大学计算机基础实验报告(精选2篇)
作为安全维护人员,要想知道怎样最好的使用计算机取证工具首先要知道的是计算机取证工具应工作在万能的,灵活的,生命力旺盛的操作系统,文件系统的环境下,同时我们还应当掌握好我们所需要分析的应用文件的种类:如果我们要取证的对象具有从单一的功能成分到复杂的计算机系统和服务,我们就应当采用硬件取证工具;如果我们想要知道取证对象所输入的命令行,图形用户界面等,我们就需要采用软件取证工具。取证工具还应具有大容量或适宜容量的版本,其自动化功能要非常的理想,此外,还应确保我们所购买商品的卖主的名声要非常的好。这样才能保证计算机取证工具存活在一个非常健康的环境中,适当的发挥其作用。
一、评价使用计算机取证工具的需求
寻找万能的,灵活的,精力充沛的操作系统,文件系统,版本容量,自动化的功能,卖主的名声。
二、掌握好你所要分析的应用文件的种类
计算机取证工具的种类:硬件取证工具,从单一功能的成分到复杂的计算机系统和服务 软件取证工具:类型:命令行,图形用户界面:经常用于将数据从嫌疑人的光驱上变成图像文件。
专用的(SafeBack – Disk acquisition only),普遍的(Encase,FTK) Digital Intelligence UltraKit
Digital Intelligence F.R.E.D.(Forensic Recovery of Evidence Device) Digital Intelligence F.R.E.D.D.I.E Forensic Recovery of Evidence Device (Diminutive Interrogation Equipment)
Digital Intelligence FRED L
Digital Intelligence FRED Sr
Digital Intelligence FRED M
DIBS USA
三、计算机取证软件的工作
获取:为了得到罪犯不法记录的证据,计算机取证要求我们得到的可能是数据的逻辑或物理版本格式,或者是是用户图层界面,或者是命令行的获取,及远距离的信息获取。其中物理数据要求得到的是整个驱动装置的信息,逻辑数据是磁盘的部分信息。 计算机取证工具的用途:获取,验证和描述,抽取,重建,报告。
(一) 获取:
1、逻辑数据版本(copy)
(1)数据获取格式
(2)命令行获取
(3)图形用户界面获取
(4)远距离的 获取
2、校验
3、两种数据复制方法在软件取证中的应用
(1)整个磁盘的物理复制
(2)部分磁盘的逻辑复制
4、千变万化的磁盘取证形式
从原始数据到卖主专用的私有压缩数据。
5、使用任何十六进制的编辑器你都可以浏览到未经修改的文件夹的内容。
6、现在能买到的获取工具都是具有讲一个文件分割到好几个小部分的特征。
7、每一种计算机取证工具都有一种校验数据复制过程的功能。
(二)辨别和描述
1、验证
保证所复制的数据的完整性
2、数据的描述
包括分类和调查全部的调查数据
3、验证使所有的描述成为正确的
如果没有调查,那么你就不可能说明数据的作用
4、其他的一些功能
(1)哈希值
CRC-32, MD5, Secure Hash Algorithms
(2)过滤
建立在哈希值的`基础上的
(3)分析文件的标题
根据他们的类型对文件进行分类
(4)全国软件参考图书馆(NSRL)编写了已知的文件名单切细为各种各样OSs、应用和图象
(5)很多的计算机取证工具项目中包含一些普通的标题评估列表
如这样的文件:你可以很清楚一个文件具有这种文件扩展名是否正确
(6)大多数的取证工具能验证标题的评估过程
(三)抽取 ,析出
很多时候我们会问为什么要进行数据的抽取,下面是抽取数据的重要性
1、在计算机调查中恢复计算机原本的工作内容
2、有时候在调查的过程中需要掌握很多的工作内容
3、恢复数据往往在调查中是第一步
4、其他的一些作用
(1)数据浏览
在进行数据浏览的过程中,我们应知道
1.1数据被怎样的浏览时取决于我们使用的是什么样的工具
1.2磁盘间谍——逻辑结构
1.3装入/FTK——多样性浏览器
(2)关键字搜查
在关键字的搜索的过程中,是很容易就可以加快分析或调查的速度的,但是在使用关键字的搜索的过程中,我们也需要掌握:
2.1保证恢复关键字的准确性
2.2这个过程可能会非常的耗费时间并且很发杂
2.3必须明确使用的工具是否能完成直接搜索或调查
2.4使用索引可以提升搜索的速度(但是这需要更长的分析时间)
(3)解压,减压
这部分工作的内容如下:
3.1FTK能解压档案文件和封锁的文件,而装入技术却不行
3.2装入技术要求创建原本,而解压技术则没有此种规则
(4)刻录
下面是一些刻录的要求和内容以及其重要性
4.1重建已删除的文件中或其他的一些没有定位空间的图标的信息
4.2可能需要用到一些文件标题中的一些信息
(5)翻译,解密
下面是对解密技术的一些相关的技术要求:
5.1很有可能在文件上,隔离空间或磁盘上的一些数据等都很重要
5.2 许多密码补救工具有引起密码列出是潜在的一个特点(FTK) ,引起密码库的被攻击
5.3如果密码库遭到工具,你就可能会遭遇暴力攻击的经历
(6)作标签
在第一次找到证据的时候就在一下标签,以方便下来的引用或报告的工作
(四)重构,恢复机制
1、重新构建犯罪嫌疑人的驱动等来显示在犯罪或事故的时间段内,嫌疑人在干什么?
2、其他的一些功能
(1)磁盘对磁盘的复制
(2)镜像对磁盘的复制
(3)部分对部分的复制
(4)镜像对部分的复制
3、一些被用作于镜像对磁盘的工具
SafeBack,SnapBack,EnCase,FTK Imager,ProDiscover
(五)报告
1、为了完成对磁盘取证的分析和测试,我们需要建立一个报告
2、一些其他的作用
(1)原报告
(2)报告大概的事件
3、这份报告可以作为你调查的最终的报告结果
(六)计算机取证工具的一些其他的内容
1、考虑的内容
(1)灵活性
(2)可靠性
(3)可扩展性
(4)在你的工具中表留一个老版本的库
2、建立一个软件的库包括老版本的取证工具设施,操作系统和其他的一些项目
3、基本的一些策略:命令行,如DOS,LINIX/UNIX,或者图形用户界面
四、计算机软件取证工具
1、第一个可以从封装的粗盘里或硬盘中读取并分析数据的工具是用于IBM个人电脑的文件系统的MS-DOS工具
2、诺顿的磁盘编辑器
第一个MS-DOS工具用于计算机调查的一种工具。
3、优点
命令行工具需要很少的文件系统资源:在一种很小的形势下运行。
4、*NIX的命令行工具:此种工具收到越来越多的家庭用户的青睐,很多不同版本的操作系统可以使用。
5、*NIX取证工具
(1)NIX平台在很久之前就成为命令行操作系统的基础
(2)SMART:很多版本的LINUX可以被安装,linux可以分析很多SMART的文件系统,很多的插入设施要求敏捷度,SMART的十六进制浏览器中有一些其他的有用的选择。
(3)Helix:一种最简单开始适配器,你可以在一个活动的Windows系统下载它。
(4)Autopsy 是图形用户界面或者是浏览器用作于使用 SleuthKit’s的工具SleuthKit 是LINUX取证工具
(5)Knoppix-STD:一种安全措施,包括计算机或者网络取证的收集。
6、其他的图形用户界面取证工具
(1)计算机取证的调查分类
(2)帮助开始的调查
(3)他们大多数的是以一整套的工具出现的
(4)优点:很容易使用,可以多任务处理,没有必要学习旧的操作系统
(5)缺点:过度的需要资源,产生必然的一些问题,产生工具的依赖性
五、计算机硬件取证工具
为什么会产生计算机的硬件取证工具,相信很多的计算机取证人员都是相当的清楚地: 随着技术的变化的越来越快,硬件最终还是出现了问题,如日程安排上的设备的替代,当你计划你的预算时就要考虑如果硬件不再可以用,咨询和维护的费用,设备的更新的费用,这些都在一步步的将计算机硬件取证工具牵扯上计算机的取证的舞台。
六、取证的工作区或其环境
在安全维护人员熟悉了解计算机取证的不同的类型之后,还需要很好的掌握取证的工具,以便在不同的环境中选择最好最实用的取证设备,只有这样才能在损失或花费最小的情况下保证取得证据是准确的完整的。
(一)在考虑计算机取证前,我们在考虑取证的环境中我们需要做到以下的几点要求:
1、认真的想清楚我们到底需要的是什么?
2、得到的证据的形态:静态的;动态的,轻便的
3、衡量一下你所需要的和你的计算机系统可以处理的东西是否适应
(二)具体的集中取证的环境
1、警务处的实验室:需要非常多的选择,用几台个人的计算机的去构造
2、四人合作的实验室:衡量一下唯一的一种在组织中使用的系统的类型
3、除了一个软件实验室还要保留一个硬件实验室
(三)分析一下取证环境的程度
1、它并不是听起来那么具有难度
2、优点:满足你的需求的同时做到节省开支
3、缺点:很难找到问题支持的物件,如果你不小心,很有可能会造成很大的浪费
4、此外还必须认证你到底想要去分析的是什么,然后你工具你可以找到卖主去购买,当你的工具出现问题时卖主很可能解决你的燃眉之急
5、运用一个写阻止的工具:可以很容易的阻止使用者使用任何的写工具
(四)适用于取证工作区的一些推荐的方法
1、要知道你的数据获取要在什么地方进行
2、知道数据获取的技术:USB 2.0,firewire3
3、扩展设备需求,其中还必须使用电池来提供能量
4、如果你有受限制的预算,还将推荐你使用PCs等等一些其他的方法
七、取证的一些常见的工具
就目前来看,在遭受攻击的单位中,有很多人员还不知道自己遭受了攻击。许多人相信,主要的攻击来自于公司外部。其实,很多重大的损害来自于内部。人称祸起萧墙。
那么,安全人员面临的挑战就是如何找到这些攻击,并判断其进入系统的方法和途径。因为桌面用户用得最多的是Windows系统,所以我们要看几个可以针对这种系统进行取证的简单工具。
下面列举了国外五款著名免费计算机取证工具介绍
1、 Live View
使用此软件首要的一点是为用户的现有系统创建一个虚拟机,还要结合使用开源的Live View软件。此软件会检测用户的系统,如果没有检测到安装有Vmware Server 1.x或工作站版本的虚拟软件,它会为用户下载一个。
Live View是一个基于Java的图形化的取证工具,它可以创建原始磁盘映象或物理磁盘的一个 VMware虚拟机。它准许取证人员可以启动这个镜象或磁盘,并获得一个交互性的、用户级的环境视图。因为对磁盘的所有更改都被写往一个独立的文件,检查人员可以很快地恢复到磁盘的原始状态。其最终的结果是用户不需要创建额外的磁盘映象来构建虚拟机。 不过,目前此软件仅支持Windows 20__、XP、20__等系统,也Linux也仅是有限支持。
2、OpenFilesView
这是一款可以列示系统上所有基于本地或网络的文件。此软件只有区区82.88k,其安装后的界面如图:
此软件可穷举系统中的所有句柄。在过滤了非句柄之后,它使用临时设备驱动程序来从内核存储区读取每一个句柄。在用户从该软件退出之后,这个设备驱动程序又可以自动地将其从系统中释放。显然,在这一点上,这是其它的任务管理程序所不能及的。
如果用户试图删除或移动或打开一个文件时,收到了类似于下面的错误消息,那么此软件就极为有用:“无法删除*共享文件,源文件或目标文件正在使用”
此外,如果与网络连接的过程中,打开此软件可以监视网络进程,如果用户怀疑某进程有问题,可以在其上单击,如图:
软件对文件的多种属性进行了描述,如句柄、进程ID、删除共享等。在确信了某句柄是可疑句柄之后,可以单击“OK”按钮。再次在此文件上右击,选择“kill processes of selected files”。
4、Helix
此工具就是大名鼎鼎的Ubuntu Linux的定制版本。它不仅仅是一个可启动的CD工具,我们还可以通过它启动进入一个包含内核、优秀的硬件检测程序以及一些专用的事件响应和取证方面的应用程序。
它可被用于检查磁盘,看看有什么发生了变化。系统的取证关键是找到什么方面受到了损害。知道受到了攻击是一个方面,而找出这些攻击者对系统做了哪些手脚是至关重要的。这正是此工具的长处所在。其工作界面如下图所示:
八、总结
目前由于公司网络上拥有的珍贵资源,许多不法分子总是想方设法寻找漏洞,潜入系统作一些不法勾当。作为单位的安全工作人员需要时刻关注其单位是否遭受了损害或攻击。但有些损害或攻击是清楚可见的,而有些攻击却留下很少痕迹,为此必须使用一些取证工具去监视和获取所要的信息。而因为电子技术的日益发展,取证工具所使用的条件和环境也在发生大大小小的变化,为了更好的去获取信息,维护国家,公司或者是个人的利益,作为安全工作人员必须善于利用一些取证工具。力求用最短的时间精力去做到工作的最优化。
一、实验目的
1、掌握计算机系统的启动与关闭;
2、掌握常用输入设备、输出设备、存储设备的'用法。
3、掌握搜索引擎的使用;
4、掌握下载与解压缩的方法;
5、掌握软件安装的方法。
二、实验任务
1、启动与关闭计算机。
2、利用“键盘盲打练习”软件进行键盘的指法练习。
3、硬盘信息查询。
4、利用搜索引擎搜索成都商报,阅读当日报纸新闻。
5、利用下载工具FlashGet在网上下载“NetAnts”软件压缩包,利用压缩工具winRar解压缩该包,并安装该软件。
三、实验检查内容
1、能否热启动计算机
2、能否下载打字软件(辅导老师可协助将软件下载到教师机上,学生通过网上邻居获取)
3、能否安装打字软件
4、打字速度/分钟
5、查看C区总容量
6、查看磁盘整理程序对C区的分析报告,看是否需要整理
7、写出当日成都商报的头版头条标题
8、是否将NetAnts软件安装在D区