USB迷 | 专注于互联网分享

    最新消息: USBMI致力于为网友们分享Windows、安卓、IOS等主流手机系统相关的资讯以及评测、同时提供相关教程、应用、软件下载等服务。
    你的位置: 首页 > 业界 > Windows环境取证

    Windows环境取证

    业界 admin 9浏览 0评论

      当前多数个人计算机使用微软的操作系统平台,所以计算机取证调查人员应通过掌握微软的系列文件来了解Windows和DOS操作系统下,计算机储存文件的方式。尤其是引导过程、FAT系列和NTFS的相关知识。操作系统储存文件的方式决定了隐藏数据的位置。当以取证调查为目的检查一台计算机时,就需要找到这些隐藏位置,检查是否隐含了能作为犯罪或违规证据的文件或文件片段。

    实验内容

    FTK Imager展开计算机取证:

    实验过程与结果(可贴图)

    一、利用FTK Imager 进行取证复制

    1、开启FTK Imager的磁盘备份创建模块

    2、打开镜像创建界面

    3、镜像格式选择

    4、证据信息输入界面

    5、镜像目的对话框

    6、AD加密凭据

    7、完成设置的镜像创建

    8、FIK Imager 进行镜像验证

    9、FTK Imager的取证镜像验证结果

    10、FTK Imager进行取证镜像制作后生成的文件

    11、FTK Imager的磁盘文件和目录初步分析结果

    二、利用X-Ways Forensics进行取证复制

    1、开启X-Ways Forensic的磁盘备份创建模块

    X-Ways Forensic展开计算机取证

    1. 打开镜像创建界面

    3、镜像格式选择

    4、证据信息输入界面

    5、镜像目的对话框

    6、AD加密凭据

    7、完成设置的镜像创建

    8、X-Ways Forensic 进行镜像验证

    9、X-Ways Forensic 的取证镜像验证结果

    10、X-Ways Forensic 进行取证镜像制作后生成的文件

    1. X-Ways Forensic 的磁盘文件和目录初步分析结果

    • Windows注册表调查

    1、打开可信任的CMD.exe文件,并存储在指定目录中

    2、使用reg命令将注册表中的项目输出并存储在指定目录中

    1. 使用MD5工具固定证据

    使用windows powershell自带MD5:

    4、使用diskgenius工具查看注册表信息

    • Windows文件目录调查

    1、自启动目录。

    以winXP举例。由于winXP没有安装任何应用,所有目录下为空。

    2、Windows系统中的重要目录。

    以WinXP为例主要在主目录、Documents and Settings目录和 Windows目录。

    以Win10为例主要为windows目录。

    • Windows日志调查
    1. 事件日志的调查

    查看事件日志的标准机制是使用事件查看器,通过cmd运行eventvwr可启动。

    2、网络日志的调查

    (1)查看winXP防火墙日志

    防火墙日志默认是关闭的,需要自行打开。在cmd运行firewall.cpl

    打开完成,进入windows目录即可查看。

    (3)HTTP日志。存放于windows\System32\Logfiles文件夹中,其中HTTPERR目录仅记录错误信息。

    • Windows的进程和网络痕迹调查

    1、系统进程

    2、用户进程

    3、开始运行处进程

    1. 进程查看

    pslist列出系统正在运行的进程状况:

    netstat列出系统当前连接状况:

      当前多数个人计算机使用微软的操作系统平台,所以计算机取证调查人员应通过掌握微软的系列文件来了解Windows和DOS操作系统下,计算机储存文件的方式。尤其是引导过程、FAT系列和NTFS的相关知识。操作系统储存文件的方式决定了隐藏数据的位置。当以取证调查为目的检查一台计算机时,就需要找到这些隐藏位置,检查是否隐含了能作为犯罪或违规证据的文件或文件片段。

    实验内容

    FTK Imager展开计算机取证:

    实验过程与结果(可贴图)

    一、利用FTK Imager 进行取证复制

    1、开启FTK Imager的磁盘备份创建模块

    2、打开镜像创建界面

    3、镜像格式选择

    4、证据信息输入界面

    5、镜像目的对话框

    6、AD加密凭据

    7、完成设置的镜像创建

    8、FIK Imager 进行镜像验证

    9、FTK Imager的取证镜像验证结果

    10、FTK Imager进行取证镜像制作后生成的文件

    11、FTK Imager的磁盘文件和目录初步分析结果

    二、利用X-Ways Forensics进行取证复制

    1、开启X-Ways Forensic的磁盘备份创建模块

    X-Ways Forensic展开计算机取证

    1. 打开镜像创建界面

    3、镜像格式选择

    4、证据信息输入界面

    5、镜像目的对话框

    6、AD加密凭据

    7、完成设置的镜像创建

    8、X-Ways Forensic 进行镜像验证

    9、X-Ways Forensic 的取证镜像验证结果

    10、X-Ways Forensic 进行取证镜像制作后生成的文件

    1. X-Ways Forensic 的磁盘文件和目录初步分析结果

    • Windows注册表调查

    1、打开可信任的CMD.exe文件,并存储在指定目录中

    2、使用reg命令将注册表中的项目输出并存储在指定目录中

    1. 使用MD5工具固定证据

    使用windows powershell自带MD5:

    4、使用diskgenius工具查看注册表信息

    • Windows文件目录调查

    1、自启动目录。

    以winXP举例。由于winXP没有安装任何应用,所有目录下为空。

    2、Windows系统中的重要目录。

    以WinXP为例主要在主目录、Documents and Settings目录和 Windows目录。

    以Win10为例主要为windows目录。

    • Windows日志调查
    1. 事件日志的调查

    查看事件日志的标准机制是使用事件查看器,通过cmd运行eventvwr可启动。

    2、网络日志的调查

    (1)查看winXP防火墙日志

    防火墙日志默认是关闭的,需要自行打开。在cmd运行firewall.cpl

    打开完成,进入windows目录即可查看。

    (3)HTTP日志。存放于windows\System32\Logfiles文件夹中,其中HTTPERR目录仅记录错误信息。

    • Windows的进程和网络痕迹调查

    1、系统进程

    2、用户进程

    3、开始运行处进程

    1. 进程查看

    pslist列出系统正在运行的进程状况:

    netstat列出系统当前连接状况:

    继续浏览有关 的文章

    与本文相关的文章

    发布评论

    评论列表 (0)

    1. 暂无评论