计算机取证工具质证(肖桂庆).docVIP

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
计算机取证工具质证(肖桂庆)

 PAGE \* MERGEFORMAT 6 计算机取证工具的质证   一、计算机取证的相关工具   1.1 一般工具软件   用于检测分区的工具软件、杀毒软件、各种压缩工具软件等。   1.2 取证专用工具软件:   文件浏览器:这类工具是专门用来查看数据文件的阅读工具。只用于查看而没有编辑和恢复功能,从而体积较小并可以防止证据的破坏。比较好的软件是Quik View Plus()。它可以识别200种以上文件类型,可以浏览各种电子邮件文档。比起WordPerfect的频繁转换要方便的多。Conversion Plus可以用于在Windows系统下浏览Macintosh文件。   图片检查工具:ThumbsPlus是一个功能很全面的进行图片检查的工具。   反删除工具:这方面的取证分析工具中最主要的是诺顿工具,虽然这是一个老式的工具,但在有些时候是很有用的。   CD-ROM工具:使用CD-R Diagnostics可以看到在一般情况下看不到的数据。   文本有哪些信誉好的足球投注网站工具:dtSearch是一个很好的用于文本有哪些信誉好的足球投注网站的工具,特别是具有有哪些信誉好的足球投注网站Outlook的.pst文件的能力。   驱动器映像程序:可以满足取证分析(即逐位拷贝以建立整个驱动器的映像)的磁盘映像软件包括:SafeBack()、SnapBack()、Ghost()、dd(UNIX中的标准工具)等。   磁盘擦除工具:这类工具主要用在使用取证分析机器之前,为了确保分析机器的驱动器中不包含残余数据,显然,只是简单的格式化肯定不行。从软盘启动后运行NTI公司的DiskScrub程序即可把硬盘上的每一扇区的数据都清除掉。 取证程序:取证软件的效能倾向于同时拥有收集及分析数据的功能。目前,国际上的主流产品有:   Forensic Toolkit:是一系列基于命令行的工具,可以帮助推断Windows NT文件系统中的访问行为。这些程序包括的命令有:AFind(根据最后访问时间给出文件列表,而这并不改变目录的访问时间)、HFind(扫描磁盘中有隐藏属性的文件)、SFind(扫描整个磁盘寻找隐藏的数据流)、FileStat(报告所有单独文件的属性)、NTLast(提供标准的GUI事件浏览器之外对每一个会话都记录了登录及登出时间,并且它能够指出登录是远程的还是本地的)。   The Coroner’s Toolkit(TCT):主要用来调查被“黑”的Unix主机,它提供了强大的调查能力,它的特点是可以对运行着的主机的活动进行分析,并捕获目前的状态信息。其中的grove-robber可以收集大量的正在运行的进程、网络连接以及硬盘驱动器方面的信息。数据基本上以挥发性顺序收集,收集所有的数据是个根缓慢的过程,要花上几个小时的时间。TCT还包括数据恢复和浏览工具unrmlazarus、获取MAC时间的工具mactime。还包括一些小工具,如ils(用来显示被删除的索引节点的原始资料)、icat(用于取得特定的索引节点对应的文件的内容)等等。   EnCase自称是唯一一个完全集成的基于Windows界面的取证应用程序,其功能包括:数据浏览、有哪些信誉好的足球投注网站、磁盘浏览、数据预览、建立案例、建立证据文件、保存案例等。 ForensicX:主要运行于Linux环境,是一个以收集数据及分析数据为主要目的的工具。它与配套的硬件组成专门工作平台。它利用了Linux支持多种文件系统的特点,提供在不同的文件系统里自动装配映像等能力、能够发现分散空间里的数据、可以分析Unix系统是否含有木马程序。其中的Webtrace可以自动有哪些信誉好的足球投注网站互联网上的域名,为网络取证进行必要的收集工作,新版本具有识别隐藏文件的工具。 New Technologies Incorporated (NTI, .):NTI是取证软件最为固定的商家之一。NTI以命令的形式执行软件,所以速度很快,软件包的体积小,适合于在软盘上使用。该公司提供的取证工具包括:   CRCMD5:一个可以验证一个或多个文件内容的CRC工具。   DiskScrub:一个用于清除硬盘驱动器中所有数据的工具。   DiskSig:一个CRC程序,用于验证映像备份的精确性。   FileList:一个磁盘目录工具用来建立用户在该系统上的行为时间表。   Filter_we:一种用于周围环境数据的智能模糊逻辑过滤器。   GetSlack:一种周围环境数据收集工具,用于捕获未分配的数据。   GetTime:一种周围环境数据收集工具,用于捕获分散的文件。   Net Threat Analyzer:网络取证分析软件,用于识别公司互联网络账号滥用。   M-Sweep:一种周围环境数据清除工具。   NTI-DOC:一种文件程序用于记录文件的日期、时间以及属性。

文档评论(0)

ktj823 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档