网络取证实验报告.doc

发布时间：2022-06-06 发布人：admin 分类：说明书资料大小：0.48M 资料格式：doc 举报版权申诉

worm116-4939467-16359648005947618615.doc.pdf-第1页.png

第1页 / 共11页

worm116-4939467-16359648005947618615.doc.pdf-第2页.png

第2页 / 共11页

worm116-4939467-16359648005947618615.doc.pdf-第3页.png

第3页 / 共11页

worm116-4939467-16359648005947618615.doc.pdf-第4页.png

第4页 / 共11页

worm116-4939467-16359648005947618615.doc.pdf-第5页.png

第5页 / 共11页

worm116-4939467-16359648005947618615.doc.pdf-第6页.png

第6页 / 共11页

worm116-4939467-16359648005947618615.doc.pdf-第7页.png

第7页 / 共11页

worm116-4939467-16359648005947618615.doc.pdf-第8页.png

第8页 / 共11页

二、实验环境

三、实验步骤

1. 实验设计

2. 入侵

步骤1：扫描端口

步骤2：获取虚拟机的某个账户名和密码

步骤3：利用帐户名和密码远程登录目标计算机

步骤4：创建一个新的用户账户

步骤5：复制恶意文件到目标计算机

步骤6：利用cookies登录用户注册过的网站

步骤7：关闭远程计算机。

3. 取证

操作系统中的计算机取证

网络环境中的取证

4. 分析总结

网络取证实验报告专班姓学业：级：名：号：指导老师：

一、实验目的 1、加强学生对计算机取证的了解，以及实际动手操作进行取证的能力 2、学会在操作系统中的计算机取证和网络环境下的计算机取证 3、学会对取得的证据进行简单分析。 Microsoft Windows XP Professional Service Pack 3 Oracle VM VirtualBox v4.2.4 流光 5.0（需安装破解补丁） WinntAutoAttack V2.0 二、实验环境操作系统虚拟机破解工具三、实验步骤 1. 实验设计在本机上安装虚拟机，安装 XP SP3 操作系统，虚拟网卡设置为桥接方式，虚拟机模拟同一局域网里的另一台主机与本机相互通信。主机入侵虚拟机，在虚拟机上取证。 2. 入侵安装虚拟机后，确定主机与虚拟机可以相互 ping 通，其中主机 IP 地址为 192.168.1.12，虚拟机 IP 地址为 192.168.1.101 。步骤 1：扫描端口打开 WinntAutoAttack V2.0，扫描虚拟机端口，发现虚拟机的 3389 端口开放。步骤 2：获取虚拟机的某个账户名和密码安装流光 5.0，因为流光 5.0 有国内 IP 地址限制功能，所以需要安装破解补丁。使用流光探测虚拟机的所有的 IPC$远程登录，通过字典破解后得到目标计算机的帐户名和密码。

步骤 3：利用帐户名和密码远程登录目标计算机登录后如图所示：步骤 4：创建一个新的用户账户创建的用户账户在命名时应该尽量接近计算机自行建立的用户账户，来使新建的账号不易被用户察觉进而删除，从而成为下次入侵的后门账户。创建的账户为管理员账户，拥有对计算机进行所有操作的权限。

步骤 5：复制恶意文件到目标计算机向目标计算机复制一个文件，如木马或其它恶意文件，用目标计算机中的杀毒软件扫描，若杀毒软件报警，则将该文件添加信任，加入杀毒软件白名单，使其下次查杀时不报警。步骤 6：利用 cookies 登录用户注册过的网站打开目标计算机的浏览器，打开其收藏夹，尝试登录其可能有 cookies 的网页，也可尝试登录一下其它主流网站，如淘宝等等。步骤 7：关闭远程计算机。退出。 3. 取证取证包括操作系统中的计算机取证和网络环境中的计算机取证。操作系统中的计算机取证 1.远程登录证据打开事件查看器，在安全性一项可以看到有两个事件 ID 为 528 的事件发生，通过查询事件 ID 号可知，ID528 表示发生过远程登录。

2.创建新账户证据同样打开事件查看器，在安全性一项可以看到有 ID 为 624、626、628 的三个事件，这三个 ID 的事件表明创建并启用了一个账户，并给它设置了密码。在命令行中运行 net user，没有发现新用户的建立但在打开我的电脑右键—>管理—>计算机管理—>系统工具—>本地用户和组 —>用户，可以看到有一个叫 fuxiaofun$的用户，此用户即是新创建的用户。之所以在命令行中运行 net user 命令查看不到，是因为在用户名中添加了一个$，这是隐藏账户的一个小手段。

3.复制恶意文件的证据对所有文件进行木马扫描和病毒扫描，没有发现任何病毒或木马警报。有两个可能：一是没有复制病毒或木马到系统中，二是木马或病毒可能在扫描软件的信任列表中，所以没有报警。查看其信任列表，果然发现有不明的恶意程序在杀毒软件的信任列表中，得以逃避杀毒软件的查杀。将其从信任列表中删除，再次用杀毒软件扫描，发现有复制来的恶意文件。网络环境中的取证 1.网页浏览历史记录

从网页浏览历史记录中可以发现一些平时没有浏览过的网页，可以认定有其他人使用过该浏览器上网。 2.Internet 临时文件从 Internet 临时文件的上次访问时间等信息可以发现在管理员不在的时候有人使用过 Internet 服务，因而留下了大量的临时文件。而从这些临时文件中也可以从中获取一些入侵者登录 Web 所做的事情的信息，甚至可能从中了解一些入侵者的个人信息，使其成为更有力的证据。 Internet 临时文件夹中有一个隐藏文件夹 Content.IE5,需要直接输入地址才可见。

安装 WinHex 软件，用它打开 Content.IE5 目录下的 index.dat 文件，可以在右侧的文本框看到一些登陆过的网站及相关的一些信息。如下图中可以看到一个我曾经登录过的 CSDN 网站，从中还可以看到我输入的用户名 my116116 。

分享到：

赞收藏

资料库

网络取证实验报告.doc

相关推荐

安全技术

热门标签

最新资料