第一篇：計算機取證實驗報告

《計算機取證技術(shù)》 實驗報告

實驗一

實驗題目：

用應(yīng)急工具箱收集易失性數(shù)據(jù)

實驗?zāi)康模?/p>

（1）會創(chuàng)建應(yīng)急工具箱，并生成工具箱校驗和。

（2）能對突發(fā)事件進行初步調(diào)查，做出適當(dāng)?shù)捻憫?yīng)。

（3）能在最低限度地改變系統(tǒng)狀態(tài)的情況下收集易失性數(shù)據(jù)。

實驗要求：（1）Windows XP 或Windows 2000 Professional操作系統(tǒng)。（2）網(wǎng)絡(luò)運行良好。

（3）一張可用U盤（或其他移動介質(zhì)）和PsTools工具包。

實驗主要步驟：

（1）將常用的響應(yīng)工具存入U盤，創(chuàng)建應(yīng)急工具盤。應(yīng)急工具盤中的常用工具有cmd.exe;netstat.exe;fport.exe;nslookup.exe;nbtstat.exe;arp.exe;md5sum.exe;netcat.exe;cryptcat.exe;ipconfig.exe;time.exe;date.exe等。

（2）用命令md5sum(可用fsum.exe替代)創(chuàng)建工具盤上所有命令的校驗和，生成文本文件commandsums.txt保存到工具盤中，并將工具盤寫保護。

（3）用time 和date命令記錄現(xiàn)場計算機的系統(tǒng)時間和日期，第（4）、（5）、（6）、（7）和（8）步完成之后再運行一遍time 和date命令。

（4）用dir命令列出現(xiàn)場計算機系統(tǒng)上所有文件的目錄清單，記錄文件的大小、訪問時間、修改時間和創(chuàng)建時間。

（5）用ipconfig命令獲取現(xiàn)場計算機的IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)，用ipconfig/all命令獲取更多有用的信息：如主機名、DNS服務(wù)器、節(jié)點類型、網(wǎng)絡(luò)適配器的物理地址等。

（6）用netstat顯示現(xiàn)場計算機的網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息，檢查哪些端口是打開的，以及與這些監(jiān)聽端口的所有連接。

（7）用PsTools工具包中的PsLoggedOn命令查看當(dāng)前哪些用戶與系統(tǒng)保持著連接狀態(tài)。（8）用PsTools工具包中的PsList命令記錄當(dāng)前所有正在運行的進程和當(dāng)前的連接。

實驗結(jié)果：

心得體會：計算機取證工具箱簡單方便，無需安裝，應(yīng)急工具箱收集易失性數(shù)據(jù)，在計算機取證過程中對案發(fā)現(xiàn)場計算機的取證起著關(guān)鍵性的作用，用它可以找出計算機當(dāng)時所處的狀態(tài)，從而收集證據(jù)。對于取證人員來說，這個是非常關(guān)鍵的一步。

實驗二

實驗題目：用應(yīng)急工具箱收集易失性數(shù)據(jù)

實驗?zāi)康模?/p>

1.理解文件存放的原理，懂得數(shù)據(jù)恢復(fù)的可能性。

2.丁解幾種常用的數(shù)據(jù)恢復(fù)軟件如Easy Recovery和RecoveryMyFiles 3.使用其中一種數(shù)據(jù)恢復(fù)軟件、恢復(fù)已被刪除的文件，恢復(fù)己被格式化磁盤上的數(shù)據(jù)。

實驗環(huán)境和設(shè)備：

(1)Windows Xp或Winfjows 2000 Professional操作系統(tǒng)。(2)數(shù)據(jù)恢復(fù)安裝軟件。

(3)兩張可用的軟盤（或U盤）和一個安裝有Windows系統(tǒng)的硬盤。

實驗主要步驟和實驗結(jié)果：

實驗前的準備工作

在安裝數(shù)據(jù)恢復(fù)軟件或其他軟件之前，先在計算機的邏輯盤（如D盤）中創(chuàng)建四個屬于你自己的文件夾，如：Bak F'ilel（存放第一張軟盤上的備份文件）、LostFile1（存放恢復(fù)第一張軟盤后得到的數(shù)據(jù)）BakFile2（存放第二張軟盤上的備份文件）和LoFile2（存放恢復(fù)第二張軟盤后得到的數(shù)據(jù)）注意：存放備份文件所在的邏輯盤（如D盤）與你準備安裝軟件所在的邏輯盤（如C盤）不要相同，因為如果相同，安裝軟件時可能正好把你的備份文件給覆蓋掉了。(2)EasyRecovery安裝和啟動

這里選用Easy Recovery Professional軟件作為恢復(fù)工具，點擊Easy Recovery圖標便可順利安裝，啟動EasyRecovery應(yīng)用程序，主界面上列出了Easy Recovery的所有功能：“磁盤診斷”、“數(shù)據(jù)恢復(fù)”、“文件修復(fù)”和“郵件修復(fù)”等功能按鈕”在取證過程中用得最多的是“數(shù)據(jù)恢復(fù)”功能。

圖 1 EasyRecovery安裝和啟動

圖 2 EasyRecovery的數(shù)據(jù)恢復(fù)界面

(3)使用EasyRecovery恢復(fù)已被刪除的文件。，①將準備好的軟盤（或U盤）插入計算機中，刪除上面的一部分文件和文件夾如果原有磁盤中沒有文件和文件夾，可以先創(chuàng)建幾個，備份到BakFilel文件夾下，再將它刪除。②點擊“數(shù)據(jù)恢復(fù)”，出現(xiàn)“高級恢復(fù)”、“刪除恢復(fù)”、“格式化恢復(fù)”和“原始恢復(fù)”等按鈕，選擇“刪除恢復(fù)”進行快速掃描，查找已刪除的目錄和文件，接著選擇要搜索的驅(qū)動器和文件夾(A盤或U盤圖標)。出現(xiàn)所有被刪除的文件，選擇要恢復(fù)的文件輸入文件存放的路徑D：LostFilel，點擊“下一步”恢復(fù)完成，并生成刪除恢復(fù)報告。

圖 3 EasyRecovery選擇恢復(fù)刪除的磁盤

圖 4 EasyRecovery掃描文件

圖 5 EasyRecovery掃描結(jié)果

③比較BakFilel文件夾中刪除過的文件與LoatFilel文件夾中恢復(fù)得到的文件，將比較結(jié)果記錄下來。

圖 6 查看需要恢復(fù)的文件

圖 6 保存需要恢復(fù)的文件

心得體會:使用Easy Recovery恢復(fù)已被刪除的文件非常管用，而且使用方便，通過這次實驗學(xué)會了如何恢復(fù)不小心被刪除的文件。也能對計算機存儲介質(zhì)有了進一步的認識。

實驗三

實驗題目：

分析Windows系統(tǒng)中隱藏的文件和Cache信息

實驗?zāi)康模?/p>

學(xué)會使用取證分析工具查看Windows操作系統(tǒng)下的一些特殊文件，找出深深隱藏的證據(jù)。學(xué)會使用網(wǎng)絡(luò)監(jiān)控工具監(jiān)視Internet緩存，進行取證分析。

實驗要求：

Windows Xp 或 Windows 2000 Professional 操作系統(tǒng) Windows File Analyzer 和 CacheMonitor 安裝軟件 一張可用的軟盤（或u盤）

實驗主要步驟：

用Windows File Analyzer分析Windows 系統(tǒng)下隱藏的文件。用CacheMonitor 監(jiān)控Internet 緩存。

用Windows File Analyzer 和 CacheMonitor 進行取證分析。

實驗結(jié)果：

軟件界面

Index.dat Analyzer分析Index.dat文件

打開prefetch文件夾中存儲的信息，打開結(jié)果，全部是.pf文件

Shortcut Analyzer找出桌面中的快捷方式，并顯示存儲在他們中的數(shù)據(jù)

CacheMonitor操作

心得體會：這個實驗相對而言比較簡單，只要會使用Windows File Analyzer，了解其功能和具體的使用方法，但是對其所得到的數(shù)據(jù)進行分析，還需要進一步的加強學(xué)習(xí)。

實驗四

實驗?zāi)康模?/p>

（1）在綜合的取證、分析環(huán)境中建立案例和保存證據(jù)鏈。

（2）模擬算機取證的全過程，包括保護現(xiàn)場、獲取證據(jù)，保存證據(jù)，分析證據(jù)，提取證據(jù)。

實驗步驟和實驗結(jié)果：

（1）用X-Ways Forensics的WinHex版本創(chuàng)建一個新的案例 new case，記錄與計算機有關(guān)的的計算機媒體如硬盤，內(nèi)存，USB，CD-ROM和其他有用的文件信息，結(jié)合實際案例結(jié)構(gòu)，設(shè)計生產(chǎn)一個證據(jù)實體或證據(jù)源，生產(chǎn)案例報告單。

圖創(chuàng)建鏡像文件過程

操作結(jié)束，將生成TXT格式操作日志，包含如磁盤參數(shù)、MD5值等信息。（2）用X-Ways Forensics的WinHex版本對磁盤克隆，將生成的映像文件分步采集，生成RAW原始數(shù)據(jù)映像文件中的完整目錄結(jié)構(gòu)，刪除某個文件，對該文件自動恢復(fù)，并確定文件類型，接著進行回復(fù)，生成刪除回復(fù)報告。

掃描完成后可以看到被刪除的文件如下圖

文件已被恢復(fù)。（3）用X-Ways Captures將正在運行狀態(tài)下計算機中的所有數(shù)據(jù)采集到外置USB硬盤中，如獲取的內(nèi)存數(shù)據(jù)被加密保護，在其中找出有價值的口令信息。

（4）用X-Ways Captures獲取物理內(nèi)存和虛擬內(nèi)存中所有正在運行的進程，分析進程。（5）用X-Ways Trace對計算機中的瀏覽器上網(wǎng)記錄信息，回收站的刪除記錄進行追蹤和分析。

（6）將第（2），（3），（4）和（5）步中得到的數(shù)據(jù)信息和分析結(jié)果計算 hash 值后保存，再將數(shù)據(jù)信息和分析結(jié)果添加到第一步的案例管理中進行組合和分類，并且對其可信度進行檢驗，將有效的證據(jù)納入最終的證據(jù)集。

心得體會：這個實驗比較難，做這個實驗最大的感觸是計算機取證是一件需要很大的耐心和細心的事情，在實驗指導(dǎo)書和自己的摸索下才會使用X-Ways Forensics，這個工具非常不錯。

第二篇：計算機取證技術(shù)報告

計算機取證技術(shù)報告

今天下午專業(yè)老師給我們講解了計算機取證技術(shù)的知識。以前我以為只有殺人等刑事案件要收集證據(jù)，原來計算機行業(yè)也跟法律息息相關(guān)。計算機在相關(guān)的犯罪案例中可以扮演人侵者的目標、作案的工具和犯罪信息的存儲器這3種角色，計算機(連同它的外設(shè))中都會留下大量與犯罪有關(guān)的數(shù)據(jù)。計算機取證就是對計算機犯罪證據(jù)的識別獲取、傳輸、保存、分析和提交認證，它實質(zhì)是一個詳細掃描計算機系統(tǒng)以及重建入侵事件的過程。

計算機取證學(xué)屬于計算機科學(xué)、刑事偵查學(xué)和法學(xué)的交叉學(xué)科，正日益受到各國和科研機構(gòu)的重視和研究，隨著計算機犯罪網(wǎng)絡(luò)化和智能化，計算機取證方式由以前的靜態(tài)取證，漸發(fā)展為動態(tài)取證。由于計算機取證是一門新的學(xué)科，很少有標準化和法院和行業(yè)之間的一致性。因此，尚未正式確認“科學(xué)”科，我們定義為結(jié)合的學(xué)科，計算機取證法律和計算機科學(xué)的元素，從計算機系統(tǒng)中的數(shù)據(jù)收集和分析，網(wǎng)絡(luò)，無線通信，和存儲設(shè)備的方式，是接納為在法庭上的證據(jù)。

計算機取證的理論和軟件工具是近年來計算機安全領(lǐng)域內(nèi)取得的重大成就，然而我們從計算機取證的軟件和工具的實現(xiàn)過程的分析中可以發(fā)現(xiàn)，當(dāng)前計算機取證技術(shù)還存在著很大的局限性。從理論上講，計算機取證人員能否找到犯罪證據(jù)取決于：有關(guān)犯罪證據(jù)必須沒有覆蓋；取證軟件必須能找到這些證據(jù)；取證人員能知道這些文件，并且能證明它們與犯罪有關(guān)，從當(dāng)前的軟件實現(xiàn)情況來看，許多所謂的“取證分析”軟件還僅僅是恢復(fù)使rm或 strip命令刪除的文件。計算機取證所面臨的問題是入侵者的犯罪手段和犯罪技術(shù)的變化：反取證技術(shù)、一些日志分析工具。

而取證技術(shù)隨著黑客技術(shù)的提高而不斷發(fā)證，為確保取證所需的有效法律證據(jù)，根據(jù)目前網(wǎng)絡(luò)入侵和攻擊手段以及未來黑客技術(shù)的發(fā)展趨勢，以及計算機取證研究工作的不斷深入和改善，計算機取證未來發(fā)展方向：（1）取證工具向智能化專業(yè)化和自動化方向發(fā)展，計算機取證技術(shù)涉及多方面知識，現(xiàn)在許多工作依賴于人工實現(xiàn)，大大降低取證速度和取證結(jié)果的可靠性。（2）取證工具和過程的標準化。目前，很多組織和機構(gòu)都投入了人力對計算機取證進行研究。

計算機取證技術(shù)的相關(guān)法律不斷趨于完善。我國有關(guān)計算機取證的研究與實踐尚在起步階段，只有一些法律法規(guī)涉及到了部分計算機證據(jù)，目前在法律界對電子證據(jù)作為訴公證據(jù)也存在一定的爭議。取證技術(shù)的法律完善是一個亟待解決的問題。計算機取證是一個迅速成長的研究領(lǐng)域，它在國家安全、消費者保護和犯罪調(diào)查方面有著重要的應(yīng)用前景。相信在這一領(lǐng)域的研究會向著深入和綜合的方向不斷前進，使計算機取證科學(xué)發(fā)揮更大的作用。

第三篇：計算機實驗報告

課程：大學(xué)計算機基礎(chǔ) 班級 ： ***** 學(xué)號：** 姓名：***組別： 同組者姓名： 儀器編號： 實驗日期：

實驗 windows 2000 操作[實驗?zāi)康腯1.掌握windows 2000的啟動和退出。熟悉windows 2000的桌面環(huán)境，掌握“回收站”、任務(wù)欄、幫助菜單的使用。2.掌握windows 2000的窗口、菜單以及對話框的操作。掌握“資源管理器”和“我的電腦”的使用。3.掌握文件與文件夾的創(chuàng)建、移動、復(fù)制等基本操作。4.掌握應(yīng)用程序的安裝與刪除、移動與退出，快捷方式的創(chuàng)建與刪除。5.掌握windows 2000系統(tǒng)的設(shè)置，了解windows2000 附件的使用。[實驗環(huán)境]硬件：pentium 以上的計算機。軟件：windows2000 操作系統(tǒng)。[實驗內(nèi)容]

見附件[實驗結(jié)果]1.建立了如下圖所示目錄樹：d： user new1.cod a user2 b bbb new2.docbbb2.完成了“計算機”快捷方式的創(chuàng)建。3．完成了控制面板中顯示、區(qū)域選項等屬性的設(shè)置。實驗指導(dǎo)教師（簽名）實驗成績 實驗報告批改日期： 實驗內(nèi)容：2．（1）打開b文件夾 選中bbb 單擊右鍵后選擇“復(fù)制”命令 打開user文件夾 在空白處單擊右鍵后選擇“粘貼”命令。（2）打開user文件夾 選中b 單擊右鍵后選擇“剪切”命令 打開a文件夾 在空白處單擊右鍵后選擇“粘貼”命令。（3）打開user文件夾 選中c 單擊右鍵后選擇“刪除”命令。3．（1）單擊“開始”按鈕后選擇“搜索/文件或文件夾”命令 在搜索對話框的文件名欄中輸入“calc.exe” 單擊“搜索”按鈕 選中找到的程序 單擊右鍵選擇“發(fā)送到桌面快捷方式”。（2）選中桌面上的“calc.exe”快捷圖標 右鍵單擊后選擇“重命名” 輸入“計算器”。（3）選中桌面“計算器”快捷圖標 按鼠標左鍵拖動到“開始”菜單的“程序”選項中。（4）選中桌面上的“計算器”快捷圖標 按鼠標左鍵拖動到“回收站”圖標上 在確認對話框中單擊“是”。4．（1）打開“控制面板”窗口 雙擊顯示器圖標 單擊“屏幕保護程序”選項卡 在“屏幕保護程序”下拉列表框中選擇“滾動字幕” 單擊設(shè)置按鈕 出現(xiàn)的對話框分別做相應(yīng)的設(shè)置 單擊“應(yīng)用”按鈕 單擊“確定”按鈕。（2）打開“控制面板”窗口 雙擊顯示器圖標 單擊“圖案”按鈕 在圖案列表框中選擇“clouds” 在“顯示圖片”列表框中選擇“居中” 單擊“應(yīng)用” 單擊“確定”。（3）打開“控制面板”窗口 雙擊“區(qū)域選項”圖標 單擊“貨幣”選項卡 在“貨幣符號”下拉列表框中選擇“$” 在“貨幣正數(shù)格式”下拉列表框中選擇“￥1.1” 在“貨幣負數(shù)格式”下拉列表框中選擇“-￥1.1” 單擊“應(yīng)用”按鈕 單擊“確定”按鈕。（4）打開“控制面板”窗口 雙擊“區(qū)域選項”圖標 單擊“數(shù)字”選項卡 在“小數(shù)點后面的位數(shù)”下拉列表框中選擇“2” 在“數(shù)字分組符號”下拉列表框中選擇“,” 在“組中數(shù)字個數(shù)”下拉列表框中選擇“123,456,789” 單擊“應(yīng)用”按鈕 單擊“確定”按鈕。（5）打開“控制面板”窗口 雙擊“區(qū)域選項”圖標 單擊“日期”選項卡 在“短日期格式”下拉列表框中選擇“yy-mm-dd” 單擊“應(yīng)用”按鈕 單擊“確定”按鈕。（6）單擊“時間”選項卡 在“時間格式”下拉列表框中選擇“hh:mm:ss” 在“上午格式”下拉列表框中選擇“am” 在“下午格式”下拉列表框中選擇“pm” 單擊“應(yīng)用”按鈕 單擊“確定”按鈕。（7）打開“控制面板”窗口 雙擊“任務(wù)欄和開始菜單”圖標 在“自動隱藏任務(wù)欄”單選按鈕前打鉤 去掉“顯示時鐘”單選按鈕前的鉤 單擊“應(yīng)用”按鈕 單擊“確定”按鈕。5．（1）單擊“開始”菜單 選擇“程序/附件/畫圖”打開畫圖程序 按要求畫一副風(fēng)景圖。（2）在“畫圖”窗口中單擊“a”按鈕 輸入文字“這是我的家”（3）單擊“文件/保存”菜單 在“文件名”文本框中輸入“我的家 ”存盤（4）打開一副圖片 按[alt]+[print screen] 打開“畫圖”程序 單擊“文件/新建”菜單 在圖紙的空白出單擊右鍵選擇“粘貼” 單擊“文件/保存”菜單 在“文件名”文本框中輸入“截圖 ”存盤。

004km.cn【xiexiebang.com范文網(wǎng)】

第四篇：計算機實驗報告

計算機實驗報告

課程名稱：大學(xué)計算機基礎(chǔ)。實驗名稱：演示文稿的操作。實驗?zāi)康模和ㄟ^上機實踐操作，理解并掌握了演示文稿的創(chuàng)建及基本操作。實驗儀器與器材：計算機，U盤。

實驗內(nèi)容：使用“歡天喜地”設(shè)計模板創(chuàng)建演示文稿。1‘第一張幻燈片應(yīng)用“標題幻燈片”板式。2’設(shè)置標題為“祝您生日快樂”，字體為“楷體”，“加粗”，“傾斜”，“陰影”，字號為44，顏色為“紅色”。3‘在第一張幻燈片的右下方插入一張來自文件的圖片。4’插入第二張幻燈片，應(yīng)用空白版式。5‘在第二張幻燈片插入藝術(shù)字“生日快樂”，字體為“宋體”，“加粗”，“傾斜”，字號為80，藝術(shù)字的形狀為“波形2”，設(shè)定為“底部飛入”的動畫效果。6’在藝術(shù)字下方插入一張剪貼畫。

實驗步驟：1‘雙擊POWERPOINT圖標打開演示文稿。2‘在“新建演示文稿”任務(wù)窗格中單擊“根據(jù)設(shè)計模板”鏈接，打開“幻燈片設(shè)計”任務(wù)窗格，單擊“歡天喜地”模板，當(dāng)前幻燈片默認使用標題版式。3’單擊文本框輸入“祝您生日快樂”，選定輸入的文字，右鍵單擊，選中下拉框中的“字體”，設(shè)置為“楷體”，字形為“加粗傾斜”，字號為44，勾選效果中的“陰影”，選定顏色下拉框中的“紅色”。4‘執(zhí)行“插入”|“圖片”|“來自文件”命令，單擊要應(yīng)用的圖片，并將圖片拖拽到第一張幻燈片中的右下方。5’執(zhí)行“插入”|“新幻燈片”，然后執(zhí)行“格式”|“幻燈片版式”命令，選擇“空白”版式。6‘在第二張幻燈片中執(zhí)行“插入”|“圖片”|“藝術(shù)字”命令，單擊“波形2”藝術(shù)字形狀，在編輯藝術(shù)框中輸入“生日快樂”，選定字體為“宋體”，字號為80，“加粗”，“傾斜”，點擊確定。右鍵單擊藝術(shù)字，選定“自定義動畫”，執(zhí)行“添加效果”|“進入”|“飛入”|“方向”|“自底部”命令。7’執(zhí)行“插入”|“圖片”|“剪貼畫”命令，在“剪貼畫”窗格下單擊“管理剪輯”，選定所應(yīng)用的剪貼畫，并將其拖拽到藝術(shù)字下方。8‘點擊“保存”后，關(guān)閉演示文稿。實驗結(jié)果及收獲：完成了演示文稿的創(chuàng)建及操作，學(xué)會了演示文稿的基本應(yīng)用。

第五篇：計算機實驗報告范本

PowerPoint 2003演示文稿制作

1.實驗性質(zhì)：設(shè)計性實驗

2.所屬課程名稱：大學(xué)計算機基礎(chǔ)

3.實驗計劃學(xué)時：4

4.實驗?zāi)康?)掌握PowerPoint 2003 的基本界面和文稿基本操作，掌握幻燈片編輯排版基本操作。

2)掌握設(shè)置動畫和切換效果、設(shè)置幻燈片放映方式、超級鏈接和動作按鈕的設(shè)置、幻燈片放映、頁面設(shè)置和打印。

5.實驗內(nèi)容和要求

1)掌握演示文稿的編輯方法，包括文稿的多種創(chuàng)建方法，文稿的插入、移動、復(fù)制、刪除操作方法。

2)掌握演示文稿的外觀設(shè)計方法，包括設(shè)計模板的使用；應(yīng)用配色方案；母版的使用。

3)掌握演示文稿中對象的編輯方法，包括文本對象、圖片對象、表格對象、組織結(jié)構(gòu)對象、圖表對象等。

4)掌握演示文稿的動態(tài)控制方法，如動畫效果的添加、超鏈接的創(chuàng)建、動作按鈕的使用等。

5)掌握演示文稿的放映方法，如放映方式的設(shè)置、幻燈片切換效果的設(shè)置、幻燈片的放映和打印。

6.實驗主要儀器設(shè)備

WindowsXP操作系統(tǒng)；PowerPoint2003

7.實驗步驟

8.實驗結(jié)果

[對實驗結(jié)果進行總結(jié)：

1、是否按時完成實驗；

2、是否得到正確結(jié)果；

3、有什么遺留問題尚待解決]

9.討論和分析

[

1、討論實驗過程中所遇到的問題，尋求解決辦法；

2、對本實驗的各類型知識進行總結(jié)、歸類]