朗威计算机保密检查取证工具用户手册

中国兵器深度保密检查工具用户手册中国兵器工业信息中心2008年8月8日目录一、简介 (1)二、一键化检查 (4)三、专业化设置 (7)3.1 设置检查基本信息 (7)3.2 设置报警信息关键字 (7)3.3 设置上网强力搜查参数 (11)3.4 设置检查项 (13)3.4.1 系统信息 (13)3.4.2 安装软件 (14)3.4.3 硬件信息 (15)3.4.4 系统服务 (15)3.4.5 系统补丁 (15)3.4.6 系统关键策略 (16)3.4.7 进程信息 (16)3.4.8 系统日志 (17)3.4.9 打开端口 (17)3.4.10 自启动项目 (18)3.4.11 共享目录 (18)3.4.12 打印机 (18)3.4.13 网上邻居 (19)3.4.14 IE::TempFile (19)3.4.15 IE::Cookie (19)3.4.16 IE::TypedUrl (19)3.4.17 Explorer::Recent (19)3.4.18 Explorer::RunMRU (20)3.4.19 Office::Recent (20)3.4.20 文件夹视图 (20)3.4.21 USB存储设备 (21)3.4.22 USB设备 (21)3.4.23 系统缓存图标 (22)3.4.24 缓存应用程序 (22)四、智能化报表 (23)五、深度USB检查工具 (24)5.1 USB存储设备检查 (25)5.2 USB设备检查 (25)5.3 驱动设备安装日志检查 (26)六、上网记录强力搜索 (27)七、关键字搜索 (29)八、磁盘低格检查 (31)九、磁盘内容查看 (32)十、标密软件管理系统 (33)一、简介“中国兵器深度保密检查工具”由中国兵器工业集团公司保密办和中国兵器工业信息中心联合研制。

“中国兵器深度保密检查工具”可以检查信息系统（涉密与非密）的6大类24项检查内容。

《计算机取证技术》实验一实验题目：用应急工具箱收集易失性数据及使用X-Ways Forensics备份磁盘数据实验目的：（1）会创建应急工具箱，并生成工具箱校验和。

（2）能对突发事件进行初步调查，做出适当的响应。

（3）能在最低限度地改变系统状态的情况下收集易失性数据。

实验要求：（1）Windows XP 或Windows 2000 Professional操作系统。

（2）网络运行良好。

（3）一张可用U盘（或其他移动介质）和PsTools工具包。

实验主要步骤：（1）将常用的响应工具存入U盘，创建应急工具盘。

应急工具盘中的常用工具有cmd.exe; netstat.exe; fport.exe; nslookup.exe; nbtstat.exe; arp.exe; md5sum.exe; netcat.exe; cryptcat.exe; ipconfig.exe; time.exe; date.exe等。

（2）用命令md5sum(可用fsum.exe替代)创建工具盘上所有命令的校验和，生成文本文件commandsums.txt保存到工具盘中，并将工具盘写保护。

（3）用time 和date命令记录现场计算机的系统时间和日期，第（4）、（5）、（6）、（7）和（8）步完成之后再运行一遍time 和date命令。

（4）用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间。

（5）用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关，用ipconfig/all 命令获取更多有用的信息：如主机名、DNS服务器、节点类型、网络适配器的物理地址等。

（6）用netstat显示现场计算机的网络连接、路由表和网络接口信息，检查哪些端口是打开的，以及与这些监听端口的所有连接。

（7）用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。

北信源检查软件使用说明文档
使用说明如下：
第一步：把此软件复制到桌面上使用，勿在U盘中直接使用；
第二步：打开检查软件后，将会弹出被检查人信息，这项可以不填，直接点击退出即可；
第三步：打开软件后，在软件左面有三项检查；分别是：计算机应用信息、常规安全检查、深度安全检查。

我们进行的一般是常规安全检查里面的敏感信息安全检查，该软件会自动搜索含有“秘密、机密、绝密”敏感关键字的文件；如下图所示：
第四步:搜索完毕后，把下面搜索到的文件点击打开看，涉密文件大部分是红头文件。

如发现文件名抬头右上方或者左上方含有秘密、机密、绝密类似字样的文件，必须要及时上报给行政保卫部或者信息化部并及时停止该计算机的使用，等待信息部相关人员处理后方可使
用。

第五步：这项操作完成后，点击常规安全检查里面的系统账户安全检查，检查该账户是否是弱口令或者是空密码，禁止任何一账户都是空密码或弱口令。

如发现有空密码和弱口令现象，必须要指导用户把密
码重新设置。

密码设置应为8位，其中包含字母和数字。

电子数据取证办案速查手册第一章速查手册概述计算机取证是一门发展非常迅速的学科，时代需要一批能不断吸收最新的知识，掌握最新的技能，使用最新的工具，不断提高自身素质的网络精英，来应对同样在飞速进步的高科技犯罪分子。

为电子数据取证与勘察过程中提供一本速查手册，协助办案人员快速查询一些细节性的易遗忘的知识点，这是这本手册设计的初衷。

第二章计算机犯罪现场勘察指南一：保护现场现场保护的目的是防止犯罪嫌疑人、调查人员和操作系统故意或无意破坏现场的证据。

在保护现场时需要依循以下原则：1 禁止嫌疑人接触数字化设备现场勘查过程中要禁止任何非司法人员接触计算机、电源、网络设备和数字化证据存储设备。

必要情况下可以向在场人员索取登录计算机的口令、手机和PDA 的解锁口令、应用程序的功能等相关信息，但必须禁止嫌疑人直接操作计算机。

如果所勘查的现场是公共上网场所（如网吧），必须尽量根据预先掌握的情况（如嫌疑人的体貌特征、当前登录的帐号等）和技术手段确定嫌疑人身份，并采用隐蔽的方式控制嫌疑人。

除非案件特别重大或特别紧急，否则不得采用公开的方式控制犯罪嫌疑人。

2 防止嫌疑人采用隐蔽手段故意破坏证据嫌疑人可能通过网络、拨入设备远程控制计算机或者网络，在紧急情况下，可以切断相关的有线网络和无线网络连接（关闭交换机、HUB 或无线接入设备）和拨入设备（关闭MODEM）。

嫌疑人可能通过切断电源的方式破坏数据，在现场勘查时要将嫌疑人控制在不可能接触任何电源开关的区域。

嫌疑人可能在系统上安装专门的程序，在满足特定条件下该程序自动清除相关证据。

在现场勘查时要评估嫌疑人是否可能具备这一技术水平，如果这种可能性较大，要立即关闭计算机电源。

在现场勘查中不应听从嫌疑人的建议实施操作，因为嫌疑人提供的操作方法有可能会导致证据损毁。

3 防止调查人员无意中破坏证据如果电子设备（包括计算机、PDA 、移动电话、打印机、传真设备等）已经打开，不要立即关闭该电子设备。

计算机保密检查取证工具用户手册哈尔滨朗威电子技术开发有限公司目录第一章计算机保密检查取证工具简介...................................1.概述.........................................................2.主要功能.....................................................3.主要特点..................................................... 第二章检查工具使用向导............................................. 第三章检查工具使用方法............................................1.检查工具使用方法.............................................1.1 检查功能.................................................1.2 其他功能.................................................1.2.1 文件恢复............................................1.2.2 隐藏文件检索........................................1.2.3 搜索文件............................................1.2.4保存结果............................................2.涉密版和非涉密版区别.........................................公司简介哈尔滨朗威电子技术开发有限公司成立于1999年11月5日，注册资金300万元，注册地址在哈尔滨市南岗区学府路36-2号朗威大厦。

操作指南手册一、简介操作指南手册旨在提供详尽的操作步骤和使用说明，以帮助用户正确使用产品或执行某项任务。

本手册将为您提供清晰明了的操作指南，确保您能够轻松快速地完成工作。

二、准备工作在开始操作之前，请确保您已经完成以下准备工作：1. 确认所需操作的设备或工具已经准备齐全。

2. 了解操作过程中的所有安全注意事项，并保持警惕。

三、操作步骤以下是本产品的操作步骤，请按照顺序进行操作：1. 第一步：详细描述第一步的具体操作步骤，包括所需的操作对象、工具或设备以及操作方法。

在描述过程中，可以使用图片、图表或示意图来辅助说明。

2. 第二步：详细描述第二步的具体操作步骤，同样包括所需的操作对象、工具或设备以及操作方法。

3. 第三步：详细描述第三步的具体操作步骤，同样包括所需的操作对象、工具或设备以及操作方法。

在这一步骤中，可以加入一些注意事项，如注意事项、操作技巧等。

4. ......（根据具体操作的步骤数，继续进行描述）四、常见问题解答在操作过程中，可能会遇到一些常见问题，这里为您提供了一些解答，以便您能够迅速解决问题：1. 问题一的解答：详细解释问题一出现的原因，并提供解决方案。

2. 问题二的解答：详细解释问题二出现的原因，并提供解决方案。

3. 问题三的解答：详细解释问题三出现的原因，并提供解决方案。

4. ......（根据常见问题的数量，继续进行解答）五、注意事项在操作过程中，请务必注意以下事项，以确保您的安全和操作顺利进行：1. 注意安全：在操作过程中，遵循所有的安全指导和注意事项，确保自身和他人的安全。

2. 维护保养：及时进行设备或产品的维护保养，以延长其使用寿命。

3. 常规检查：定期检查设备或产品的工作状态和性能，确保其正常运行。

4. 存储保管：妥善存储设备或产品，防止损坏或丢失。

5. ......（根据具体情况，继续列举其他的注意事项）六、附录在附录中，您可以找到一些有用的参考资料或相关链接，以便您获取更多关于产品或操作的信息。

计算机终端保密检查检查工具技术白皮书目录1.研发背景 (1)2.适用范围 (1)3.涉密信息系统检查取证工具的技术要求 (1)4.产品功能 (2)4.1涉密计算机检查 (3)4.2非涉密计算机检查 (4)4.3增强功能 (5)5.产品优势 (6)6.典型用户 (7)7.性能指标 (7)8.检测环境 (9)1.研发背景国家保密机关为例加强对涉密计算机的管理已颁布了许多政策和法规，这些政策和法规在实际工作中执行的怎么样呢？同时只有发现了问题，才能寻找解决问题的办法，进而有效的教育涉密人员自觉遵守保密的规定。

因此，需要一款有效的检查取证工具。

它的有效性不仅要体现保密政策的要求，而且还能发现隐藏的问题；不仅性能先进，而且还要可靠和易用。

为此我们的研发人员认真的研究了国家对涉密计算机的管理政策，大量走访了各级保密管理人员，力求以公司技术优势去满足这些需求，从而奉献出一款有效的检查取证工具。

2.适用范围该系统为安全保密检查人员提供了强大的技术手段，按照“上网不涉密、涉密不上网”的原则，能够准确、全面、有效地检查出计算机存在的违规行为，辅助安全保密检查人员提出安全防护完善意见。

该工具适用于信息安全执法机构及其它指定的政府及关键部门的专用检测工具，具有极大的专业性和专用性。

3.涉密信息系统检查取证工具的技术要求以专用介质为载体的涉密信息系统检查取证工具首先必须满足国家关于介质安全性的要求，消除介质使用中泄密隐患，确保国家秘密安全；其次是要准确无误地检查出涉密计算机的各种违规操作痕迹，检查结束后能自动生成检查报表，为检查取证提供有力证据。

1.采用符合要求的专用移动存储介质，提高介质自身的安全防护能力由于涉密信息系统检查取证工具需要基于一个可移动的存储设备为载体，而普通移动存储介质无法满足涉密信息系统的特殊要求，应逐步淘汰或禁止使用，工具应采用具有安全保密功能的专用介质；2.对于“物理隔离”要求的检查标准要求涉密计算机在任何条件下，必须处于物理隔离状态，严禁接入与国际互联网及公共信息网。