5.2 实验环境和设备（工具和材料）实验环境和设备（工具和

20、材料）操作系统：操作系统： Windows 2000 Professional SP4；Windows XP Professional SP2。取证软件：取证软件： EnCase 6。注意：详细操作步骤见第九章11.5.3 11.5.3 实验内容和步骤实验内容和步骤使用EnCase 6取证软件制作硬盘副本。使用EnCase 6取证软件恢复被删除数据。使用EnCase 6取证软件分析硬盘数据。使用EnCase 6取证软件查找敏感信息。实验注解实验注解本实验的重点是对Encase软件的各重要功能进行详细的了解和理解，从而具备利用该软件对电子数据进行收集、分析和评估等工作，取得有价值的数据信息。11

21、.6.1 11.6.1 实验目的实验目的1. 理解什么是网络证据，应该采取什么方法收集网络证据；2. 了解网络监视和跟踪的目的，熟悉使用Ethereal及SolarWinds Network Toolbox进行网络监视和跟踪。11.6.2 11.6.2 实验环境和设备（工具和材料）实验环境和设备（工具和材料）操作系统：操作系统：Windows 2000或其以上版本的操作系统。需求：需求：良好的网络环境。工具：工具：Ethereal（WinPcap为驱动程序）和SolarWinds软件的安装程序。一一、EtherealEthereal的使用的使用Ethereal支持UNIX系统和Windows系

22、统，在Windows系统下使用需要WinPcap为驱动，点击Ethereal图标可直接安装，启动Ethereal以后，选择菜单CaptureOptions，Capture的属性进行设置，属性参数如下：1. Interface: 指定在哪个网络适配器上捕获包。2. Limit each packet: 限制每个包的大小，缺省情况不限制。3. Capture packets in promiscuous mode: 是否将网卡设置为混杂模式，如果是，捕获所有的数据包。4. Filter: 过滤器，只捕获满足过滤规则的包。5. File: 如果需要将捕获到的包写到文件中，在这里输入文件名称。6. U

23、se ring buffer: 是否使用循环缓冲，缺省情况下不使用，即一直捕获包。 Capture的属性进行设置后，点击start就开始捕获数据包了，按下stop，捕获的包就会显示在面板中，如图11-2所示，将捕获的信息保存下来，为后面的取证分析作备用。图图11-2 11-2 捕获数据包的显示界面捕获数据包的显示界面二、用二、用SolarWindsSolarWinds Engineers Engineers对网络进行对网络进行监视和跟踪监视和跟踪 SolarWinds Engineers是一款功能十分强大的网络工具集软件，适用于专业网络管理员。其功能之强大以及可操作性强的特点大大降低了网络管理

24、人员的工作负担并提高了工作效率。SolarWinds Engineers最与众不同的特点是它可以同时监视第二和第三层的网络状态。安装完毕并完成注册后打开用户界面（如图11-3），会出现如下功能标签：1. Discovery(网络发现)：Subnet List（子网列表）、Ping Sweep、IP Network Browser（IP网络浏览器）、DNS Audit（DNS核查）、IP Address Management（IP地址管理）、MAC Address Discovery（MAC地址发现）、SNMP Sweep、Network Sonar（网络定位）。2. Cicso Tools(思

25、科设备工具集)：IP Network Browser（IP网络浏览器）、Router CPU Load（路由CPU负荷）、Config Downloader（配置下载）、Config Uploader（配置上传）、Config Editor/Viewer（配置编辑器/浏览器）、Proxy Ping、Compare Running vs. Startup Configs.（对比运行VS启动配置）、Router Password Decryption（路由器密码加密术）、CPU Gauge （CPU测量）、Router Security Check（路由器安全检查）和Advanced CPU Lo

26、ad（高级CPU上传）。3. Ping Tools(Ping工具)：Ping、Trace Route（路由路径）、Proxy Ping（代理Ping）、Ping Sweep（Ping扫描）、Enhanced Ping（增强Ping）。4. Address Mgmt（地址管理）：Advanced Subnet Calculator（先进的子网计算器）、DNS / Who Is Resolver、DHCP Scope Monitor、DNS Audit（DNS核查）、IP Address Management（IP地址管理）、Ping Sweep。5. Monitoring（监控）：Watch I

27、t!、Network Monitor（网络监控器）、Syslog服务器、Router CPU Load（路由CPU负荷）、Network Performance Monitor（网络性能监控器）。6. Pref Mgmt（性能管理）：Network Perf Monitor（网络性能监视器）、NetPerf Monitor Database Mgmt（网络性能监视数据库管理器）、SNMP Graph、Bandwidth Gauges、Cpu Gauge、Advanced Cpu Load（高级CPU负载监测）。7. MIB Browser（MIB浏览器）：MIB Walk、Update Sys

28、tem MIBs（更新系统MIBs）、MIB Viewer （MIB浏览器）、MIB浏览器和SNMP图像。8. Security（安全性）：Router Security Check（路由安全性检查）、TCP Reset、Dictionary Editor（字典编辑器）、SNMP Brute Force 攻击、Dictionary Attack（SNMP词典攻击）、Router Password Decryption（路由器密码加密术）。图图11-3 SolarWinds Engineers11-3 SolarWinds Engineers功能界面功能界面实验注解实验注解通过本实验主要了解利用

29、相关软件工具对网络数据进行监控和搜集，以便取得有价值的数据信息。11.7.1 11.7.1 实验目的实验目的1. 学会使用取证分析工具查看Windows操作系统下的一些特殊文件，找出深深隐藏的证据；2. 学会使用网络监控工具监视Internet缓存，进行取证分析。11.7.2 11.7.2 实验环境和设备（工具和材料）实验环境和设备（工具和材料）操作系统：操作系统：Windows XP Professional SP2或Windows 2000 Professional SP4。工具：工具：Windows File Analyzer和CacheMoniter相关文件。外设存储：外设存储：一张可

30、用的软盘（或U盘）。11.7.3 11.7.3 实验内容和步骤实验内容和步骤一、用一、用Windows File AnalyzerWindows File Analyzer分析分析WindowsWindows系统下隐藏的文件系统下隐藏的文件1. Windows File Analyzer软件不需要安装，点击图标可直接进入应用程序窗口，分析和找出Windows操作系统中一些特定的文件，以报告的形式打印出来。2. 用Thumbnail Database Analyzer读出Thumbs.db文件。3. 打开Windows File Analyzer应用程序窗口，选择“File”“Analyze T

31、humbnail Database”下拉式菜单，察看指定文件夹下的Thumbs.db文件，可在其中找到该文件夹下所有被浏览过的图片的文件名和缩略内容，并能导出缩略图。4. 用Index.dat Analyzer分析Index.dat文件。5. 选择“File”“Analyze Index.dat”下拉式菜单，打开C: Documents and Setting Administrator Local Setting History History.IE5 Index.dat，可查看到当前用户所浏览网页留下的痕迹。6. 用Prefetch Analvzer挖出Prefetch文件中存储的信息。7

32、. 选择“File”“Analyze Prefetch”下拉式菜单，在浏览文件夹对话框中，选择打开C:WindowsPrefetch文件夹，点击OK按钮，弹出“Prefetch Analysis”子窗口，列出了该文件夹下存储的信息，其中包括了被用户使用过的程序遗留下的痕迹及程序最后一次被使用的时间。8. 用Recycle Bin Analyzer打开隐藏的回收站，显示回收站中Info2文件信息。9. 用Shortcut Analyzer找出特定文件夹中的快捷方式，并显示存储在它们里面的数据。二、用二、用CacheMonitorCacheMonitor监控监控InternetInternet缓存

33、缓存CacheMonitor软件也不需要安装，双击应用程序图标直接运行。程序运行后首先对缓存做一个初始扫描，将找到的所有缓存文件存于列表框中。如想要更新列表（在已经浏览一些网页后），选择“Action”“Scan Cache”，扫描停止，列表中新增加的文件在“Status”列中将被标记成“Added”，被标记成“Deleted”的文件是已经被删除的文件。选择“Action”“Save As”，可以将列表框中的记录以文本文件的形式保存起来。三、用三、用Windows File AnalyzerWindows File Analyzer和和CacheMonitorCacheMonitor进行取证分

34、析进行取证分析1. 浏览几个常用的网站，把网站地址记录下来，接着下载网页图片，把它们保存在特定文件夹中，再安装几个应用程序如杀毒软件等。2. 用Windows File Analyzer和CacheMonitor软件分析所有的cookies、历史文件，记录下第1步操作中相应的URLNum1和总的文件个数RecordItem1，找出浏览过的网页历史记录和URL，从Thumbs.db中找出下载后保存的网页图片。3. 关掉所有应用程序，重新启动计算机，再用Windows File Analyzer和CacheMonitor工具找出第1步操作中相应的URLNum2，记录下总的文件个数RecordItem2，从Prefetch文件夹中找出新安装应用程序的*.pf文件。4. 删除计算机Internet选项中所有的cookies、历史记录和因特网临时文件。再用Windows File Analyzer和CacheMonitor工具找出第1步操作中相应的URLNum3，记录下总的文件个数RecordItem3。5. 将第2、3和4步操作中生成的报告拷贝到软盘（或U盘）中，比较三步中得到的URLNum和RecordItem值有什么区别，分析在什么情况下使用什么取证工具比较合适。6. 提交软盘（或U盘）及实验记录报告。实验注解实验注解本实验项目不作具体要求，可根据所处的具体实验条件和环境情况选做。