文档介绍：. .
. v .
?计算机取证技术?
实验报告
实验一
实验题目：
用应急工具箱收集易失性数据
实验目的：
〔1〕会创立应急工具箱，并生成工具箱校验和。
〔2〕能对突发事件进展初步调查，做出适当的响应。
〔3〕能在最低限度地改变系统状态的情况下收集易失性数据。
实验要求：
〔1〕Windows XP 或Windows 2000 Professional操作系统。
〔2〕网络运行良好。
〔3〕一可用U盘〔或其他移动介质〕和PsTools工具包。
实验主要步骤：
〔1〕将常用的响应工具存入U盘，创立应急工具盘。; ; ; ; ; ; ; ; ; ; ; 。
. .
. v .
〔2〕用命令md5sum()创立工具盘上所有命令的校验和，，并将工具盘写保护。
〔3〕用time 和date命令记录现场计算机的系统时间和日期，第〔4〕、〔5〕、〔6〕、〔7〕和〔8〕步完成之后再运行一遍time 和date命令。
〔4〕用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创立时间。
〔5〕用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关，用ipconfig/all命令获取更多有用的信息：如主机名、DNS效劳器、节点类型、网络适配器的物理地址等。
〔6〕用netstat显示现场计算机的网络连接、路由表和网络接口信息，检查哪些端口是翻开的，以及与这些监听端口的所有连接。
〔7〕用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。
〔8〕用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。
实验结果：
心得体会：计算机取证工具箱简单方便，无需安装，应急工具箱收集易失性数据，在计算机取证过程中对案发现场计算机的取证起着关键性的作用，用它可以找出计算机当时所处的状态，从而收集证据。对于取证人员来说，这个是非常关键的一步。
实验二
实验题目：用应急工具箱收集易失性数据
实验目的：
理解文件存放的原理，懂得数据恢复的可能性。
丁解几种常用的数据恢复软件如Easy Recovery和RecoveryMyFiles
.