(完整word版)中南大学计算机取证技术实验报告
计算机取证技术实验报告
计算机取证技术实验报告一、实验目的二、实验原理1.计算机文件的删除计算机文件的删除并不是真正的删除,而是将文件的存储空间标记为可重用状态。
通过合适的方法可以恢复已删除的文件。
2.隐藏文件计算机中的文件可以通过更改文件的属性来隐藏。
隐藏文件需要特殊的手段进行查找和恢复。
3.数据流计算机中的数据都是以数据流的形式存储的,可以通过分析数据流来获取有用的信息和证据。
4.元数据元数据是指记录文件属性和存储位置的数据,包括文件的创建时间、修改时间等信息。
通过分析元数据可以还原文件的使用轨迹。
三、实验步骤1.文件删除恢复实验首先,在计算机上创建一个包含敏感信息的文件,然后将其删除到回收站。
接下来,使用特定的恢复软件对回收站进行扫描,找回已删除的文件。
最后,验证恢复的文件是否包含原始的敏感信息。
2.隐藏文件实验在计算机上创建一个需要隐藏的文件,并将其属性设置为隐藏。
然后,通过查找隐藏文件的方法来寻找被隐藏的文件。
验证查找结果是否正确。
3.数据流分析实验在计算机上创建一个包含敏感信息的文件,并将其复制到不同的位置。
通过分析数据流,找到敏感文件的所有副本。
验证数据流分析的准确性。
4.元数据分析实验在计算机上创建一个包含敏感信息的文件,并对其进行不同的操作,如复制、重命名等。
通过分析文件的元数据,还原文件的使用过程。
验证元数据分析的有效性。
四、实验结果与分析本实验中,通过对文件删除恢复、隐藏文件、数据流分析和元数据分析的实验,成功地获取了敏感信息和相关证据。
实验结果表明,计算机取证技术是一种高效、可靠的方法,对于犯罪活动的调查和审判具有重要的意义。
五、实验总结本实验通过对计算机取证技术的实践,加深了对计算机取证技术原理和方法的理解和掌握。
计算机取证技术在现代社会中具有重要的应用价值,对于维护社会安全和网络安全起到了重要的作用。
通过本次实验,我对计算机取证技术有了更深入的了解,并对其在实际工作中的应用有了更清晰的认识。
实训项目报告 hcia(取证)实训800字
实训项目报告1. 项目概述实训项目名称:HCIA(取证)实训实训项目时间:2022年3月1日-2022年4月1日实训项目地点:xx大学计算机实验室实训项目负责人:xx教授2. 项目背景随着信息技术的不断发展,网络安全问题日益突出,黑客入侵、数据泄露等事件频发,网络取证成为防御和打击网络犯罪的重要手段之一。
为提高学生在网络安全领域的实际应用能力,本项目旨在通过HCIA(取证)实训,培养学生在网络取证方面的专业技能。
3. 实训内容本次实训主要涉及以下内容:- 网络取证概述- 网络取证工具的使用- 取证技术的实际操作- 取证数据分析与呈现- 取证报告撰写4. 实训流程为了达到项目的预期目标,我们通过以下流程进行实训:4.1 授课和讲解:由xx教授进行网络取证知识的讲解和授课,包括取证概念、取证原理等内容。
4.2 实操训练:学生将针对实际案例进行网络取证工具的操作练习,包括取证数据的提取、分析和呈现等环节。
4.3 案例分析:学生将分析实际案例,进行取证分析和思考,提高实际操作能力。
4.4 取证报告:学生将结合实际案例完成取证报告的撰写,包括取证过程、分析结果和建议等内容。
5. 实训效果本次实训取得了较好的效果:- 学生掌握了网络取证的基本原理和实际操作技能,提高了对网络安全事件的识别和应对能力。
- 学生通过实际操作,加深了对网络取证工具的了解和掌握程度,提高了实际操作能力。
- 学生通过案例分析,加强了对实际问题的分析和解决能力,提高了综合应用能力。
6. 实训收获本次实训使学生在网络取证方面有了较大的收获:- 意识到网络安全的重要性,增强了网络安全意识和责任感。
- 掌握了一定的网络取证技能,为将来从事网络安全相关工作奠定了基础。
- 培养了团队合作能力和实际问题解决能力,提高了综合素质。
7. 后续计划为进一步提升学生的网络取证能力,我们将继续开展相关实训活动,结合更多实际案例和最新技术,不断优化实训内容,为学生的职业发展打下坚实基础。
(完整word版)计算机实验报告模板
硬件:PC(PII以上,128M以上内存)、因特网接入;
软件:Windows XP操作系统、Office2003、多媒ቤተ መጻሕፍቲ ባይዱ播放软件。
三、实验内容与步骤
(1)熟悉Windows XP、设置工作环境、配置Windows XP系统
(2)窗口及程序的基本操作
(3)使用“我的电脑”及“资源管理器”
(4)可移动磁盘(软盘或闪存盘)操作
(5)文件搜索
(6)FTP服务
(7)IE浏览器的使用
四、实验结果与数据处理
五、分析与讨论
通过这次实验我能够较熟练地掌握一些基础操作和截图,但同时也存在一些不足。实际操作中难以找到所需的对话框;每个操作技巧完成后不能记下大致的步骤,再次操作时,仍不太熟练;对一些命令,专业术语不知道实际含义。在以后的学习中,要理论联系实际,多进行操作训练。
(6)掌握可移动磁盘的基本操作,如格式化、存取信息和删除信息
(7)掌握文件搜索的方法,熟练使用搜索工具
(8)以命令行的方式访问FTP服务器,了解FTP的原理
(9)用IE浏览器访问FTP服务器,掌握从FTP服务器上下载文件的方法掌握IE浏览器的使用方法并了解IE浏览器的常用功能
二、实验设备(环境)及要求
签名:
日期:年月日
成绩
同时,希望在以后的学习中,可以在老师的指导下,集体在机房进行实验操作。
这样,大家可以及时向老师提出自己的疑惑,老师的知道也可以更具有针对性。
六、教师评语
1.按时完成实验;
2.实验内容和实验过程记录完整;
3.回答问题完整、正确;
4.有关于实验的比较深刻的心得或讨论;
5.实验报告的撰写认真、报告格式符合要求.
《××××××》实验报告
中南大学计算机实践报告论文
中南大学本科生课程设计(实践)任务书、设计报告(大学计算机基础)题目魅力玉林学生姓名蒋励中指导教师杨长兴学院地球科学与物理信息学院专业班级资源勘查1502学生学号010*******计算机基础教学实验中心2016年 1 月 2 日魅力玉林——计算机实践课程设计报告一、任务内容这次计算机实践的任务是:设置一个网站,并在网站上发布一个综合内容的网页。
通过《计算机实践》更进一步深入了解和掌握各种应用软件的使用操作及综合应用,重点在培养学生自学计算机应用软件、开发应用、动手和创新能力。
我选取了“魅力玉林”为主题,介绍了玉林的若干方面和属性。
旨在通过网站使同学们了解我的故乡,还有就是增强我们对自己的家乡的热爱、对家乡的了解,把家乡的美好分享给每一个人,以后建设家乡,让家乡更美好。
二、实现的方法与手段1.确定主题:魅力玉林。
2.画出设计网站的纸质页面,然后根据纸质文稿用Dreamweaver编辑。
3.首先,把能突出故乡风景的一张图片置顶,作为页首,即在页首插入图片,设置为适当的高度和宽度。
4.在紧贴图片下方位置插入等宽的”层”,自行设置大小。
”层”内输入“玉林”二字及欢迎语,以此作为网站主题,在”层”左侧输入“主页”以标示此页为主页。
5.左栏为“网站导航”,下面设介绍家乡的7个方面,包括:“基本概况”、“地理概况”、“行政规划”、“经济发展”、“饮食文化”、“大容山”及“著名人物”。
右栏为“站内小憩”,下设“玉林市地图”和“玉林市风光”两方面,使浏览者可以一睹我故乡的风采。
中间一栏为玉林市的基本简介,并插入可以代表玉林市的几张图片。
6.为上述(5)中左右两栏的除“玉林市风光”外的一共八个方面添加超链接,使其可以连接到对应的八个页面。
这把个页面的框架全部复制主页内容,另外,在“站内小憩”一栏下方插入“超链接”,使每个页面都可以返回主页。
7.为左栏“网站导航”插入Flash文档的超链接。
打开Flash 8,新建文档,把“奔跑的豹子”背景换成网页页首的图片连续制作7遍,然后锁定“背景”和“豹子”。
计算机技术实习报告汇总6篇
计算机技术实习报告汇总6篇计算机技术实习报告篇1见习时间:4月21日4月28日见习单位:浙江嘉兴__实训基地见习目的:专业见习是计算机系专业教学计划中规定的一个重要的实践性教学环节,其目的为:1、同学们在学习了专业课程之后,通过专业实习,在了解企业概况的基础上,对与计算机应用密切相关的某一方面内容的整体概念进行分析,学会运用专业知识去发现问题和解决问题的方法,增强实践能力。
2、通过实习,参加一定的实践活动和技术体验,了解企业的需求、所具备的基础及存在的问题,了解国情,增强学好专业的信心和从事计算机工作的激情和事业心,为学生毕业设计和走入社会奠定良好的基础。
3、通过实习,调查、了解企业的运行机制,参与企业具体的软件开发工作,提高社会实践能力,增强调查研究、人际沟通、谋略决策、随机应变等独立工作能力。
一、专业见习过程及内容(一)见习地点:嘉兴__产品实训基地时间:4月21日到4月28日(二)1.嘉兴__产品实训基地概况:嘉兴,历史上就是富庶之地。
处在杭嘉湖平原的中心地带,土地肥沃,气候适宜,水源充足,物产丰富。
“嘉禾熟,天下足”,天时地利人和。
历史上嘉兴传统产业比较发达。
海宁的纺织、皮革,平湖的服装、箱包,桐乡的蚕丝、化纤一直是经济发展的顶梁柱,也是传统意义上吸收就业的“大户”。
创建于3月的__软件产品实训基地正是在这大背景下孕育而生的,从开学至今,已实训长期班学员340多人、短期实习生600多人,接受四个月班__中级软件工程师班培训的学生现在95%以上已经顺利进入软件行业就业。
在嘉兴科技城的支持下,__软件产品实训基地踌躇满志:将继续做好教学工作,目标培训1000人;到将建成一座占地面积100亩、可容纳5000人学习和生活的综合性实训校区。
届时学院也将成为长三角地区乃至全国重要的高级技术人才培训基地,向社会输送更多的高品质、专业化高级软件人才。
2.见习内容:晨会、应久良院长的职业生涯规划的讲座、演讲比赛、拓展训练、科技工业园的参观、一天半的技术学习、软件行业的分析、与应久良院长的座谈会、西塘之旅、上海一日游;二、见习体会一个星期的见习生活已经结束了,这一个星期感觉过的好快。
【推荐】大学计算机实验实践报告书-实用word文档 (8页)
本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除!== 本文为word格式,下载后可方便编辑和修改! ==大学计算机实验实践报告书篇一:《大学计算机基础》实验报告书答案《大学计算机基础》实验报告书答案习题及实验(一)第一部分习题一、简答题1计算机的发展阶段:四个发展阶段:第一个发展阶段:1946-1956年电子管计算机的时代。
1946年第一台电子计算机问世美国宾西法尼亚大学,它由冯〃诺依曼设计的。
占地170平方,150KW。
运算速度慢还没有人快。
是计算机发展历史上的一个里程碑。
(ENIAC)(electronic numerical integator andcalculator)全称叫“电子数值积分和计算机”。
第二个发展阶段:1956-1964年晶体管的计算机时代:操作系统。
第三个发展阶段:1964-1970年集成电路与大规模集成电路的计算机时代(1964-1965)(1965-1970)第四个发展阶段:1970-现在:超大规模集成电路的计算机时代。
第一代计算机1946 1957 电子管运算速度较低,耗电量大存储容量小。
第二代计算机1958 1964 晶体管体积小,耗电量较少,运算速度高,价格下降。
第三代计算机1965 1971 中小规模集成电路体积功能进一步减少,可靠性及速度进一步提高。
第四代计算机 1972年至今大规模及超大规模集成电路性能到规模提高,价格大幅度降低,广泛应用于社会生活的各个领域,走进办公室和家庭2.主要应用:计算机的应用极其广泛,早期的计算机主要体现在科学计算机,数据处理,计算机控制等几个方面.随着微型计算机的发慌和迅速普及,计算机的应用已渗透到国民经济各个总门及社会生活的各个方面现代计算机除了传统的应用外,还应用于以下几个大方面.1.办化自动化2.计算机辅助系统3.虚拟现实4.人工智能5.电子商务3. 1.管理系统中的各种资源,包括硬件资源和软件资源。
中南大学计算机实践报告.doc
中南大学计算机实践报告中南大学计算机实践报告中南大学本科生课程设计(实践)任务书、设计报告(计算机程序设计基础FORTRAN)题目线性方程组求解问题学生姓名指导教师学院专业班级学生学号刘卫国土木工程学院土建类班计算机基础教学实验中心202*年6月29日一、实践目的通过本课程设计,培养程序设计能力以及综合解决实际问题的能力。
通过自己分析问题、寻求算法、编写、调试程序的过程,掌握FORTRAN程序设计与调试方法,提高灵活运用所学知识解决问题的能力。
二、设计任务线性病态方程组问题:1/21/31/4x10.951/31/41/5x0.6721/41/51/6x30.52(1)求方程的解。
(2)将方程右边向量元素b3改为0.53,再求解,并比较b3的变化和解的相对变化。
(3)计算系数矩阵A的条件数并分析结论。
提示:矩阵A的条件数等于A的范数与A的逆矩阵的范数的乘积,即cond(A)AA1。
这样定义的条件数总是大于1的。
条件数越接近于1,矩cond(A)AA1阵的性能越好,反之,矩阵的性能越差。
矩阵A的条件数Amax{aij}1jni1m,其中,aij系矩阵A的元素。
要求:(1)方程的系数矩阵、常数向量均从文件中读入。
(2)定义求解线性方程组Ax=b的子程序,要求该子程序能求解任意线性方程组。
(3)在主程序中调用子程序,并对求解结果进行对比分析。
(4)绘制常数向量修改前后所求得的方程解的数据分布图。
三系统坏境系统开发环境为CONSOLEAPPLICAT三.系统功能及系统详细设计四系统功能及系统详细设计。
系统功能分析针对题目要求,我设计的系统主要为了解决题目中所提出并要求的问题。
子程序则各尽其用,不仅可以作为整体系统的重要部分,还可以使用于通用问题。
如三角分解法,可以解决线性方程组的求解问题。
求范数和矩阵求逆的子程序,可以解决相应的问题。
再如绘图程序,将问题(2)的结果直观化,更直观明显的表现了病态方程的特点与定义。
计算机取证实验报告(共6篇)
篇一:计算机取证技术实验报告windows平台逻辑层数据恢复一、实验目的:通过运用软件r-studio_5.0和winhex对误格式化的硬盘或者其他设备进行数据恢复,通过实验了解windows平台逻辑层误格式化数据恢复原理,能够深入理解并掌握数据恢复软件的使用方法,并能熟练运用这些软件对存储设备设备进行数据恢复。
二、实验要求:运用软件r-studio_5.0和winhex对电脑磁盘或者自己的u盘中的删除的数据文件进行恢复,对各种文件进行多次尝试,音频文件、系统文件、文档文件等,对简单删除和格式化的磁盘文件分别恢复,并检查和验证恢复结果,分析两个软件的数据恢复功能差异与优势,进一步熟悉存储介质数据修复和恢复方法及过程,提高自身的对存储介质逻辑层恢复技能。
三、实验环境和设备:(1)windows xp 或windows 2000 professional操作系统。
(2)原始硬盘(或u盘)一个,目标硬盘一个。
(3)或者可用u盘(或其他移动介质)和软件r-studio_5.0和winhex安装包。
四、实验内容:(1)熟悉r-studio的操作界面和该软件的使用,掌握该软件的数据恢复方法,并运用该软件按步骤对硬盘或优盘进行逻辑层数据恢复。
(2)熟悉winhex的操作界面和该软件的使用,掌握该软件的数据恢复方法,并运用该软件按步骤对硬盘或优盘进行逻辑层数据恢复。
(3)体会软件进行 windows平台逻辑层数据恢复的运行机制,并进行比较不同的数据恢复方法和原理。
五、实验步骤:(一)使用r-studio软件操作:1.数据恢复。
将要恢复文件的硬盘或者将要恢复文件的独立u盘连在计算机上,打开r-studio软件。
2.打开任意磁盘或者分区,右边显现文件有红色叉的表示删除的文件。
3.勾选该文件,“右击”选择“恢复标记文件”,设置文件输出路径,便可以恢复文件了。
4.点击某分区,右击选择“扫描”,进行“文件系统设置”选项设置后,点击“扫描”开始扫描磁盘5.双击“红色盘符”,然后双击“额外找到的文件”,就可看到此文件系统下的恢复文件 6.右击选择“恢复标记的内容”,设置恢复的路径,此路径不能在此次扫描的磁盘中。
取证过程总结报告范文(3篇)
第1篇报告编号:[报告编号]报告日期:[报告日期]报告人:[报告人姓名]报告单位:[报告单位名称]一、前言随着信息技术的发展,电子证据在司法实践中的地位日益重要。
在本次案件中,我们接受了[委托单位名称]的委托,对[案件名称]进行了电子数据取证工作。
现将本次取证过程进行总结,以便为今后的工作提供参考。
二、案件背景[案件名称]涉及[案件简要描述],案件涉及当事人[当事人姓名]与[当事人姓名]。
根据委托单位的要求,我们需要对双方涉及的电子数据进行收集、固定和提取,以证明案件事实。
三、取证目标1. 收集涉案双方的电子数据,包括但不限于电脑、手机、U盘等存储设备中的数据。
2. 固定电子数据的原始状态,确保数据的完整性和真实性。
3. 提取电子数据中的关键信息,为案件提供证据支持。
四、取证过程1. 现场勘查(1)现场勘查时间:[现场勘查时间](2)现场勘查地点:[现场勘查地点](3)现场勘查人员:[现场勘查人员姓名](4)现场勘查内容:对涉案双方的电脑、手机、U盘等存储设备进行现场勘查,了解设备的使用情况,并做好现场勘查记录。
2. 数据收集(1)数据收集时间:[数据收集时间](2)数据收集地点:[数据收集地点](3)数据收集人员:[数据收集人员姓名](4)数据收集内容:对涉案双方的电脑、手机、U盘等存储设备进行数据收集,包括但不限于:a. 电脑硬盘、内存、光驱等;b. 手机短信、通话记录、短信彩信、图片、视频、应用数据等;c. U盘、移动硬盘等存储设备中的数据。
3. 数据固定(1)数据固定时间:[数据固定时间](2)数据固定地点:[数据固定地点](3)数据固定人员:[数据固定人员姓名](4)数据固定内容:对收集到的电子数据进行固定,确保数据的原始状态不变,包括但不限于:a. 使用专业的电子证据固定工具对数据进行分析和备份;b. 对备份的数据进行加密存储,防止数据被篡改。
4. 数据提取(1)数据提取时间:[数据提取时间](2)数据提取地点:[数据提取地点](3)数据提取人员:[数据提取人员姓名](4)数据提取内容:对固定的电子数据进行提取,包括但不限于:a. 提取电子数据中的关键信息,如文档、图片、视频等;b. 分析提取的数据,找出与案件相关的证据。
证据法实验报告(3篇)
第1篇实验报告篇一:电子证据提取与分析一、实验模块电子证据提取与分析二、实验标题电子证据提取与分析实验三、实验目的1. 掌握电子证据的提取方法。
2. 学习分析电子证据的技术手段。
3. 培养运用电子证据解决实际问题的能力。
四、实验日期、实验操作者实验日期:2021年10月15日实验操作者:张三、李四五、实验指导教师实验指导教师:王老师六、实验内容概述本实验旨在通过模拟实际案例,学习电子证据的提取与分析方法。
实验过程中,我们将对模拟的电子设备进行取证,提取相关证据,并对提取到的电子证据进行分析,以验证其真实性和有效性。
七、实验步骤1. 准备工作:将模拟的电子设备(如手机、电脑等)接入实验设备,确保设备正常工作。
2. 确定取证范围:根据实验要求,确定需要提取的电子证据类型,如短信、通话记录、图片、视频等。
3. 使用取证工具:选择合适的取证工具,如 Forensic Toolkit(FTK)、EnCase 等,对设备进行取证。
4. 提取电子证据:按照取证工具的操作指南,对设备进行取证,提取相关电子证据。
5. 分析电子证据:对提取到的电子证据进行分析,包括数据恢复、关键词搜索、时间线分析等。
6. 生成报告:根据分析结果,撰写实验报告,包括取证过程、分析结果、结论等。
八、实验环境1. 实验地点:实验室2. 实验设备:取证工作站、模拟电子设备、取证工具(FTK、EnCase等)3. 实验软件:取证工具软件(FTK、EnCase等)九、实验过程1. 准备工作:将模拟的电子设备接入取证工作站,确保设备正常工作。
2. 确定取证范围:根据实验要求,确定需要提取的电子证据类型,如短信、通话记录、图片、视频等。
3. 使用取证工具:选择FTK作为取证工具,按照操作指南对设备进行取证。
4. 提取电子证据:通过FTK软件,成功提取了模拟设备中的短信、通话记录、图片、视频等电子证据。
5. 分析电子证据:对提取到的电子证据进行分析,包括数据恢复、关键词搜索、时间线分析等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机取证技术实验报告学院:信息科学与工程学院班级:学号:姓名:指导老师:**目录目录 ------------------------------------------------------------------------------------------------------------------ 1 实验一事发现场收集易失性数据-------------------------------------------------------------------------- 2 实验二磁盘数据映像备份---------------------------------------------------------------------------------- 7 实验三恢复已被删除的数据------------------------------------------------------------------------------ 11 实验四进行网络监听和通信分析------------------------------------------------------------------------- 16 实验五分析Windows系统中隐藏的文件和Cache信息 --------------------------------------------- 20 实验六数据解密 ------------------------------------------------------------------------------------------------ 26 总结 ----------------------------------------------------------------------------------------------------------------- 28实验一事发现场收集易失性数据实验目的(1)会创建应急工具箱,并生成工具箱校验和。
(2)能对突发事件进行初步调查,做出适当的响应。
(3)能在最低限度地改变系统状态的情况下收集易失性数据。
实验环境和设备(1)Windows XP 或Windows 2000 Professional操作系统。
(2)网络运行良好。
(3)一张可用U盘(或其他移动介质)和PsTools工具包。
实验步骤及截图(1)将常用的响应工具存入U盘,创建应急工具盘。
应急工具盘中的常用工具有cmd.exe; netstat.exe;fport.exe;nslookup.exe 等(2)用命令md5sum创建工具盘上所有命令的校验和,生成文本文件commandsums.txt保存到工具盘中,并将工具盘写保护。
Windows上面没有这个命令(3)用time 和date命令记录现场计算机的系统时间和日期,第(4)、(5)、(6)、(7)和(8)步完成之后再运行一遍time 和date命令。
(4)用dir命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间。
(5)用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关,用ipconfig/all 命令获取更多有用的信息:如主机名、DNS服务器、节点类型、网络适配器的物理地址等。
(6)用netstat显示现场计算机的网络连接、路由表和网络接口信息,检查哪些端口是打开的,以及与这些监听端口的所有连接。
(7)用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。
(8)用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。
实验二磁盘数据映像备份实验目的(1)理解什么事合格的司法鉴定备份文件,了解选用备份工具的要求(2)能用司法鉴定复制工具对磁盘数据进行备份(3)查看映像备份文件的内容,将文件进行Hash计算,保证文件的完整性实验环境和设备(1)Windows XP或Windows 2000 Professional操作系统(2)网络运行良好。
(3)一张可用的软盘和外置USB硬盘实验步骤及截图(1)制作MS-DOS引导盘,给硬盘或分区做映像是提供干净的操作系统。
键入以下命令制作引导盘c:\format a:\ /sformat命令用法(并没有/s ?)软盘的根目录下至少有下面三个文件IO.SYS,COMMAND,COM,MSDOS.SYS(2)下载ghost应用软件存放到e盘,启动ghost.exe文件(3)使用ghost对磁盘数据进行映像备份,可以对磁盘某个分区或对整个银盘进行备份①对磁盘某个分区备份系统询问采用什么方式备份,选用high模式(高压缩率)②对整个硬盘进行备份(参见对某个分区进行备份的方法)③网络之间的映像备份在被攻击主机上选择Master,确定备份计算机名后,后面步骤与前面相似(4)用check选项对以生成的备份文件进行检查在ghost文件夹下打开ghostexp文件,可以看到展开映像后的所有文件列表(5)将映像文件Hash,以保证完整性实验三恢复已被删除的数据实验目的1.理解文件存放的原理,懂得数据恢复的可能性。
2.丁解几种常用的数据恢复软件如Easy Recovery和RecoveryMyFiles3.使用其中一种数据恢复软件、恢复已被删除的文件,恢复己被格式化磁盘上的数据。
实验环境和设备(1) Windows Xp或Winfjows 2000 Professional操作系统。
(2)数据恢复安装软件。
(3)两张可用的软盘(或U盘)和一个安装有Windows系统的硬盘。
实验步骤及截图(1)实验前的准备工作在安装数据恢复软件或其他软件之前,先在计算机的逻辑盘(如D盘)中创建四个属于你自己的文件夹,如:Bak F'ilel(存放第一张软盘上的备份文件)、LostFile1(存放恢复第一张软盘后得到的数据)BakFile2(存放第二张软盘上的备份文件)和LoFile2(存放恢复第二张软盘后得到的数据)注意:存放备份文件所在的逻辑盘(如D盘)与你准备安装软件所在的逻辑盘(如C盘)不要相同,因为如果相同,安装软件时可能正好把你的备份文件给覆盖掉了。
(2) EasyRecovery安装和启动这里选用Easy Recovery Professional软件作为恢复工具,点击Easy Recovery图标便可顺利安装,启动EasyRecovery应用程序,主界面上列出了Easy Recovery的所有功能:“磁盘诊断”、“数据恢复”、“文件修复”和“邮件修复”等功能按钮”在取证过程中用得最多的是“数据恢复”功能。
EasyRecovery安装和启动EasyRecovery的数据恢复界面(3)使用EasyRecovery恢复已被删除的文件。
①将准备好的软盘(或U盘)插入计算机中,删除上面的一部分文件和文件夹如果原有磁盘中没有文件和文件夹,可以先创建几个,备份到BakFilel文件夹下,再将它删除。
②点击“数据恢复”,出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮,选择“删除恢复”进行快速扫描,查找已删除的目录和文件,接着选择要搜索的驱动器和文件夹(A盘或U盘图标)。
出现所有被删除的文件,选择要恢复的文件输入文件存放的路径D:LostFilel,点击“下一步”恢复完成,并生成删除恢复报告。
EasyRecovery选择恢复删除的磁盘EasyRecovery扫描文件EasyRecovery扫描结果③比较BakFilel文件夹中删除过的文件与LoatFilel文件夹中恢复得到的文件,将比较结果记录下来。
查看需要恢复的文件保存需要恢复的文件实验四进行网络监听和通信分析实验目的(1)理解什么是网络证据,应该采取什么办法收集网络证据(2)了解网路监听和跟踪的目的,会用windump进行网络监听和跟踪(3)使用Ethereal软件分析数据包,查看二进制捕获文件,找出有效的证据实验环境和设备(1)windows XP 或windows 2000 Professional操作系统(2)网络运行良好(3)Winpcap、windump和Ethereal安装软件实验内容和步骤(1)windump的使用Windump在命令行下使用,需要winpcap驱动打开命令提示符,运行windump后出现:显示正常安装,以下查看参数开始捕获数据包,表示源地址和目的地址不采用主机名的形式而采用IP地址的形式(2)Ethereal(在这里,我使用wireshark,也是抓包工具)的使用(3)用windump和wireshark模拟网络取证①先telnet到一台没有开telnet服务的计算机上面,用两种软件同时抓包,查看捕获包的异同WindumpWireshark相比之下wireshark所捕获的包的种类更多,内容也更直观②使用haping工具模拟syn泛洪攻击,在被攻击的计算机上用windump或wireshark 捕获数据包使用XDOS攻击工具用wireshark可以看到大量syn向192.168.1.43发送实验五分析Windows系统中隐藏的文件和Cache信息实验目的(1)学会使用取证分析工具查看Windows操作系统下的一些特殊文件,找出深深隐藏的证据。
(2)学会使用网络监控工具监视Internet缓存,进行取证分析。
实验要求:(1)Windows Xp 或 Windows 2000 Professional 操作系统(2)Windows File Analyzer 和 CacheMonitor 安装软件一张可用的软盘(或u盘)实验步骤及结果(1)用Windows File Analyzer分析Windows 系统下隐藏的文件。
①用WFA读出Thumbs.db文件,查看其中内容②用index.dat Analyzer分析index.dat文件③用prefetch Analyzer挖出Prefetch文件夹中存储的信息④用Recycle Bin Analyzer打开特定文件夹中的快捷方式,显示回收站info2文件信息⑤用Shortcut Analyzer找出特定文件夹中的快捷方式并显示存储在它们里面的数据(2)用CacheMonitor监控Internet缓存(3)用WFA和CacheMonitor进行取证分析实验六数据解密实验目的(1)理解数据加密的原理,掌握常用的密码破解技术(2)打开已被加密的现场可以计算机,找到有效的证据证据(3)将犯罪嫌疑人的重要文件进行破解和分析实验环境和设备(1)windows XP 或windows 2000 Professional操作系统(2)一些常用密码破解工具(3)网络运行良好实验内容和步骤(1)用工具软件Cmospwd破解CMOS密码(2)通过删除Windows安装目录下的*.pwl密码文件和Profiles子目录下的文件,破解windows密码。