1、計算機取證技術實驗報告學院：信息科學與工程學院班級：學號：姓名：張健指導老師：目錄TOC o 1-5 h z目錄0 HYPERLINK l bookmark4 o Current Document 實驗一事發現場收集易失性數據1 HYPERLINK l bookmark16 o Current Document 實驗二磁盤數據映像備份6 HYPERLINK l bookmark38 o Current Document 實驗三恢復已被刪除的數據1-0- HYPERLINK l bookmark52 o Current Document 實驗四進行網絡監聽和通信分析1-5- HYPERLINK

2、l bookmark110 o Current Document 實驗五分析Windows系統中隱藏的文件和Cache信息1-9 HYPERLINK l bookmark126 o Current Document 實驗六數據解密2-5-總結2-7-創建工具盤上所有命令的校驗和，生成文本文件commandsums.txt保具盤寫保護。實驗一事發現場收集易失性數據實驗目的（1）會創建應急工具箱，并生成工具箱校驗和。（2）能對突發事件進行初步調查，做出適當的響應。（3）能在最低限度地改變系統狀態的情況下收集易失性數據。實驗環境和設備（1）WindowsXP或Windows2000Professio

3、nal操作系統。（2）網絡運行良好。（3）一張可用U盤（或其他移動介質）和PsTools工具包。實驗步驟及截圖（1）將常用的響應工具存入U盤，創建應急工具盤。應急工具盤中的常用工具有cmd.exe;netstat.exe；fport.exe；nslookup.exe等存到工具盤中，并將工Windows上面沒有這個命令（3）用time和date命令記錄現場計算機的系統時間和日期，第（4）、（5）、（6）、（7）和（8）步完成之后再運行一遍time和date命令。用dir命令列出現場計算機系統上所有文件的目錄清單，記錄文件的大小、訪問時間、修改時間和創建時間。用ipconfig命令獲取現場計算機的

4、IP地址、子網掩碼、默認網關，用ipconfig/all命令獲取更多有用的信息：如主機名、DNS服務器、節點類型、網絡適配器的物理地址等。C：ipconigUindowsIPConfigurationEthernetadapter本地連接二Connection-specificDNSSuffix.:IPAddress:192.168_1_13SubnetMask:255.255_255_0DefaultGateway:6)用netstat顯示現場計算機的網絡連接、路由表和網絡接口信息，檢查哪些端口是打開的，以及與這些監聽端口的所有連接。(7)用PsTools工具包中的PsLoggedOn命令查

5、看當前哪些用戶與系統保持著連接狀態。(8)用PsTools工具包中的PsList命令記錄當前所有正在運行的進程和當前的連接。實驗二磁盤數據映像備份實驗目的理解什么事合格的司法鑒定備份文件，了解選用備份工具的要求能用司法鑒定復制工具對磁盤數據進行備份查看映像備份文件的內容，將文件進行Hash計算，保證文件的完整性實驗環境和設備(1)WindowsXP或Windows2000Professional操作系統(2)網絡運行良好。(3)張可用的軟盤和外置USB硬盤實驗步驟及截圖制作MS-DOS引導盤，給硬盤或分區做映像是提供干凈的操作系統。鍵入以下命令制作引導盤c:formata:/sformat命令

6、用法(并沒有/s？)C：formata：X/s無奴參數-Zs軟盤的根目錄下至少有下面三個文件IO.SYS,COMMAND,COM,MSDOS.SYS2)下載ghost應用軟件存放到e盤，啟動ghost.exe文件(3)使用ghost對磁盤數據進行映像備份，可以對磁盤某個分區或對整個銀盤進行備份對磁盤某個分區備份SymantecGhost11.0.2Copyright(C)1998-2007SymantecCorporation.RIIrightsreserved.OptionsHelpQui+LucalPeertopeerGhci5+Ca5+UPartitionCheckUC-壬七ToPart

7、itionToImageFromImage系統詢問采用什么方式備份，選用high模式（高壓縮率）ProgressIndicatorSymantecChostTUpe：7LHTFSL40946HB2321HBused,fromLocaldriveC1L40960HBLocalfileE:SystemVolumeInformationVCDROOOO1.GH0Std+isticsPercentcompleteSpeed(MB/min)MBcopiedMBremainingTimeeljpsHiJTimeremainingDetailsCorinectiontypSourcePartitionDes

8、+ina+io仃filmCurrentfile對整個硬盤進行備份（參見對某個分區進行備份的方法）網絡之間的映像備份在被攻擊主機上選擇Master，確定備份計算機名后，后面步驟與前面相似(4)用check選項對以生成的備份文件進行檢查在ghost文件夾下打開ghostexp文件，可以看到展開映像后的所有文件列表匸ghostexp-記事本文件()編輯(1)格式(0)查看(V)幫助UindousRegistryEditorUersionS.00HKEVCLASSESROOT.gho=,GhostHKEV_CLASSES_ROOTGhost=Ghost映像文件“HKEV_CLASSES_ROOTGho

9、stshellHKEV_CLASSES_ROOTGhostshellopenHKEV_CLASSES_ROOTGhostshellopencoimiand=C:doshghosGhostexp.exeHKEV_CLflSSES_ROOTApplicationsGhostexp.exeHKEV_CLflSSES_ROOTApplicationsGhostexp.exeshell(5)將映像文件Hash，以保證完整性實驗三恢復已被刪除的數據實驗目的理解文件存放的原理，懂得數據恢復的可能性。丁解幾種常用的數據恢復軟件如EasyRecovery和RecoveryMyFiles使用其中一種數據恢復軟件、

10、恢復已被刪除的文件，恢復己被格式化磁盤上的數據實驗環境和設備WindowsXp或Winfjows2000Professional操作系統。數據恢復安裝軟件。兩張可用的軟盤(或U盤)和一個安裝有Windows系統的硬盤。實驗步驟及截圖(1)實驗前的準備工作在安裝數據恢復軟件或其他軟件之前，先在計算機的邏輯盤（如D盤）中創建四個屬于你自己的文件夾，如：BakFilel（存放第一張軟盤上的備份文件）、LostFilel（存放恢復第一張軟盤后得到的數據）BakFile2（存放第二張軟盤上的備份文件）和LoFile2（存放恢復第二張軟盤后得到的數據）注意：存放備份文件所在的邏輯盤（如D盤）與你準備安裝軟

11、件所在的邏輯盤（如C盤）不要相同，因為如果相同，安裝軟件時可能正好把你的備份文件給覆蓋掉了。（2）EasyRecovery安裝和啟動這里選用EasyRecoveryProfessional軟件作為恢復工具，點擊EasyRecovery圖標便可順利安裝，啟動EasyRecovery應用程序，主界面上列出了EasyRecovery的所有功能：“磁盤診斷”、“數據恢復”、“文件修復”和“郵件修復”等功能按鈕”在取證過程中用得最多的是“數據恢復”功能。EasyRecovery安裝和啟動快速啟動高級恢復刪除恢復原始恢復萱找并恢復衛聊除的女叱K含懺何立宀系統結枸信思的恢復緊急引導盤創建累急弓導盤繼壤恢復繼

12、績已保行泊數據恢境會詡格式化恢復處已搭式化的卷中恢復殳.叱數據恢復使冃高級選項來口定交數據恢復EasyRecovery的數據恢復界面（3）使用EasyRecovery恢復已被刪除的文件。將準備好的軟盤（或u盤）插入計算機中，刪除上面的一部分文件和文件夾如果原有磁盤中沒有文件和文件夾，可以先創建幾個，備份到BakFilel文件夾下，再將它刪除。點擊“數據恢復”，出現“高級恢復”、“刪除恢復”、“格式化恢復”和“原始恢復”等按鈕，選擇“刪除恢復”進行快速掃描，查找已刪除的目錄和文件，接著選擇要搜索的驅動器和文件夾（A盤或U盤圖標）。出現所有被刪除的文件，選擇要恢復的文件輸入文件存放的路徑D：Los

13、tFilel,點擊“下一步”恢復完成，并生成刪除恢復報告。EasyRecovery選擇恢復刪除的磁盤EasyRecovery掃描文件EasyRecovery掃描結果比較BakFilel文件夾中刪除過的文件與LoatFilel文件夾中恢復得到的文件，將比較結果記錄下來。查看需要恢復的文件Da逢中熬崗菱BlifI沖立樣-產IVF-SH胃IJfifiBi*IFA-i&ff-Aa*R：:目:昌于rywjis：1Fmeiir-r住技密士件ipIH己牙遲g工不1瑋兗苗抖：tKD-QLjkhtlifI口Citllfi-Ot-：|-2l-5tf?2M4：-_JtrtlW.WX的純址障:佩春也的應：Kd/t諂I

14、實驗四進行網絡監聽和通信分析實驗目的理解什么是網絡證據，應該采取什么辦法收集網絡證據了解網路監聽和跟蹤的目的，會用windump進行網絡監聽和跟蹤使用Ethereal軟件分析數據包，查看二進制捕獲文件，找出有效的證據實驗環境和設備(1)windowsXP或windows2000Professional操作系統網絡運行良好(3)Winpcap、windump和Ethereal安裝軟件實驗內容和步驟(1)windump的使用Windump在命令行下使用，需要winpcap驅動打開命令提示符，運行windump后出現:顯示正常安裝，以下查看參數C:XDocumentskjindumpuersion3

15、.9.5,basedontcpdumpuersion3.9.5-hRJinPcapuersion4.1.3(packet_dlluersion980,basedonlibpcapuersi1.0branchl_0_rel0bUsage:windumpL-aAdDefILnNOpqRStuUuxX-BsizeL-ccount-Cfile_size-Ealgo:secretL-Ffile-iinterfaceL-Msecret-rfileJ-ssnaplen一Ttype一wfile-Wfilecount-ydatalinktype一込iisevexpression開始捕獲數據包，表示源地址和目的地

16、址不采用主機名的形式而采用IP地址的形式00:51:13.723889IP.5362752.5355：UDP,length2400:51:13.809217IP26.8029.1258：SF1240149564:1249564ack2318426184uin6424000:51:13.909386IP26.8029.1258：SF1240149564:1249564ack2318426184uin6424000:51:13.977681IP.13755.137：UDP,length5000:51:14.009922IP26.8029.1258：SF1240149564:1249564ack23

17、18426184uin64240686packetscaptured702packetsreceiuedbyfilter0packetsdroppedbykernel(2)Ethereal(在這里，我使用wireshark，也是抓包工具)的使用（3）用windump和wireshark模擬網絡取證先telnet到一臺沒有開telnet服務的計算機上面，用兩種軟件同時抓包，查看捕獲包的異同C:DocumentsandSettingsAdministratoFtelnet0住在連?lJ0.能打開到主機的連粧在端口23：連接失敗WindumpWireshark相比之下wireshark所捕獲的包的種

18、類更多，內容也更直觀使用haping工具模擬syn泛洪攻擊捕獲數據包在被攻擊的計算機上用windump或wireshark使用XDOS攻擊工具用wireshark可以看到大量syn向3發送2M-7fi6fcS7K?6?“Ri“Smflrce【fleaUB.it!on-7mr7nwn9STHFmannv“，巧，*.汩y芯-.z=-:iWLWUWJIJIITCP2g474、iwtt：1ITCP工私了$rwrbioEEERP二沂齊-r.et-Tios-!-.TCPzw77nett?ia5-55nTCP強館rietscilos-sn-2tr4?M-rir&rLloTCP2MS21CPZB*的-AJfc

19、Kiji-TCP2&4A5irl門rlrrlri畫M萋Mwx:.-1111i1器寫牴.-*l-.4r|：._5WJ=n計科；Stq-Ll屮m5TWJseij-0滬小.-n蟲q_Lim-2lawin.5M1SEtslwn-amjteGa計伽弓湘65trtf*D1*6n-.L|leJfiekifc腳曲直4L(iiujGfe.1一瑩審沖加5坐ifsuagQ鎖E3i也g1*&iijriL*iAppiji-Arna1fcytftsoiwri46byttscicrturid=EV吃rttTI.Src：Elitagrc泣；Od；E：畑;注；.liX：l；H?Mt；IPV-nciSt計：U；E；gg皿帖；/：

20、(rinternetPrutkdI,Sre;191.168.1,*319h述乩i.*町*Dst;!24,J.7.141(741mrri.i-upmii”“；|(in.c.l實驗五分析Windows系統中隱藏的文件和Cache信息實驗目的學會使用取證分析工具查看Windows操作系統下的一些特殊文件，找出深深隱藏的證據。學會使用網絡監控工具監視Internet緩存，進行取證分析。實驗要求：WindowsXp或Windows2000Professional操作系統WindowsFileAnalyzer和CacheMonitor安裝軟件一張可用的軟盤(或u盤)實驗步驟及結果(1)用WindowsFi

21、leAnalyzer分析Windows系統下隱藏的文件。用WFA讀出Thumbs.db文件，查看其中內容用index.datAnalyzer分析index.dat文件用prefetchAnalyzer挖出Prefetch文件夾中存儲的信息FileWindowsHelpn,iX導iIDA-index,dat瀏覽文杵夾Report.Index.DATFile:C:DocumenVolumeserial:El3!Volurnelabel:UFILCookie:administratorcpro.b.=Cookie:.adrciinistratortsearch.Cuuki已:已匚liriini址記忙

22、w：或匚:門上rigIici-nrlrrmiGbrn卜cr帛irlnchnFUP.LMediamsagentmsappErnuiNetwurkDiagrLuti匚LlemDirOfflineWebFagesprhe：ilthFeerNetHitsFilenan1adra3adr2adrQ確定取消命TWindow.-C:WIND0.2Intern.+埸WindowsF.蝶/15:18用RecycleBinAnalyzer打開特定文件夾中的快捷方式，顯示回收站info2文件信息用ShortcutAnalyzer找出特定文件夾中的快捷方式并顯示存儲在它們里面的數據(2)用CacheMonitor監控

23、Internet緩存ActionOptionsEnt.URLEtatusLocalFileSizeLastAccessLastModifiedLastSjiTlc-edFlagsHRUCEwernptExpireTimeHTTP15http/172.22.AddedC:illocument.6672012/05/0710.2012/10/2211.2012/05/0T.1002012/05/0795.HTTP/234http/172.22.AddedC：iIiwummrLt.624462012/05/0710.2013/05/0882.2012/05/07.1002012/05/0795.MT

24、TF/208http/172.22.AddedC:illocument.35322012/05/0710.2012/10/2211.2012/05/07.50II2012/05/0795.HTTF/146http/172.22.AddedC:Docwiant.35052012/05/0710.2012/10/2211.2012/05/07.5002012/05/0795.HTTP/123http/172.22.AddedC:IlociJiTi&rLt.35082012/05/0710.2012/10/2211.2012/05/07.50II2012/05/0795.HTTF/19http.,-

25、7172.22.AddedC:illocument.34542012/05/0710.2012/10/2211.2012/05/07.50LI2012/05/0795.HTTF/37http/172.22.AddedC：iIiwummrLt.36102012/05/0710.2012/10/2211.2012/05/07.5002012/05/0795.MTTF/66http/172.22.AddedC:illocument.36152012/05/0710.2012/10/2211.2012/05/07.50LI2012/05/0795.HTTF/159http/172.22.AddedC:

26、Docwiant.19752012/05/0710.2012/10/2211.2012/05/07.33002012/05/0795.HTTP/182http/172.22.AddedC:IlociJiTierLt.66192012/05/0710.2012/10/2211.2012/05/07.330LI2012/05/0795.HTTF/245http.,7202.20.AddedC:Docwient.432012/05/0710.1601/01/0180.2012/05/07.100NoneHTTP/163http.,-7202.20.AddedC:IlociJiTi&rLt.19990

27、2012/05/0710.2012/08/0104.2012/05/07.B0LINoneHTTF/119http/172.22.AddedC:illocument.212752012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/171http/172.22.AddedC:Docwiant.3752012/05/0710.2012/10/2211.2012/05/07.3002012/05/0795.HTTP/50http/172.22.AddedC:IlociJiTierLt.4062012/05/0710.2012/10/22

28、11.2012/05/07.30LI2012/05/0795.HTTF/167http.,-7172.22.AddedC:Docwient.3712012/05/0710.2012/10/2211.2012/05/07.3002012/05/0795.HTTP/158http.,-7172.22.AddedC:IlociJiTi&rLt.140492012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/133http.,-7172.22.AddedC:illocument.140932012/05/0710.2012/10/2211

29、.2012/05/07.30LI2012/05/0795.HTTF/221http/172.22.AddedC：iIiwummrLt.28882012/05/0710.2012/10/2211.2012/05/07.3002012/05/0795.MTTF/87http/172.22.AddedC:IlocijiTierLt.3892012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/32http.,-7172.22.AddedC:Docwient.3812012/05/0710.2012/10/2211.2012/05/07.3

30、002012/05/0795.HTTP/198http.,-7172.22.AddedC:IlocijiTi&rLt.3872012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/216http.,-7172.22.AddedC:illocument.29422012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/55http/172.22.AddedC：iIiwummrLt.3572012/05/0710.2012/10/2211.2012/05/07.3002012/

31、05/0795.MTTF/170http/172.22.AddedC:illocument.172912012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/36http/172.22.AddedC:Docwiant.4042012/05/0710.2012/10/2211.2012/05/07.3002012/05/0795.HTTP/122http/172.22.AddedC:IlociJiTierLt.531492012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF

32、/114http.,-7172.22.AddedC:illocument.3692012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/150http/172.22.AddedC：iIiwummrLt.22202012/05/0710.2012/10/2211.2012/05/07.3002012/05/0795.MTTF/18http/172.22.AddedC:illocument.3572012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/175http/172.

33、22.AddedC:Docwiant.46672012/05/0710.2012/10/2211.2012/05/07.3002012/05/0795.HTTP/12Thttp/172.22.AddedC:IlociJiTierLt.25592012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/74http.,-7172.22.AddedC:Docwient.19832012/05/0710.2012/10/2211.2012/05/07.3002012/05/0795.HTTP/108http.,-7172.22.AddedC:

34、IlociJiTi&rLt.204642012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/149http/172.22.AddedC:illocument.3982012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/192http/172.22.AddedC:Docwiant.3782012/05/0710.2012/10/2211.2012/05/07.3002012/05/0795.HTTP/86http/172.22.AddedC:IlociJiTierLt.

35、24942012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/13http.,-7172.22.AddedC:Docwient.524172012/05/0710.2012/10/2211.2012/05/07.3002012/05/0795.HTTP/44http.,-7172.22.AddedC:IlociJiTi&rLt.25852012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/2http.,-7172.22.AddedC:illocument.164720

36、12/05/0710.2012/10/2811：.2012/05/07.30LI2012/05/0795.HTTF/140http/172.22.AddedC：iIiwummrLt.76692012/05/0710.2013/01/0722:.2012/05/07.3002012/05/0795.MTTF/107http/172.22.AddedC:illocument.54972012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/53http.,-7172.22.AddedC:Docwient.1001962012/05/071

37、0.2012/10/2211.2012/05/07.3002012/05/0795.HTTP/212http.,-7172.22.AddedC:IlociJiTi&rLt.12922012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/yhttp.,-7172.22.AddedC:illocument.36512012/05/0710.2012/10/2211.2012/05/07.30LI2012/05/0795.HTTF/79http/172.22.AddedC：iIiwummrLt.9312012/05/0710.2012/1

38、0/2211.2012/05/07.3002012/05/0795.MTTF/8http/172.22.AddedC:illocument.16022012/05/0710.2012/10/2811.2012/05/07.30LI2012/05/0795.HTTF/12http/172.22.AddedC:Docwiant.52322012/05/0710.2013/04/0922:.2012/05/07.3002012/05/0795.HTTP/inrrnntii-iiii-ifcLi-inl-|-l1-l14-|-CfCL1|-|ITwJlfky1lCurSize：5582848Amtad

39、ded:5578752AmtDeld:0NumEntries：247ClusterSize：4096用WFA和CacheMonitor進行取證分析|lndexStatusFlagsHRSizeLastAccessExnptURL1516672012/05/0710:51.43Ody HYPERLINK 1/x.jpg 1/x.jpg234411624462012/05/0710:51.43Ody HYPERLINK 1/upload/pictures/1367972748.jpg 1/upload/pictures/1367972748.jpg28841535322012/05/0710:51

40、.40Ody HYPERLINK 1/inages/l7.giF 1/inages/l7.giF14641535052012/05/0710:51.40Ody HYPERLINK 1/inages/l6.giF 1/inages/l6.giF12341535082012/05/0710:51.40Ody HYPERLINK 1/images/l5.giF 1/images/l5.giF1941534542012/05/0719:51.40Gdy HYPERLINK 1/images/l4.giF 1/images/l4.giF9741536102012/05/0719:51.40Gdy HYP

41、ERLINK 1/images/l3.giF 1/images/l3.giF6641536152012/05/0710:51.40Gdy HYPERLINK 1/images/l2.giF 1/images/l2.giF1593319752012/05/0710:51.40Ody HYPERLINK 1/process.giF 1/process.giF1823366192012/05/0710：51.40Ody HYPERLINK 1/loading.giF 1/loading.giF245411432012/05/0710:51.32Ody2/piwik/piwik.php?action_

42、namp=3A3ABTDownEn93BA3A3A-RedrockV0BT&idsite=9&rec=1&r=783608&h=10&n=51&s=32&url=http3A2FVFlVF&urlreF=http3AVF2F282202.43.125%2Fweb%2F&id=3ed4e441cdbFd39d&idts=1324687316&iduc=2&idn=8&reFts=1336359849&uiewts=1324687316&reF=http3AVF2F202202.43.1252Fweb2F&res=1O24x768163416199902012/05/0719:51.32Gdy H

43、YPERLINK 2/piwik/piwik.js 2/piwik/piwik.js119413212752012/05/0710:51.32Gdy HYPERLINK 1/images/Foot_r1_c2.jpg 1/images/Foot_r1_c2.jp05/0710:51.32Ody HYPERLINK 1/inage5/Foot_back.jpg 1/inage5/Foot_back.jpg504134062012/05/0710:51.32Ody HYPERLINK 1/inage5/notice_back.jpg 1/inage5/notice_bac

44、k.jpg1674133712012/05/0710:51.32Ody HYPERLINK http:/172.22.161 1/inages/headr4c2.jpg158413140492012/05/0710:51.32Ody HYPERLINK http:/172.22.161 1/images/Footr1c3.jpg133413140932012/05/0710:51.32Ody HYPERLINK http:/172.22.161 1/images/Footr1c1.jpg

45、22141328882012/05/0719:51.32Gdy HYPERLINK 1/images/leaue.jpg 1/images/leaue.jpg874133892012/05/0719:51.32Gdy HYPERLINK http:/172.22.161 1/images/headnr1c7.jpg324133812012/05/0710:51.32Gdy HYPERLINK 1/images/head_n_r1_c5.jpg 1/images/head_n_r1_c5.jpg19833872012/05/0710:51.32Ody HYPE

46、RLINK 1/inage5/hpad_n_r1_c3.jpg 1/inage5/hpad_n_r1_c3.jpg21641329422012/05/0710:51.32Ody HYPERLINK http:/172.22.161 http:/172.22.161.H/inages/notice.jpg554133572012/05/0710:51.32Ody HYPERLINK 1/inage5/hpad_r4_c7.jpg 1/inage5/hpad_r4_c7.jpg170413172912012/05/0710:51.32Ody HYPERLINK http:/172.22.161 h

47、ttp:/1/inages/headr2c5.jpg364134042012/05/0710:51.32Ody HYPERLINK http:/172.22.161 1/images/headnr1c1.jpg122413531492012/05/0719:51.32Gdy HYPERLINK http:/172.22.161 1/images/headr4c3.jpg1144133692012/05/0719:51.32Gdy HYPERLINK http:/172.22.161 http:/17

48、1/images/headr4c1.jpg15041322202012/05/0710:51.32Gdy HYPERLINK 1/images/head_r3_c1.jpg 1/images/head_r3_c1.jpg184133572012/05/0710:51.32Gdy HYPERLINK 1/images/head_r2_c7.jpg 1/images/head_r2_c7.jpg1753U6672012/05/0710:51.32Ody HYPERLINK 1/inage5/hpad_r2_c3.jpg 1/inage5/hpad_r2_c3.jpg127413

49、25592012/05/0710:51.32Ody HYPERLINK http:/172.22.161 http:/172.22.161.H/inages/srhbtn.jpg7441319832012/05/0710:51.32Ody HYPERLINK 1/inages/logbtn.jpg 1/inages/logbtn.jpg108413284642012/05/0710:51.32Ody HYPERLINK 1/images/head 1/images/headr2c4.jpg1494133982012/05/0719:51.32Gdy HYPERLINK 1/images/hea

50、d 1/images/headr2c2.jpg1924133782012/05/0719:51.32Gdy HYPERLINK http:/172.22.161 1/images/headr2c1.jpg實驗六數據解密實驗目的（1）理解數據加密的原理，掌握常用的密碼破解技術（2）打開已被加密的現場可以計算機，找到有效的證據證據（3）將犯罪嫌疑人的重要文件進行破解和分析實驗環境和設備（1）windowsXP或windows2000Professional操作系統（2）一些常用密碼破解工具（3）網絡運行良好實驗內容和步驟（1）用工具軟件Cmospwd破解CMOS

51、密碼（2）通過刪除Windows安裝目錄下的*.pwl密碼文件和Profiles子目錄下的文件，破解windows密碼。用解密軟件UZPC破解ZIP壓縮包密碼，CRACK破解RAR壓縮包密碼使用破解工具AdvancedOfficeXPPasswordRecovery破解word密碼設置word權限密碼在工具選項安全性中設置密碼為999保存并關閉該文檔，然后打開，就需要輸入密碼使用工具軟件AdvancedOfficeXPPasswordRecovery可以快速破解Word文檔密碼，點擊工具欄按鈕“OpenFile”，打開剛才建立的Word文檔，程序打開成功后會在LogWindow中顯示成功打開的

52、消息用GetIp將代表口令的密碼號還原成真實的口令用網絡嗅探器(如Wireshark)，嗅探登陸和數據傳輸事件，捕獲密碼和敏感數據勺Capturingfrom以太網Wireshark1.12.4(v1.12.4-0-gb4861dafrommaster-1.12)0FileEditViewGoCaptureAnalyzeStatisticsTelephonyToolsInternalsHelpM1BaX0M久Q界盤丨|圍國丨QS1!Filter:.94.25&ip.src=55&icmp|tcp.port=21|tcp.port=7Expression.,ClearApplySave源Ip和目

53、的ipNo.TimeSourceDestinationProtocolLengthInfo7976468.107354555ICMP74Echo(ping)requestid=0 x0001,seq=3887/12047,ttl=128(replyin7977)7992469.12373555ICMP74Echo(ping)requestid=0 x0001,seq=3888/12303,ttl=128(replyin8013)10171640.458167555ICMP74Echo(ping)requestid=0 x0001,seq=3961/30991,ttl=128(replyin10

54、172)10182641.465603555ICMP74Echo(ping)requestid=0 x0001,seq=3962/31247,ttl=128(replyin10183)10193642.482176555ICMP74Echo(ping)requestid=0 x0001,seq=3963/31503,ttl=128(replyin10194)10219643.497466555ICMP74Echo(ping)requestid=0 x0001,seq=3964/31759,ttl=128(replyin10220)10575672.175207555ICMP74Echo(pin

55、g)requestid=0 x0001.seq=3977/35087,ttl=128(replyin10576)10591673.186480555ICMP74Echo(ping)requestid=0 x0001,seq=3978/35343,ttl=128(replyin10592)10610674.198780555ICMP74Echo(ping)requestid=0 x0001,seq=3983/36623,ttl=128(replyin10611)10621675.204758555ICMP74Echo(ping)requestid=0 x0001,seq=3984/36879,ttl=128(replyin10622)297031474.94038555ICMP74Echo(ping)requestid=0 x0001,seq=4313/55568,ttl=128(replyin29704)297221475.9461555ICMP74Echo(ping)requestid=0 x0001,seq=4314/55824,ttl=128(replyin29723)297311476.95854