网络空间安全概论 实验9 内存取证实验样例2.docx

实验二内存取证

一、实验目的

1、掌握通过命令指令取证，并熟悉基本的取证信息；

了解计算机系统取证基本方法，并结合Sysinternals工具进行取证；

二、实验内容

通过CMD和Sysinternals工具结合使用，从计算机内存中获得系统当前时间日期，系统信息，handle，PsPasswd,listdlls，PsGetSid，PsInfo，Pskill，PsList，PsLoggedOn，PsLogList，PsService，PsShutdown，PsSuspend，PsFile，arpfport，ipconfig，nbtstat，Netstat，SC，string等内存信息。

通过volati

三、实验步骤

下载sysinternals工具/zh-cn/sysinternals/；开始——运行——键入“cmd”——结合sysinternals工具对系统进行取证。

四、实验操作内容

（一）、实验指导书部分

1、输入date/t取证系统当前的日期

输入time/t获取系统当前时间

图2-1

2、利用取证软件里面的应用PsPasswd，可以进行账户密码等修改

图2-2

3、PsInfo 用于收集有关本地或远程WindowsNT/2000系统的关键信息，包括安装类型、内核生成、已注册的组织和所有者、处理器数量及其类型、物理内存量、系统的安装日期，以及是否为试用版。

用法：psinfo[[\\computer[，computer[,..]|@file[-u用户

[-ppsswd]]][-h][-s][-d][-c[-t分隔符]]筛选器

图2-3

4、Autoruns 查看在系统启动并登录时，哪些程序被配置为自动启动。Autoruns.exe还显示了应用程序可在其中配置自动启动设置的注册表和文件位置的完整列表。由于我是在虚拟机中进行的实验，所以有VMware软件。

图2-4

5、Handle这一方便的命令行实用程序将向你显示哪些进程打开了哪些文件，可以看到程序自身的打开文件对的信息，将存放的桌面文件开了。

图2-5

6、ListDLLs是一种实用程序，用于报告加载到进程中的Dll。可以使用它来列出加载到所有进程中的所有Dll、特定进程或列出已加载特定DLL的进程。可以看到程序OneDrive.exe所加载的动态链接库，如下图所示。

图2-6

7、ipconfig一般用来检验人工配置的TCP/IP设置是否正确,可以看到主机的ip为34，默认网关为

图2-7

8、nbtstat 用于查看在TCP/IP协议之上运行NetBIOS服务的统计数据，并可以查看本地远程计算机上的NetBIOS名称列表

图2-8

9、SC是用来与服务控制管理器和服务进行通信的命令行程序。使用scquery命令枚举活动服务和驱动程序的状态，设备OneSyncSvc_54fab活动服务和驱动程序状态如下图所示：

图2-9

10、PsGetSid——显示电脑或使用者的SID，可以看到当前实验电脑的SID为：S-1-5-21-1491202311-4167021982-3056694813

图2-10

11、PsInfo——取得有关系统的资讯，可以看到内核版本为：Windows10HomeChina,MultiprocessorFree

图2-11

12、PsList——显示处理程序和执行绪的相关资讯，使用命令Pslist-t将进程的信息以树形打印出来，可以看到进程medge的Pid号为2148

图2-12

13、PsKill——终止本机或远端处理程序，利用次命令关闭上一步查询到的medge进行，输入命令pskill2148.进程成功被关闭，在界面上浏览器也成功被关闭。

图2-13

14、PsLoggedOn——显示使用者登录至一个系统，可以看到用户上一次的登录时间为4/1814：22：56

图2-14

15、PsService是用于Windows的服务查看器和控制器。与WindowsNT和Windows2000资源工具包中包含的SC实用工具一样，PsService显示服务的状态、配置和依赖项，并允许你启动、停止、暂停、恢复和重新启动服务。

图2-15

16、PsLogList允许您在当前安全凭据集不允许访问事件日志的情况下登录到远程系统，PsLogList从所查看的事件日志所在的计算机中检索消息字符串。

图2-16

17、PsShutdown——关机及选择重新启动电脑，可以看到该程序有许多参数可以使用，如下所示。

图2-17

18、PsSuspend使你可以挂起本地或远程系统上的进程，这在进程使