@烟雨
2年前 提问
1个回答
计算机取证的工作内容
X0_0X
2年前
计算机取证的工作内容步骤:
在取证检查过程中,避免目标计算机系统发生任何的改变、损害、数据破坏或病毒感染。
使用数据恢复软件对该系统进行全面的数据恢复并备份所以数据。同时,保留一份未作分析的原始系统以留作后期证书使用。
搜索日标系统中的所有与木马相关的文件,以及现存的正常文件、已经被删除但仍存在于磁盘上的文件、隐藏文件、收到密码保护的文件和加密文件。
最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。
查看被保护或加密文件的内容。
检查IE历史记录是否有相关网页地址记录。
用注册表整理工具整理注册表,并检查注册表中是否存在相关木马和网页的键值。
检查系统是否为代理服务器。
查看相应的日志文件,包括系统日志文件、应用日志文件、DNS日志文件、安全日志文件、防火墙日志、HIDS志、NIDS日志。
检查帐户安全:服务器被入侵之后,通常会表项在系统的用户帐户上。
监视打开的端口。