实验：取证基础知识应用.doc

下载文档

16
0
约2.09千字
约 4页
2017-03-27 发布于重庆
举报
版权申诉
保障服务

实验：取证基础知识应用.doc

1、本文档共4页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

实验：取证基础知识应用

一、注册表的检验实验目的：通过本次实验，使学生熟悉常用的注册表键值。实验准备学生在做此次所有实验内容前，需要在自己的机器上进行如下操作，作为实验素材。 1．在IE地址栏分别输入任意2个网址，并浏览查看。 2 点击[开始]/[运行]，分别执行regedit、msconfig、eventvwr命令。 3．依次点击[开始]/[有哪些信誉好的足球投注网站]/[文件或文件夹]，并执行2次有哪些信誉好的足球投注网站任务（有哪些信誉好的足球投注网站内容自己定，例如可以有哪些信誉好的足球投注网站C盘所有bmp图片或者包含有***内容的文件）。 4．打开并简单查看“**.pdf”。 5、将U盘插入到自己的主机上。实验内容：学习注册表信息的查看。对于每个注册表项的内容，要截图并粘贴到实验报告的相应位置。 1.HKCU＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼ComDlg32\OpenSaveMRU 通过标准的文件“打开／保存”对话框所操作文件的历史记录。 2．HKCU＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼RecentDocs 通过Windows资源管理器打开或者运行的最近的文件。 3．HKCU＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼RunMRU 通过[开始]-[运行]方式执行的命令 4.HKLM＼Software＼Microsoft＼Windows＼CurrentVersion＼Uninstall 安装程序 5．HKLM＼Software＼Microsoft＼Windows＼CurrentVersion＼Run 自动运行的程序 6．HKLM＼system＼CurrentControlSet\ Services Windows的服务程序 7．HKLM＼SYSTEM＼CurrentControlSet＼Services\Tcpip＼Parameters＼Interfaces＼GUID 每个网卡最后设置的IP地址和默认网关 8．HKCU＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼UserAssist 曾经访问过的网站和打开过的快捷方式 9、HKCU＼Software＼Microsoft＼Internet Explorer＼TypedURLs 地址栏中键入的URL地址和文件路径 10.HKLM＼SYSTEM＼ControlSet002＼Enum＼USB 保存了包括移动存储设备在内的所有USB设备 11．HKLM＼SYSTEM＼ControlSet001＼Enum＼USBSTOR 本计算机上曾经使用过的所有USB设备二、易失数据的提取实验目的：通过本次实验，使学生掌握计算机易失数据的提取与固定方法。实验准备学生在做此次所有实验内容前，需要在自己的机器上进行如下操作，作为实验素材。 1．在IE地址栏分别输入任意2个网址，并浏览查看。 2．随机打开本地计算机上的几个程序，不要关闭。 3．打开几个文件，并关闭。实验内容：一、用相关软件有哪些信誉好的足球投注网站并提取计算机系统的信息。 1.主机信息提取分别获取本机主机信息、进程信息、安装软件等信息。截图 2.常见缓冲区有哪些信誉好的足球投注网站有哪些信誉好的足球投注网站包括IE下拉地址栏、系统运行栏记录、有哪些信誉好的足球投注网站文件和计算机、打开/保存栏历史记录、IE历史纪录、最近使用的文档、IE缓存、IE Cookies和系统临时目录等使用信息，并将结果保存为“缓冲区结果.txt”。并将保存结果的文件进行数字签名，并记录下签名结果。二、学习常用计算机系统易失数据提取工具的使用方法。当对遇到一些命令用法不熟悉时，要学会用“命令 /？”的方法获得帮助。用IPCONFIG /ALL命令查看你机器的IP地址、网卡地址。截图并粘贴到实验报告的相应位置。用PSLIST命令查看你电脑中运行的所有进程，并查看任意一个进程的进程名、进程号、进程正在使用的内存量所用时间Net Start命令显示已启动服务的列表netstat –n命令查看你电脑的网络连接状态。截图并粘贴到实验报告的相应位置。用“Date /t”和“time /t”命令查看你机器的系统日期和时间。截图并粘贴到实验报告的相应位置。做一个批处理文件a.BAT，能够完成上述全部功能，并把得到的相关信息保存到文本文件1.TXT里。将a.BAT内容截图并粘贴到实验报告的相应位置。（a.bat的存放位置要和其他命令在同一文件夹下）用MD5SUM对1.TXT文本文件内容进行校验，并记录下MD5校验值。命令格式：MD5SUM filenamefilename.md5 对1.tx