计算机取证技术作业.docx
- 文档编号:11232564
- 上传时间:2023-02-25
- 格式:DOCX
- 页数:32
- 大小:763.97KB
计算机取证技术作业.docx
《计算机取证技术作业.docx》由会员分享,可在线阅读,更多相关《计算机取证技术作业.docx(32页珍藏版)》请在冰豆网上搜索。
计算机取证技术作业
计算机取证技术
第一次作业
[开机取证:
数据搜集]
指导教师:
董振兴
学生姓名:
杨莹莹
学号:
07130204
班级:
0440702
专业:
信息安全
学院:
计算机科学与技术学院
系统时间
事件调查过程中,首先要获取的信息包括系统时间。
系统时间为以后获取的数据信息构建了时间上下文环境,并且会为系统事件时间线的正确分析提供帮助。
系统时间systemtime
运行时间uptime
真实时间
时区设置
当前登录用户
调查过程中,有时需要知道系统的当前登录用户是谁,包括本地登录用户(通过控制台或键盘登录)和远程登录用户(通过netuse命令或共享)。
登录用户为收集的其他系统信息提供了上下文线索,例如,运行进程的用户上下文、文件宿主、文件最后访问事件等。
Psloggedon.exe
netsessions
logonsessions.exe
Netusers.exe
打开的文件
如果通过psloggedon找到有用户远程登录到系统中,那么同时也要了解该用户打开了什么文件。
远程登录的用户总是要执行一些命令或者打开文件。
Netfile
Psfile.exe
Openfiles.exe
网络信息
入侵者获得访问权限后,有时想要知道网络中还有哪些其他系统可以通过被入侵的系统访问。
如果通过netbios通信和其他系统建立了连接(如共享),系统将会维护一个连接过的系统名字列表,通过查看缓存的名字列表,调查人员可以知道哪些系统已经受到影响。
Nbtstat
-a
-A
-c
-n
-r
-R
-S
-s
-RR
网络连接
一旦发生了安全事件,就应该收集针对被影响系统的网络连接信息。
随着时间的流逝,连接信息会慢慢过期,时间越久,丢失的信息越多。
netstat
进程信息
调查人员对可能的被入侵系统的运行进程信息总是应该很关注。
通过任务管理器查看进程信息时,可以看到每个进程的一些信息,不过,很多需要收集的信息并不能通过任务管理器看到,例如“
可执行文件的全路径
启动进程时的命令行参数信息
进程运行的时间
进程运行的安全/用户上下文环境
进程加载了哪些模块
进程的内存数据内容
Tlist.exe
Tasklist.exe
Pslist.exe
Listdlls.exe
Handle.exe
Pulist.exe
进程到端口的映射
系统中存在打开的网络连接的时候,一定是有进程在使用这个连接,即,每一个网络连接和开放的端口都有进程相关联。
Netstat
Fport.exe
Openports.exe
进程内存
开机系统会有一系列的运行进程,本质上任何一个进程都可能具有恶意性。
当系统中的进程运行时,进程名基本上会和执行程序的文件名一致。
有人会用正常程序的名字伪装。
一旦发现并确定了可疑进程,调查员就需要知道该进程的更多信息,可以通过获取进程的内存得到。
Lsproc
Lspd
…
网络状态
系统中网卡连接的状态。
Ipconfig
Promiscdetect.exe
Promqry.exe
Ndis.exe
剪贴板内容
剪贴板是暂时存放数据的内存区域,其中的数据可以再次使用。
Pclip.exe
服务/驱动信息
根据注册表中的配置,在系统启动的时候服务和驱动也会自动启动。
大部分用户不会看到系统中作为进程运行的这些服务,因为进程中并没有服务的明显标志,但服务肯定在运行。
一些恶意软件会将自己安装为服务,甚至是系统驱动。
Svc.exe
命令行历史
假设一个计算机调查现场,系统正开着且可以看到屏幕上有几个命令行窗口。
这种情况下,线索可能就在用户输入的命令行中,如ftp或ping。
Doskey/history
映射的驱动器
调查过程中,也许需要掌握系统中映射的驱动器或共享来自哪里。
映射可能由用户创建,可能出自不良意图。
更进一步,也许从文件系统或注册表中不能发现这些映射的共享连接信息,不过这些驱动器映射动态信息还是可以与前面获取的网络连接信息相关联。
Di.exe
共享
获取系统中共享给网络的资源。
注册表
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\Shares
Share.exe
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 取证 技术 作业