第5章-Windows系统取证.ppt

第5章Windows系统取证5.1Windows系统现场证据获取5.2Windows系统中计算机证据的获取5.3简单的证据推理分析5.4Windows系统反取证技术5.5Windows取证工具5.6小结5.1Windows系统现场证据获取5.1.1易失性数据的等级5.1.2易失性数据收集5.1.1易失性数据的等级5.1.2易失性数据收集2．易失性系统信息包括：系统概要文件当前系统时间、日期、命令历史记录当前系统运行时间当前运行进程打开文件、启动文件和剪贴板数据登录用户dll和共享的程序库3.现场取证小工具及应用实例date／time／netstatPslnfo.exesysteminfo.exenetstatistics评价当前运行的进程实用工具信息转储Afind登录用户5.2Windows系统中计算机证据的获取5.2.1文件系统(1)文件系统类型：(2)内容(3)元数据：包含描述文件信息的数据，例如文件的存储位置、文件大小、文件的读写时间、访问控制等。(4)文件名分类(5)应用分类1.内容范畴包括组成文件或文件目录的数据。2.元数据元数据包括描述文件或目录的数据，内容存储的位置、时间、日期、权限。我们使用这个数据来获得文件或可疑目录的额外信息。3．文件名4．文件的时间属性变化5.2.2日志文件1．Windows系统日志Windows操作系统维护三个相互独立的日志文件：系统日志、应用程序日志、安全日志。同时还有DNS日志、防火墙日志、HIDS日志、NIDS日志等。（1）系统日志系统日志记录系统进程和设备驱动程序的活动。它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址，以及服务的启动、暂停和停止。文件位置：%systemroot%\system32\config\SysEvent.EVT（2）应用程序日志应用程序日志包括关于用户程序和商业通用应用程序的运行方面的错误活动，它审核的应用程序事件包括所有错误或应用程序需要报告的信息。文件位置：%systemroot%\system32\config\AppEvnet.EVT（3）安全日志安全日志主要用于管理员记载用户登录上网的情况。在安全日志中可以找到它使用的系统审核和安全处理。文件位置：%systemroot%\system32\config\SecEvent.EVT（4）其它日志DNS日志文件：%systemroot%\system32\configInternet信息服务FTP日志默认位置：％systemroot％\system32\logfiles\msftpsvcl\Internet信息服务www日志默认位置:％systemroot％\system32\logfiles\w3svcl\Scheduler服务日志默认位置：％systemroot％\schedlgu.txt5.2.3注册表1.注册表（1）注册表结构（2）键值每个主键有一个或多个键值。键值由名字、类型和数据3部分组成。（3）注册表根键的组织形式HKER_USER：包含每个用户的信息。HKEY_CURRENT_USER：包含了计算机每个用户的配置信息。HKEY_CLASSES_ROOT：包含两类用户设置，文件关联和COM对象所注册的类。HKEY_CURRENT_CONFIG：是一个符号连接到当前的硬件摘要配置文件的键值。2．注册表中有价值的若干信息(1)注册表键值的上次写时间(2)注册表中的数据隐藏(3)注册表键值(4)不同编码方式(5)注册表编辑器漏洞5.3简单的证据处理分析5.3.1进行关键字有哪些信誉好的足球投注网站5.3.2识别未授权的用户帐号或用户组5.3.3识别恶意进程5.3.1进行关键字有哪些信誉好的足球投注网站有许多不同的关键字对于调查过程可能很关键，其中包括用户ID、密码、敏感数据(代码字符)、已知文件名和特定主题词。字符串有哪些信誉好的足球投注网站可以在逻辑文件结构或物理级对整个驱动器的内容进行检查。磁盘有哪些信誉好的足球投注网站工具：dtSearch、Encase、NTI等。5.3.2识别未授权的用户帐