计算机取证工具.pdf

"计算机取证工具.pdf" 计算机取证工具报告作为安全维护人员，想要知道怎样最好的使用计算机取证工具，首先要知道的是计算机取证工具应工作在万能的，灵活的，生命力旺盛的操作系统，文件系统的环境下，同时我们还应当掌握好我们所需要分析的应用文件的种类：如果我们要取证的对象具有从单一的功能成分到复杂的计算机系统和服务，我们就应当采用硬件取证工具；如果我们想要知道取证对象所输入的命令行，图形用户界面等，我们就需要采用软件取证工具。 一、评价使用计算机取证工具的需求 * 寻找万能的，灵活的，精力充沛的操作系统，文件系统，版本容量，自动化的功能，卖主的名声 二、掌握好你所要分析的应用文件的种类 * 计算机取证工具的种类：硬件取证工具，软件取证工具 * 硬件取证工具：从单一功能的成分到复杂的计算机系统和服务 * 软件取证工具：类型：命令行，图形用户界面，经常用于将数据从嫌疑人的光驱上变成图像文件。 计算机取证工具的工作获取： * 获取：逻辑数据版本（copy），数据获取格式，命令行获取，图形用户界面获取，远距离的信息获取 * 验证：保证所复制的数据的完整性 * 抽取：恢复数据，浏览数据，关键字搜查，解压，减压 * 报告：将取证的结果报告给相关人员 计算机取证工具的用途： * 获取：逻辑数据版本（copy），数据获取格式，命令行获取，图形用户界面获取，远距离的信息获取 * 验证：保证所复制的数据的完整性 * 抽取：恢复数据，浏览数据，关键字搜查，解压，减压 * 报告：将取证的结果报告给相关人员 计算机取证工具的重要性： * 恢复计算机原本的工作内容 *掌握很多的工作内容 * 恢复数据往往在调查中是第一步 * 其他的一些作用 计算机取证工具的种类： * 硬件取证工具 * 软件取证工具 * 专用的（SafeBack – Disk acquisition only） * 普遍的（Encase，FTK） * Digital Intelligence UltraKit * Digital Intelligence F.R.E.D.(Forensic Recovery of Evidence Device) * Digital Intelligence F.R.E.D.D.I.E Forensic Recovery of Evidence Device (Diminutive Interrogation Equipment) * Digital Intelligence FRED L * Digital Intelligence FRED Sr * Digital Intelligence FRED M * DIBS USA 计算机取证工具的工作原理： * 物理数据要求得到的是整个驱动装置的信息 * 逻辑数据是磁盘的部分信息 * 计算机取证工具的用途：获取，验证和描述，抽取，重建，报告 计算机取证工具的应用： * 获取：逻辑数据版本（copy），数据获取格式，命令行获取，图形用户界面获取，远距离的信息获取 * 验证：保证所复制的数据的完整性 * 抽取：恢复数据，浏览数据，关键字搜查，解压，减压 * 报告：将取证的结果报告给相关人员 计算机取证工具的优点： * 可以恢复计算机原本的工作内容 * 可以掌握很多的工作内容 * 可以恢复数据 * 可以浏览数据 * 可以进行关键字搜查 * 可以进行解压，减压 计算机取证工具的缺点： * 需要掌握很多的工作内容 * 需要恢复数据 * 需要浏览数据 * 需要进行关键字搜查 * 需要进行解压，减压 计算机取证工具是一个非常重要的工具，对于计算机犯罪的调查和取证非常有帮助。但是，我们需要掌握好计算机取证工具的使用和应用，才能更好地使用计算机取证工具。