@烟雨
2年前 提问
1个回答

计算机取证的工作内容

X0_0X
2年前

计算机取证的工作内容步骤:

  1. 在取证检查过程中,避免目标计算机系统发生任何的改变、损害、数据破坏或病毒感染。

  2. 使用数据恢复软件对该系统进行全面的数据恢复并备份所以数据。同时,保留一份未作分析的原始系统以留作后期证书使用。

  3. 搜索日标系统中的所有与木马相关的文件,以及现存的正常文件、已经被删除但仍存在于磁盘上的文件、隐藏文件、收到密码保护的文件和加密文件。

  4. 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。

  5. 查看被保护或加密文件的内容。

  6. 检查IE历史记录是否有相关网页地址记录。

  7. 用注册表整理工具整理注册表,并检查注册表中是否存在相关木马和网页的键值。

  8. 检查系统是否为代理服务器。

  9. 查看相应的日志文件,包括系统日志文件、应用日志文件、DNS日志文件、安全日志文件、防火墙日志、HIDS志、NIDS日志。

  10. 检查帐户安全:服务器被入侵之后,通常会表项在系统的用户帐户上。

  11. 监视打开的端口。