0803实操-数字取证
易失性数据收集
创建应急工具箱,并生成工具箱校验和,能在最低限度地改变系统状态的情况下收集易失性数据。
数据箱
使用md5sums.exe对工具目录中的所有文件进行计算
获取计算机本地日期和时间。输入命令date/t>timefront.txt和命令time/t>>timefront.txt将获取的日期和时间存储在timefront.txt文档中
执行下列命令并保存结果为txt
systeminfo>systeminfo.txt获取系统概要文件
netstat-a>netstat.txt获取所有网络连接和侦听端口信息
ipconfig>ipconfig.txt获取计算机的TCP/IP配置
psInfo.exe > psinfo.txt建立系统概要文件
生成的psinfo.txt文档中包括系统信息(系统安装时间、内存大小、CPU频率和品牌、操作系统类型等)和软件信息。输入命令netstat-a>netstat.txt获取所有网络连接和侦听端口信息,并保存在netstat.txt文档中。生成的netstat.txt文档内容如下。
PsLoggedOn.exe获取本地和远程登录的用户信息
取证结束后
再次计算取证tools文件夹的MD5散列值。使用命令md5sumsC:\Users\Administrator\Desktop\tools>md5back.txt,将散列值存储在md5back.txt文档中。该文档与md5front.txt进行比较从而判断这些文件是否发生改变。
再次获取本地日期和时间。使用命令date/t>timeback.txt和命令time/t>>timeback.txt获取的日期和时间存储在timeback.txt文档中
取证中可以根据需要对易失性数据进行收集记录,并且保全数据从而达到证据证明力的最大化。
浏览器取证
网页浏览活动经常需要调查的内容主要有:上网访问历史记录(访问过的站点地址列表、次数、最后访问时间等)、缓存(Cache)、Cookies、收藏夹(Favorites)。不同的IE浏览器版本存在一些细微的差异,IE浏览器从版本IE5~IE9采用了相同的工作机制及数据存储方式,IE10以上版本则采用了全新的存储机制。Firefox浏览器的数据存储采用的是SQLite数据库,因此可用SQLite数据库查看工具打开该文件进行SQL语句查询查看数据库中的数据
