(完整word版)中南大學(xué)計算機(jī)取證技術(shù)實驗報告_第1頁
(完整word版)中南大學(xué)計算機(jī)取證技術(shù)實驗報告_第2頁
(完整word版)中南大學(xué)計算機(jī)取證技術(shù)實驗報告_第3頁
(完整word版)中南大學(xué)計算機(jī)取證技術(shù)實驗報告_第4頁
(完整word版)中南大學(xué)計算機(jī)取證技術(shù)實驗報告_第5頁
已閱讀5頁,還剩32頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、計算機(jī)取證技術(shù)實驗報告學(xué)院:信息科學(xué)與工程學(xué)院班級:學(xué)號:姓名:指導(dǎo)老師:張健中南大學(xué)計算機(jī)取證實驗報告葛健敏1目錄目錄1實驗一事發(fā)現(xiàn)場收集易失性數(shù)據(jù)2實驗二磁盤數(shù)據(jù)映像備份7實驗三恢復(fù)已被刪除的數(shù)據(jù)11實驗四進(jìn)行網(wǎng)絡(luò)監(jiān)聽和通信分析16實驗五分析Windows系統(tǒng)中隱藏的文件和Cache信息20實驗六數(shù)據(jù)解密26總結(jié)28中南大學(xué)計算機(jī)取證實驗報告葛健敏2實驗一事發(fā)現(xiàn)場收集易失性數(shù)據(jù)實驗?zāi)康?1)會創(chuàng)建應(yīng)急工具箱,并生成工具箱校驗和。(2)能對突發(fā)事件進(jìn)行初步調(diào)查,做出適當(dāng)?shù)捻憫?yīng)。(3)能在最低限度地改變系統(tǒng)狀態(tài)的情況下收集易失性數(shù)據(jù)。實驗環(huán)境和設(shè)備(1)WindowsXP或Windows200

2、0Professional操作系統(tǒng)。(2)網(wǎng)絡(luò)運(yùn)行良好。(3)一張可用IB(或其他移動介質(zhì))和PsTools工具包。實驗步驟及截圖(1)將常用的響應(yīng)工具存入IB,創(chuàng)建應(yīng)急工具盤。應(yīng)急工具盤中的常用工具有cmd.exe;netstat.exe;fport.exe;nslookup.exe等XftjiB(2)用命令md5surmj建工具盤上所有命令的校驗和,生成文本文件commandsums.txt保存到工具盤中,并將工具盤寫保護(hù)。Windows上面沒有這個命令中南大學(xué)計算機(jī)取證實驗報告葛健敏3(3)用time和date命令記錄現(xiàn)場計算機(jī)的系統(tǒng)時間和日期,第(4)、(5)、(6)、(7)和(8)步

3、完成之后再運(yùn)行一遍time和date命令。中南大學(xué)計算機(jī)取證實驗報告葛健敏448*。土C:Docu.entsandSettingsAdainistratexeC:Docu.entsandSettingsAdainistratexedatedatep p:timetime當(dāng)前時間:14:52:26.8114:52:26.81輸入新時間:datedate當(dāng)前日期:201fe-05-05201fe-05-05星期四輸入新日期;年月日(4)用dir命令列出現(xiàn)場計算機(jī)系統(tǒng)上所有文件的目錄清單,記錄文件的大小、訪問時間、修改時間和創(chuàng)建時間。中南大學(xué)計算機(jī)取證實驗報告葛健敏5卷的序列號是卷的序列號是8475

4、-G0BE33 3 的的dTt12610099110161,024.hd2014-03-171535369Duiniload2WL0-J.O-L31433DocumentsandSettings0855Do町nloadsZB535110Inetub1?30i/i*頑2M1W-HS-J11441JHSGFTyuio-es-ji姑42OpenOU2.0610-10-181012PBFFLogf2G1583191044ProgfraniFiles& &誑誑01009181801,564ptcsetup.log261503090919QMDQLHIload2610090?1139LG3

5、zeie0?-i?0843turbocZ05-03-10IB57WINDOWSi0-n?-oi113888.242wubildr2010-09-0111388,1?Zuubilclr.mibr5個文件8凱9is字韋1L2個目錄孔755,283-4M可用字節(jié)C:(5)用ipconfig命令獲取現(xiàn)場計算機(jī)的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān),用ipconfig/all命令獲取更多有用的信息:如主機(jī)名、DNS艮務(wù)器、節(jié)點類型、網(wǎng)絡(luò)適配器的物理地址等。XipconfigXipconfig中南大學(xué)計算機(jī)取證實驗報告葛健敏6WindowsIPCtmfiguratinWindowsIPCtmfiguratinEt

6、hernetadapterEthernetadapter本土他連接:Connectitn-specificDNSSuffix.Connectitn-specificDNSSuffix.i iIPAddress:3IPAddress:3SubnetMask-2BS.255.255.0SubnetMask-2BS.255.255.0DefaultGateuajDefaultGateuaji i(6)用netstat顯示現(xiàn)場計算機(jī)的網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息,檢查哪些端口是打開的,以及與這些監(jiān)聽端口的所有連接

7、。(7)用PsTools工具包中的PsLoggedOn令查看當(dāng)前哪些用戶與系統(tǒng)保持著連接狀態(tài)。中南大學(xué)計算機(jī)取證實驗報告葛健敏7(8)用PsTools工具包中的PsList命令記錄當(dāng)前所有正在運(yùn)行的進(jìn)程和當(dāng)前的連接。已1 1C:DocuentiC:DocuentisandSettingsAdsinistratorcd.exesandSettingsAdsinistratorcd.exeBBC:pslist.exeC:pslist.exepslistul.28-SysinternalsPsList(Copyright?2000-2004MarkRpslistul.28-SysinternalsP

8、sList(Copyright?2000-2004MarkRussinouichussinouichSysinternalsSysinternalsProcessinformationforxxjk60:Processinformationforxxjk60:NamePidPriThdHndPriuNamePidPriThdHndPriuCPUTimeCPUTimeElapsedTimeElapsedTimeIdleIdle0 00 02 2建0 01 1 3?3? 18.29618.2960 000.00.SystemSystem4 4e112112539539g g0 028.73428.

9、7340 0瞬 萸.susssuss704704iiii3 319191841840 000.04600.0460 0525232.42132.421CSlSS76Q76Q131313137997990 016.21816.2180 052522?.3992?.399uinlogonuinlogon78478413131919456456704470440 001.S0001.S000 052522626 89R89Rsepuicessepuices8328329 917173?73?73920392022.46822.4680 0525226.39926.399IsassIsass84484

10、49 9171734234228362836紹01.53101.5310 0525226.34326.343suchostsuchost10761076e141419319331443144瞬.234.2340 0525225.64025.640QQPCRTPQQPCRTP113611368 8 l(j6l(j67517514181641816紹4R.3284R.3280 0525225.45325.453suchostsuchost13041304e11113143142288228810.96810.9680 0525225.09325.093suchostsuchost144814488

11、 86666 130113011393213932紹04.06204.0620 0525224.98424.984suchostsuchost14841484e5 51071072544254410,07810,0780 0525224.93?24.93?suchostsuchost154815488 86 6898925162516紹00.46800.4680 0525224.78124.781explorerexplorer272272e3?3? 117111716255262552020216.17116.1710 0525222.51522.515QQPCTrayQQPCTray520

12、5208 8 125125146514658989海紹19.IB?19.IB?0 0525217.82817.828LenRCClientLenRCClientS S鏘e3 37S7S2 2屈6 6靜00.15600.1560 0525216.18716.187bufmonitorbufmonitor5f85f88 81 13232836836150.125150.1250 0525216.10916.109ptfmonptfmon436436e1 17i7iISISISIS_0_000.18700.1876 6525215.82815.828中南大學(xué)計算機(jī)取證實驗報告葛健敏8實驗?zāi)康?1)理

13、解什么事合格的司法鑒定備份文件,了解選用備份工具的要求(2)能用司法鑒定復(fù)制工具對磁盤數(shù)據(jù)進(jìn)行備份(3)查看映像備份文件的內(nèi)容,將文件進(jìn)行Hash計算,保證文件的完整性實驗環(huán)境和設(shè)備(1)WindowsXP或Windows2000Professional操作系統(tǒng)(2)網(wǎng)絡(luò)運(yùn)行良好。(3)一張可用的軟盤和外置USB硬盤實驗步驟及截圖(1)制作MS-DOS弓I導(dǎo)盤,給硬盤或分區(qū)做映像是提供干凈的操作系統(tǒng)。鍵入以下命令制作引導(dǎo)盤c:formata:/sformat命令用法(并沒有/s?)C:systek32cd.exeItJS1-Bindowsindows軟盤的根目錄下至少有下面三個文件IO.SYS

14、,COMMAND,COM,MSDOS.SYS實驗二磁盤數(shù)據(jù)映像備份FORMATFFORMATFORMATFOORMATFORMATPOKRMATPOKHfilHfilFORMATFORMATUQUQlunevolunevolumeuollumeuoluneuoluuneuoluneuolunneuolunc cl/FSl/FS:file-systenf/Ufile-systenf/U:libelt/QlL/Alibelt/QlL/A:?izeFzC/X/U?izeFzC/X/U:label/Ulabel/U:labelC/Uslaballr/QlabelC/Uslaballr/QZQJ/Fis

15、iaeZQJ/FisiaeZQZT:tracks/NZQZT:tracks/N:sectorssectorsSil旨定驅(qū)動器t t后面跟一個冒號)、裝入點或卷名O O/FS/FS:filesystemfilesystem指定文件系統(tǒng)類型罰的、FfiT32FfiT32或NTFSNTFS& &名定卷極加行快蓬格式化。女掛于NTFSNTFS:默認(rèn)情況下,將壓縮在該新建卷上面建的文件。如果必墨先鯉制卸下卷.那時, 該卷所有以i i五熊柄木程效替代默認(rèn)配默認(rèn)設(shè)置。NTFSNTFS64K64KFAFAT T支持512.1024.2648,4096.8192.16K.32512.1024.2

16、648,4096.8192.16K.32 皿.2 2g g用于大手1 12 2豐節(jié)的扇區(qū),。uoluneuolune/II:label/q/C魯魏瓣:極力建議您在一般狀況下使用帝512,1024.2048.4096,8192.32K512,1024.2048.4096,8192.32K、中南大學(xué)計算機(jī)取證實驗報告葛健敏9LoclPeerIopeerGfiostCastDptioris|EP樣Qu計文伴文伴 編擔(dān)編擔(dān)堡堡) )查查看世看世) )收藏也工具收藏也工具 幫助如幫助如岱岱夕授索夕授索 Q Q 文件夾文件夾:Xq國,國,計宜機(jī)取證滴計宜機(jī)取證滴System炸眼電Informiationc

17、umnand土習(xí)程序50KI5了始4WindowsExpl.ue、C:HNBUWSiyit.二二3InttrnttExp.,七七15:55(2)下載ghost應(yīng)用軟件存放到e盤,啟動ghost.exe文件(3)使用ghost對磁盤數(shù)據(jù)進(jìn)行映像備份,可以對磁盤某個分區(qū)或?qū)φ麄€銀盤進(jìn)行備份對磁盤某個分區(qū)備份SymantecGhud11.0.2CopyrightCC1998-200?SymantecCorporafioripHllrightsreserved.he點陋陋DOS系系統(tǒng)交件統(tǒng)交件0KBiiPwhtionC.S羊應(yīng)中南大學(xué)計算機(jī)取證實驗報告葛健敏10SymantecGhost11.0.2C

18、opyrightGO1998-2007SymantecCorporation,fillrightsreserved.SelectsourcepartitioCs)fr/vnBasicsdrives1系統(tǒng)詢問采用什么方式備份,選用high模式(高壓縮率)中南大學(xué)計算機(jī)取證實驗報告葛健敏112對整個硬盤進(jìn)行備份(參見對某個分區(qū)進(jìn)行備份的方法)3網(wǎng)絡(luò)之間的映像備份在被攻擊主機(jī)上選擇Master,確定備份計算機(jī)名后,后面步驟與前面相似中南大學(xué)計算機(jī)取證實驗報告葛健敏12如計nter(4)用check選項對以生成的備份文件進(jìn)行檢查中南大學(xué)計算機(jī)取證實驗報告葛健敏13在ghost文件夾下打開ghostex

19、p文件,可以看到展開映像后的所有文件列表E任)編輯()格式(U)查看也)幫助如WindowsRegistryEditorVersion5.網(wǎng)HKEV_CLASSES_R007.ghO牛GhostHKEVCLASSESROUTGhostQ-GhSst映像支件HKEVCLASSESR00TGhostshellHKEV_CLASSES_RQQTGhQSt5hellopenHKEV_CLfiSSES_ROOTGriostshellopenconiinand8=T:dosligho5XGbQstexp.eKeFVHKEV_CLASSES_ROOTftpplicationsGhostexp.exeHKEV

20、_CLfiSSES_R0DTfipplicationsGho5texp.exeshell(5)將映像文件Hash,以保證完整性實驗三恢復(fù)已被刪除的數(shù)據(jù)實驗?zāi)康?.理解文件存放的原理,懂得數(shù)據(jù)恢復(fù)的可能性。2.丁解幾種常用的數(shù)據(jù)恢復(fù)軟件如EasyRecovery和RecoveryMyFiles3.使用其中一種數(shù)據(jù)恢復(fù)軟件、恢復(fù)已被刪除的文件,恢復(fù)己被格式化磁盤上的數(shù)據(jù)。實驗環(huán)境和設(shè)備(1)WindowsXp或Winfjows2000Professional操作系統(tǒng)。(2)數(shù)據(jù)恢復(fù)安裝軟件。中南大學(xué)計算機(jī)取證實驗報告葛健敏14(3)兩張可用的軟盤(或U盤)和一個安裝有Windows系統(tǒng)的硬盤。實驗

21、步驟及截圖(1)實驗前的準(zhǔn)備工作中南大學(xué)計算機(jī)取證實驗報告葛健敏15在安裝數(shù)據(jù)恢復(fù)軟件或其他軟件之前,先在計算機(jī)的邏輯盤(如D盤)中創(chuàng)建四個屬于你自己的文件夾,如:BakFilel(存放第一張軟盤上的備份文件)、LostFilel(存放恢復(fù)第一張軟盤后得到的數(shù)據(jù))BakFile2(存放第二張軟盤上的備份文件)和LoFile2(存放恢復(fù)第二張軟盤后得到的數(shù)據(jù))注意:存放備份文件所在的邏輯盤(如D盤)與你準(zhǔn)備安裝軟件所在的邏輯盤(如C盤)不要相同,因為如果相同,安裝軟件時可能正好把你的備份文件給覆蓋掉了。(2)EasyRecovery安裝和啟動這里選用EasyRecoveryProfessiona

22、l軟件作為恢復(fù)工具,點擊EasyRecovery圖標(biāo)便可順利安裝,啟動EasyRecovery應(yīng)用程序,主界面上列出了EasyRecovery的所有功能:磁盤診斷”、“數(shù)據(jù)恢復(fù)”、“文件修復(fù)”和“郵件修復(fù)”等功能按鈕”在取證過程中用得最多的是“數(shù)據(jù)恢復(fù)”功能。EasyRecovery安裝和啟動Professional中南大學(xué)計算機(jī)取證實驗報告葛健敏16EasyRecovery的數(shù)據(jù)恢復(fù)界面(3)使用EasyRecovery恢復(fù)已被刪除的文件。1將準(zhǔn)備好的軟盤(或U盤)插入計算機(jī)中,刪除上面的一部分文件和文件夾如果原有磁盤中沒有文件和文件夾,可以先創(chuàng)建幾個,備份到BakFilel文件夾下,再將它

23、刪除。2點擊“數(shù)據(jù)恢復(fù)”,出現(xiàn)“高級恢復(fù)”、“刪除恢復(fù)”、“格式化恢復(fù)”和“原始恢復(fù)”等按鈕,選擇“刪除恢復(fù)”進(jìn)行快速掃描,查找已刪除的目錄和文件,接著選擇要搜索的驅(qū)動器和文件夾(A盤或U盤圖標(biāo))。出現(xiàn)所有被刪除的文件, 選擇要恢復(fù)的文件輸入文件存放的路徑D:LostFilel,點擊下一步”恢復(fù)完成,并生成刪除恢復(fù)報告。數(shù)據(jù)恢復(fù)襯|高級恢復(fù)使用高紙透康來自定文教撮恢復(fù)格式化恢復(fù)從已格式化的卷中恢復(fù)文件刪除恢復(fù)遷董攬井政復(fù)已刪除的文件原始恢復(fù)玉含任何文忡任統(tǒng)格梅信息的恢簽緊急引導(dǎo)盤創(chuàng)蝶騷急引導(dǎo)誨映速啟動Eaytlpdatc1繼續(xù)恢復(fù)堆或巳保存的敷據(jù)恢疫會話中南大學(xué)計算機(jī)取證實驗報告葛健敏17選擇

24、一個要恢復(fù)選擇一個要恢復(fù)H除文件的分區(qū),井造擇除文件的分區(qū),井造擇下一步下一步 R R 開嶺舊莓文件開嶺舊莓文件 選擇選擇 睪消睪消”退出工具退出工具. .O正在掃描文件._JCCA)NTFS(|=JODA)FAT32SCEA)FM32- -正在處理區(qū)塊正在處理區(qū)塊:49口??凇? /花花059已用時間:剩余時間已用時間:剩余時間: :找到目找到目錄:找到文件;上次交件:錄:找到文件;上次交件:4秒秒1:001557洗覽&Dots-Small2.gi河以執(zhí)行快河以執(zhí)行快I有選項來輸有選項來輸I速恢復(fù)指定速恢復(fù)指定職消職消襤襤,使用現(xiàn)徹底使用現(xiàn)徹底的處區(qū)的處區(qū)v vi&is.II

25、MEft選擇一個要詼復(fù)選擇一個要詼復(fù)U除文件函分區(qū),并甚揮除文件函分區(qū),并甚揮“下一步下一步* *井貽掃措文件井貽掃措文件. .選葬鼻職洎選葬鼻職洎* *退出工具退出工具. .EasyRecovery選擇恢復(fù)刪除的磁盤中南大學(xué)計算機(jī)取證實驗報告葛健敏18文檔文檔(*.doc|*.dot|*.xls|+.KIWI+.ppi|*.ioTEasyRecovery掃描文件中南大學(xué)計算機(jī)取證實驗報告葛健敏19造中墀想要族套的文件造中墀想要族套的文件, ,逸擇逸擇. .下下一步一步”疆續(xù)到壓目的造擇疆續(xù)到壓目的造擇”屏暮屏暮- -逢擇逢擇 后退后退 棗回到棗回到“分區(qū)逸擇分區(qū)逸擇”屏幕屏幕. .逸拌逸拌-

26、1!退出工具退出工具. .- -_|_|我的驅(qū)動器我的驅(qū)動器- -口二口二IRECYCLERb_!5-1-5-21-1052447992-曰曰Bc47可一帥可一帥JUJKI 川川I用用已標(biāo)記已標(biāo)記0個女伴個女伴,共,共。字節(jié)顯示。字節(jié)顯示I個文件共個文件共25.00踴踴V使用過濾器皿過浦器選使用過濾器皿過浦器選項叫項叫查查我建)我建)查看艾件亶)查看艾件亶)EasyRecovery掃描結(jié)果名名稱稱I大小大小| |日期日期| |項祥項祥此計食機(jī)此計食機(jī)25.00KB3/30/2009D中南大學(xué)計算機(jī)取證實驗報告葛健敏20比較BakFilel文件夾中刪除過的文件與LoatFilel文件夾中恢復(fù)得到

27、的文件,將比較結(jié)果記錄下來。中南大學(xué)計算機(jī)取證實驗報告葛健敏21查看需要恢復(fù)的文件實驗四進(jìn)行網(wǎng)絡(luò)監(jiān)聽和通信分析實驗?zāi)康?1)理解什么是網(wǎng)絡(luò)證據(jù),應(yīng)該采取什么辦法收集網(wǎng)絡(luò)證據(jù)(2)了解網(wǎng)路監(jiān)聽和跟蹤的目的,會用windump進(jìn)行網(wǎng)絡(luò)監(jiān)聽和跟蹤(3)使用Ethereal軟件分析數(shù)據(jù)包,查看二進(jìn)制捕獲文件,找出有效的證據(jù)實驗環(huán)境和設(shè)備(1)windowsXP或windows2000Professional操作系統(tǒng)(2)網(wǎng)絡(luò)運(yùn)行良好(3)Winpcap、windump和Ethereal安裝軟件實驗內(nèi)容和步驟(1)windump的使用J0DDDQ0DDDQ嘩女?L1Erf*保存需要恢復(fù)的文件口二TCU3

28、t_JmmI24AC事我。中南大學(xué)計算機(jī)取證實驗報告葛健敏22Windump在命令行下使用,需要winpcap驅(qū)動打開命令提示符,運(yùn)行windump后出現(xiàn):中南大學(xué)計算機(jī)取證實驗報告葛健敏23、命令提示符-NicrosoftWindousKFNicrosoftWindousKF版本5 5 1 1 2626目財版權(quán)所有xBocumentsandSettingsdninistratorEcdxBocumentsandSettingsdninistratorEcdWindunpWindunpC:XDqcunentC:XDqcunent$ $andSettingsdrtin1stratorSuindu

29、npviindunpandSettingsdrtin1stratorSuindunpviindunpufindurapufindurap:listeninonMteuiceNPFCA2CCe919-8FE0-4CFfi-BEflC-CEE3E0B2115E00:44:36-074694IPMSKTOP-ILEUtLJ-137192listeninonMteuiceNPFCA2CCe919-8FE0-4CFfi-BEflC-CEE3E0B2115E00:44:36-074694IPMSKTOP-ILEUtLJ-137192-37-37:UDP,le

30、ngth00:14:36,076480IPDESKT0P-ILEU6LJ-137UDP,length00:14:36,076480IPDESKT0P-ILEU6LJ-137 192,16192,16 .31.255.13?.31.255.13?:UDP,lengthUDP,length0a0a:4444:3&.077B593&.077B59顯示正常安裝,以下查看參數(shù)C:DocunentsandSettingsAdministratoi*C:DocunentsandSettingsAdministratoi*f f NwindumpXjindiJinipfNwindumpXjin

31、diJinipfVJVJindumpindumpversion3version3. .9 9- -5 5, ,basedontcpdunpveFionbasedontcpdunpveFion.5UinPcapversion4.1.3,basedonlibpcapuer-siUinPcapversion4.1.3,basedonlibpcapuer-sik.0k.0branchl_0_vel0bbranchl_0_vel0bUgasre=vindumpC-aAdDcfILnNOpqRStuUvxUgasre=vindumpC-aAdDcfILnNOpqRStuUvx1 1Beis

32、eBeiseJ J-ccountccount l l一GFile_siseGFile_sise -Ealgo-secretC-Fflie-Ealgo-secretC-Fflie-iinterfaceJt-iinterfaceJt-M-Msecretsecret1(1(i*fliei*flie 3snaplen1L-T3snaplen1L-Ttypetype w wfileC-WfilecountfileC-Wfilecount-ydatalinktype-ydatalinktype11ZuserJexpressLonZuserJexpressLon 開始捕獲數(shù)據(jù)包,表示源地址和目的地址不采用主

33、機(jī)名的形式而采用IP地址的形式90:51:13-72389990:51:13-723899IP192-168-31.1-53627IP192-168-31.1-53627 224.O.0.2S2224.O.0.2S2.5355.5355:UBP,length2400:51:13.80921?UBP,length2400:51:13.80921?IPIP18Q.1&3.1S3.226.80192.1G8.31.12?.1258:SF1240149S6418Q.1&3.1S3.226.80192.1G8.31.12?.1258:SF1240149S64:1249564ack2318

34、4261S41249564ack23184261S4uinuin64246424 nas14690B0B:5151:13.9B93S6IP18B.1S3_1B3.22&.S029.1258:SF1240149564:1249564ack2318426184win6424B29.1258:SF1240149564:1249564ack2318426184win6424B 00:51:13-977681IP192_16S-31.1_13755.13700:51:13-977681IP192_16S-31.1_13719

35、55.137:UDPUDPr rlength5030:51length5030:51:14.0B9922IP180.153.1B3.22&.8Q14.0B9922IP180.153.1B3.22&.8Q192.1GS.31.129.1253192.1GS.31.129.1253:SF1240149564:12SF1240149564:12495640ack218426184win64240 &86packetscaptured702packetsrecfriucdbyfilter&86packetscaptured702packetsrecf

36、riucdbyfilter0 0packetsdroppedbykerne1packetsdroppedbykerne1(2)Ethereal(在這里,我使用wireshark,也是抓包工具)的使用198S-2001MlicrosoftCorp.198S-2001MlicrosoftCorp.DocunentsDocunentsandandSettingrsMidlninisti*atoFcdlSettingrsMidlninisti*atoFcdls s桌面C C:XDocumentsXDocumentsandandSettingsAd.riinistiatorSettingsAd.riin

37、istiator cdcdC C:sDocunentsDocunents s系統(tǒng)找不到指定的路徑.andandSettingisSOdniinistratSettingisSOdniinistratOFOF面Xd3indumpXd3indumpIP6IP6中南大學(xué)計算機(jī)取證實驗報告葛健敏24*Capturingfros*Capturingfros本地連接Tirehark1Tirehark1B B12.4 4W2-4-Q-gb4861da.W2-4-Q-gb4861da. .X XFjledit0ewfioRaptureAnalyzeStatisticsTelephonyToolsInterna

38、lsbelp略暮/或圓國IQQ公已FilttrFilttr:Exprexiicum.Exprexiicum.Cl-:-.:He.TimtSowctDtsliniiitionFrctoc&lLt-nfthInfoHe.TimtSowctDtsliniiitionFrctoc&lLt-nfthInfo160S.246232002629TCPTCPRE1618.S23162OOfe80:504d:6a65:162S.32322300192.1GS.31.151effO2:l:352LLMNRLLMNR86srandr

39、standar1638.346402002625TCP60TCP睡睡1648.44665500192.168.31-155NBNS92Nameqi1658.4463870026192.1681.129TCP60TCPRE1668.44331100fe80:504d:6a65:51effO2:1:3LLMNR86standar8.44844900192.168.31224.O.S252LLMNR66standar16SB.44908700192.16S.31.1192.16S.31.255NBNS

40、92Nameqc16?8.4694590055NBNS92Nameqi17Q,47352000192.160,31.1192-160,31.255NBNS92Nameqi1718.547491002629TCP60TCP1720.4352700180.1.103*226192.168/31.129TCP&0TCPRE1738.66178000192.168.Bl.1192.168.Bl.255NBNS92Nameqc1748.74368200180.153,103.226192.16S.3

41、1.129TCP60TCPREV0000000c的的5f06b4Q05056fO舞舞a903004500)PV,5E,0010002c7b030000SO06C323b49967&2cOaSn口口mV1本地塑寰本地塑寰File:JPadkets999Dtspl.r.Profile; Default(3)用windump和wireshark模擬網(wǎng)絡(luò)取證先telnet到一臺沒有開telnet服務(wù)的計算機(jī)上面,用兩種軟件同時抓包,查看捕獲包的異同三DocumentsandSettingsJfkdministFatortelnet192DocumentsandSettingsJfkdminis

42、tFatortelnet192 .1&8.0,10.1&8.0,10足在連接到192.16S.0-10.192.16S.0-10.不能打開到主機(jī)的連瓷在端口2323:連接失敗WindumpLindumpLindump:listeninganJeuiceXNPF_01:10:21,85974arpwho-ha192.16B.31.2tlisteninganJeuiceXNPF_01:10:21,85974arpwho-ha192.16B.31.2tellDESKTOP-ILEU6LJellDESKTOP-ILEU6LJ0tl0tl:1010:21-872473IP180.153_

43、103-22G-80lynn-3457b32f42.localdomaiji.1258:21-872473IP180.153_103-22G-80lynn-3457b32f42.localdomaiji.1258: F124W1495t4F124W1495t4:124014956ack23M426184win64240124014956ack23M426184win64240IP180.153.103,22,80liIP180.153.103,22,80li;nn-3457b32F42,locaIdomain,1259=SF1240149564nn-3457b32F42,locaIdomain

44、,1259=SF1240149564:124B149564(0ack23184261B4uin64240ack23184261B4uin6424014G&01:10:22,027556IP64packetscaptured01:10:22,027556IP64packetscapturedE64packetsreceivedbyfliterE64packetsreceivedbyfliter0packetsdropped0packetsdropped坷Jcerne1Jcerne1Wireshark165&1H酮400Mnwm:g:如Broadcast60Whohas12.lS.

45、31.2?Tell:L9L16EL3L116fi8.1417730019210.31.12EMN5132srandardquery0 x90ePTR3.0.0.O.l.O.Q.O.16?B.,J02O44QQ130,1J.103P221,10.31.129TCPTCPR.etranr5inl55lQn50-125SFIN15YNPAK:K|16Q8.2601000192.Ifia.31.1IM-168.31.255NBrlS2iNamequeryNOI5ATAP|1698.3Q228700ISO.153.103.2261&2-18-31.12&TCP0JT

46、CPRetransmissiionjSD-1258|FINSNfiJCiq相比之下wireshark所捕獲的包的種類更多,內(nèi)容也更直觀中南大學(xué)計算機(jī)取證實驗報告葛健敏25使用haping工具模擬syn泛洪攻擊, 在被攻擊的計算機(jī)上用捕獲數(shù)據(jù)包使用XDOS攻擊工具*1(鯽6tycisor4fttytmcapurid)- -MTMTimnajiBL.Elti:uJ J: :A A5:11皿:xly.si:rKf.9$zlw:M M. .W W-TIPr_1P1FM0rII,rrnxerneiareRupn-i,IIwindump或wireshark用wireshark可以看到大量syn向192.1

47、68.1.43發(fā)送!1T,.T二 XTfp.舊”了-224403XArDFZSMWB謎4?.TCP己彩邛:WWMU.07SHM.lS.Ot.lDF3L:,.心TCP沖心切揭如.-/JiiJ!5.3ibLLDS二二 s_T8JtHUO*-1:-r-;r-f,叩1ys專.3 二可T8PRfl:-二 m:-,;r=r.iw:qTCP沖心224AMIt.OTTSLI43TCP7H-UF-_.-1.1 如七土,35.11212-1.0-3.1-:=【心,-4 口、14.a號、11*mu葛 MTTP*fenHQ5mzwmW;r*土十 X、w+m5q氣I;-winfA/Wll-51g=4lWW,i 宮瑚唱工

48、PJIHJLEJ-k-rW*-1-V.5:C,1-550irwtbfos-fm S S H HJ J卜 I-T 一=f-1Pl:!-V-心#SLL&.(174、”.0*MW;1W-健TC48T1門I5YHJLSWjMcblas-Mn5rnj1of-iir-.ios-3sr:m1l中南大學(xué)計算機(jī)取證實驗報告葛健敏26實驗五分析Windows系統(tǒng)中隱藏的文件和Cache信息實驗?zāi)康?1)學(xué)會使用取證分析工具查看Windows操作系統(tǒng)下的一些特殊文件,找出深深隱藏的證據(jù)。(2)學(xué)會使用網(wǎng)絡(luò)監(jiān)控工具監(jiān)視Internet緩存,進(jìn)行取證分析。實驗要求:(1)WindowsXp或Windows200

49、0Professional操作系統(tǒng)(2)WindowsFileAnalyzer和CacheMonitor安裝軟件一張可用的軟盤(或u盤)實驗步驟及結(jié)果(1)用WindowsFileAnalyzer分析Windows系統(tǒng)下隱藏的文件。中南大學(xué)計算機(jī)取證實驗報告葛健敏27D用index.datAnalyzer分析index.dat文件& &TindovsFileAnalyzerTindovsFileAnalyzer IDAIDA= =index,dartindex,dartJ JdBlEile(indtHBS匚ISI最I(lǐng)雀IDA-index.datjIhdex.DATAnalysi

50、sFieC:DocumertlsandSeltiig女血口kieRieKdiVdume忡國B854-4FB0VdumetebelURLTypeModeledLastAccessedH麗FienarteDirectoCisokie:anintstialarcrD admnist商口理cpwbmdi411上例A ACookie:adirinrstialai&Bardi114SD.取URL2D16-5-2114:00392O1E-5-21MDtt3932nm袱laL口曲禎archl14so(1|ltKlCookie:adhiinistvaloicnbingcm/URL2D16-5-2114.

51、23162Q16-5-2114:21162adnwrstialainbiig|2pi4lCWedhnini5tidBd8hma.11URL2016-5-211412432OT6-5-211412433adhwiist由1。|即2|1MMICookie:adhinialoiireduv.cwn/URL20162114:00:57的G521H4:0ft5?1ddwn.siialortSmfidBvIl1IxtCmie:acfrniriGiialordaahang.114s=o.crVURLWCH&5Z114:12:ZTIE5-2114:12422admnMiatci炬dadia叫114袍2

52、|加Cookie: adhwrialaiCcniffiaskjiF.lbiddrixflbiCodie:i5dhTinistiali3ibrigcm/URL2016-5-211507072OT6-5-211507:07ISadhmidialoiC3bhg|21lj&211S0R1214adhwi嗷間饞MV VURL用prefetchAnalyzer挖出Prefetch文件夾中存儲的信息fTXP-Thumbs.dbThumbnailDatabaseAnalysisFie:C:DoeumentsandSettir*g$Admini$trator面k菊花Thumb$.cVolumeserii

53、atBB54-4FB0Volumelabel:Report.Saveimage.Saveimage.ThunbnailImageFilenameTimestamp2009021SC2512591.pg2DO9tJ21SO2512975.|2DO9tJ21SO2512975.|P Pg g2011-2-2114:06:362011-2-212011-2-2114:曲曲36RepciiL.中南大學(xué)計算機(jī)取證實驗報告葛健敏28馨TindovsFileAnalyzerTindovsFileAnalyzer一IDAIDAindex,datindex,datWindowsHelp回&粕對,022r

54、tcordls日開始質(zhì)質(zhì)7Window.-,:,C:WINDO.*x2 2Int普mWindow!F.H.UUicuj.iI-J.1-3.ir5PDaLSV.EXE2D16-5-2110:321372O1B-5-2113t14:O42016-5-2115:19:172016-52113:14:00STDREFWDEXESD16-5-2110:33:102O1IB-5-211Q33t102016-5-2115t1S:172D16-&2110:33:10SVCHOST.EXE2016-5-211032372O1&-5-211511:572016-5-211511572D16-&am

55、p;-2115114?TMTSETP.EXE2016-5-211034052016-5-21ICt34:052016-5-2115:19:172016-5r?110:3405rPAUTOCONNSVC-EKE2tnG52l13:14:09SnG52113t14:09加ifrswiism?的6物13:14:06TFVCGATEWAY.EXE2D16-5-2113:14:102O1B-5-21”14:10201&-5-2115:19:172016-52113:il4:09UNHEGMP2.EXE2D16-5-2110:33542OTE-5-211Ct33201&-5-2115:1S

56、:172016-2110:33:50UPGRADER.EE3016-5-211033202O1&-5-211Q3S2O2016-5-211519:172D16-5-21103310USERINIT.IXI2016-5-2110:3S162016-5-211Q3116201G-S2115:19:172016-5-2110:33:06VtREOIST_XK.E的M,2l10:3401的G,51047:232tn&52115(19:1/201G-5S1白VERCLSID.EXEZDl6-5-2110:34:02201B-5-2115:17:59201&-5-2115:17:5

57、92016-5211517:593VGAUTHSERV1CE.EXE2D16-5-2113:1439201B-5-2113E14392016-5-2115:19:172016-2113:14跆VMACTHLPEX3Q16-5-211314392O1&-5-211314392016-5-211519:172E6521131429VMIQQLSD.E IDA-ndex.dat削覽文件夾Index.DATRepoit.File:C:DocumenVolumeserial.BSVolumelabelURLCookie:adniiriisliatorcpro.beCookie:achiinisl

58、iatorseach.Cookie:adminisuatorcn.bing日oV*甘*airlmiini-rlYSirkURLSi0U0.0ILjl-MM01-Jt)JJ_*MediamsagentmxtppsmuiNetworkDi0DirOfflineWebPagesPttrNel確定確定取捎VindavsFileAnalyzeE-(PA一Prefetchl中南大學(xué)計算機(jī)取證實驗報告葛健敏29用RecycleBinAnalyzer打開特定文件夾中的快捷方式,顯示回收站info2文件信息中南大學(xué)計算機(jī)取證實驗報告葛健敏30用ShortcutAnalyzer找出特定文件夾中的快捷方式并顯示存儲

59、在它們里面的數(shù)據(jù)中南大學(xué)計算機(jī)取證實驗報告葛健敏31(2)用CacheMonitor監(jiān)控Internet緩存Ent.IJRLEnt.IJRLLMilFilailFilaSLED D1 1b-ltf-b-ltf-:1.1. dn-=q/l/pcblaEckdn-=q/l/pcblaEck di.lar/.di.lar/. .U U:00 企 cumcum .43.43LuiLuiXCCML-ILailLail-!LutSrxic-adH.ax-!LutSrxic-adH.aXX1ITS3xa:40%(3)用WFA口CacheMonitor進(jìn)行取證分析s交1W胸陽El格式皿|ln0p-K $ttU

60、SFlaqcHHSizpLsstRCCfSSURLAIS*11時F湖F1伽HI53532IM5535B5123甲53508Iff航5的m97Ml5Miq66-M1l5MIS15?41船197SIB?ail船45619ga111皿W餐蜂#4 腥Wu匚姓206TtidsMb2F2fl2.2fi?.lia-12W!Fwtil2Ft_i11:1匚dti+id3白di_:i.dt.ZB?.*3-17X71*n勺81$*11&1購VM11?41113B1275171AHI33755CI甲13碩1&7*13371158甲31府M133甲31岫3221*132dBB7lit3M93233H119S33fl7216Mil329WSC41l335717653172A1SAM3森酢4iia盤 g11W41133婭1鄧*13IB*1335f5*13MW127A|113255?74*1319B3:neo3芝。址64IMF339B19*241i33JS2fl1?/B5-/971B:51A3MVHtp:/172,22,1*111JxBjpgEB1Z/fl5/W11B:51叩相VdU

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論