计算机取证技术5幻灯片.ppt

5.5 Windows取证工具 5.5.1 Encase 目前使用最为广泛的计算机取证工具软件。 功能包括：数据浏览、有哪些信誉好的足球投注网站、磁盘浏览、数据预览、建立案例、建立证据文件、保存案例等。 几大特色： 深入操作系统底层查看所有的数据 可以一次有哪些信誉好的足球投注网站所有介质 提示相关信息、添加标签、注释、导出格式为RTF的报告格式 图片浏览 对证据进行快捷、方便的有哪些信誉好的足球投注网站 5.5.2 ForecsicToolkit FTK可以提供在取证过程中证据收集、保存、提取、分析、报告的所有功能。 提供四种分析方法： 证据文件 本地驱动器 目录 单独文件 常用的分析包括E-mail的分析、被删除文件的恢复、具体文档的分析和检索功能。 实验二 磁盘数据映像备份 实验内容和步骤 （1）制作MS-DOS引导盘，给硬盘或分区做映像时提供干净的操作系统。在DOS提示符下键入以下命令来制作引导盘，并将引导盘写保护。 方法一 C:\format a:\/s或c:\sys a : 方法二 点击格式化---选上创建MS-DOS启动盘 软盘的根目录下应该至少有以下3个文件：IO.SYS \MSDOS.SYS\COMMAND,COM （2）下载ghost应用软件存放在A盘或其它盘上，但不要放在准备备份的硬盘或分区上。 （3）使用ghost对磁盘数据进行映像备份，既可以对磁盘的某个分区进行备份，又可以对整个硬盘进行备份，还可以进行网络之间的映像备份。 （4）在 备份 * 内容范畴 硬盘 0 面 0 道 1 扇区即逻辑 0 扇区, 称为硬盘保留区, 共有 512 个字节, 为主引导记录。 它包含的硬盘分区表使硬盘在几个操作系统之间进行分割。 包括组成文件或文件目录的数据 FAT文件系统使用一组簇组成数据单元。每个簇分配一个地址。 所有的簇都分布在文件系统的数据区域。 分析内容范畴是要确定某某些特定数据单元，确定这些数据单元的分配状况。 当我们需要确定在数据区之前的数据单元的地址时，我们需要使用扇区地址。 可以通过查看在FAT表中的entry来确定每个簇的分配情况。 元数据 元数据包括描述文件或目录的数据，内容存储的位置、时间、日期、权限。我们使用这个数据来获得文件或可疑目录的额外信息。 在FAT文件系统中，这些信息存储在目录项结构中。FAT结果也用来存储关于文件或目录布局的元数据信息。 只有已经分配的目录项才有一个完整的地址，这个地址包括路径和文件名。 为了关联所有文件分配的簇，我们使用目录项的开始簇和FAT结构来定位其它的簇。 文件名 长文件名依然是记录在目录项中的。为了使低版本的操作系统或程序能正确读取长文件名文件，系统自动为所有长文件名文件创建了一个对应的短文件名。 长文件名的实现有赖于目录项偏移为0xB的属性字节。 系统将长文件名以13个字符为单位进行切割，每一组占据一个目录项，所以可能一个文件需要多个目录项，这时长文件名的各个目录项按倒序排列在目录表中。 长文件名中的字符采用Unicode形式编码，每个字符占据两字节的空间。 长文件名中并不存储对应文件的文件开始簇、文件大小、各种事件和日期属性。文件的这些属性还是存放在端文件名目录项中。 一个长文件名总是和其相应的短文件名一一对应，短文件名没有了长文件名还可以读，但长文件名如果没有对应的短文件名，不管什么系统都将忽略其存在。，所以短文件名是至关重要的。 长文件名的0xD校验和起很重要的作用，此校验和是用短文件名的11个字符通过一种运算方式来得到的。系统根据相应的算法来确定相应的长文件名和短文件名是否匹配。 5.2.2 日志文件 Windows操作系统维护三个相互独立的日志文件：系统日志、应用程序日志、安全日志。同时还有DNS日志、防火墙日志、HIDS日志、NIDS日志等。 日志保存的默认位置 以上日志在注册表里的键 有些管理员很可能将这些日志重新定位 HIDS全称是Host-based Intrusion Detection System，即基于主机型入侵检测系统。作为计算机系统的监视器和分析器，它并不作用于外部接口，而是专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态。由于HIDS动态地检查网络数据包这一特性，它可以检测到哪一个程序访问了什么资源以及确保文字处理器（Word-Processor）不会突然的、无缘无故的启动并修改系统密码数据库。同样的，不管是往内存、文件系统、日志文件还是其它地方存储信息，HIDS会一直监控系统状态，并且核对他们是否还预期相同。 IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结