藍(lán)盾在線取證系統(tǒng)操作手冊(cè)天海威數(shù)碼技術(shù)日期：2006-09-24TOC\o"1-5"\h\z\o"CurrentDocument".概述 2\o"CurrentDocument"系統(tǒng)簡(jiǎn)介 2\o"CurrentDocument"系統(tǒng)部署 3\o"CurrentDocument"系統(tǒng)特點(diǎn) 3\o"CurrentDocument".系統(tǒng)界面 4\o"CurrentDocument"存儲(chǔ)媒介獲取系統(tǒng) 4\o"CurrentDocument"易丟失數(shù)據(jù)獲取系統(tǒng) 14\o"CurrentDocument".操作指南--存儲(chǔ)媒介獲取系統(tǒng) 25\o"CurrentDocument"準(zhǔn)備工作 25\o"CurrentDocument"克隆宿主計(jì)算機(jī)物理磁盤(pán) 26\o"CurrentDocument"克隆宿主計(jì)算機(jī)物理磁盤(pán)中的一個(gè)分區(qū) 27\o"CurrentDocument"克隆宿主計(jì)算機(jī)邏輯磁盤(pán) 28\o"CurrentDocument"將宿主計(jì)算機(jī)磁盤(pán)數(shù)據(jù)復(fù)制到文件 29\o"CurrentDocument"提取宿主計(jì)算機(jī)磁盤(pán)中的某一存儲(chǔ)區(qū)域 30\o"CurrentDocument"復(fù)制宿主計(jì)算機(jī)存儲(chǔ)媒介上的文件 31\o"CurrentDocument"在宿主計(jì)算機(jī)存儲(chǔ)媒介上搜索文件 33\o"CurrentDocument".操作指南一易丟失數(shù)據(jù)獲取系統(tǒng) 37\o"CurrentDocument"準(zhǔn)備工作 37\o"CurrentDocument"提取宿主計(jì)算機(jī)的網(wǎng)絡(luò)類易丟失數(shù)據(jù) 38\o"CurrentDocument"提取宿主計(jì)算機(jī)的進(jìn)程類易丟失數(shù)據(jù) 39\o"CurrentDocument"提取宿主計(jì)算機(jī)的自啟動(dòng)程序數(shù)據(jù) 40\o"CurrentDocument"提取宿主計(jì)算機(jī)的物理存數(shù)據(jù) 41\o"CurrentDocument"提取宿主計(jì)算機(jī)的應(yīng)用程序存數(shù)據(jù) 42\o"CurrentDocument"瀏覽宿主計(jì)算機(jī)的物理存 43\o"CurrentDocument"瀏覽宿主計(jì)算機(jī)的應(yīng)用程序存 44\o"CurrentDocument"比對(duì)兩次提取的易丟失數(shù)據(jù) 45\o"CurrentDocument"閱讀已經(jīng)提取的易丟失數(shù)據(jù) 47\o"CurrentDocument"5、典型應(yīng)用 50\o"CurrentDocument"宿主計(jì)算機(jī)存儲(chǔ)媒介的提取 50\o"CurrentDocument"宿主計(jì)算機(jī)易丟失數(shù)據(jù)的提取 55\o"CurrentDocument"6、名詞解釋 611.概述系統(tǒng)簡(jiǎn)介藍(lán)盾在線取證系統(tǒng)是一套基于光盤(pán)運(yùn)行的證據(jù)提取系統(tǒng)，藍(lán)盾在線取證系統(tǒng)的任務(wù)是將用戶需要獲取的存儲(chǔ)媒介、易丟失數(shù)據(jù)等證據(jù)信息快速提取到USB、1394等移動(dòng)存儲(chǔ)設(shè)備上，并在提取的同時(shí)進(jìn)行校驗(yàn)。主要包括PE啟動(dòng)光盤(pán)、存儲(chǔ)媒介獲取系統(tǒng)和易丟失數(shù)據(jù)獲取系統(tǒng)三部分。其中：PE啟動(dòng)光盤(pán)：提供圖形界面的光盤(pán)啟動(dòng)操作環(huán)境，對(duì)宿主計(jì)算機(jī)原有存儲(chǔ)設(shè)備只讀，并支持FAT16、FAT32、NTFS、EXT2、EXT3等磁盤(pán)文件系統(tǒng)；PE操作環(huán)境支持簡(jiǎn)體、繁體等中文編碼；PE操作環(huán)境支持對(duì)USB、1394等移動(dòng)存儲(chǔ)設(shè)備的即插即用。存儲(chǔ)媒介獲取系統(tǒng)：提供將宿主計(jì)算機(jī)原有存儲(chǔ)媒介快速?gòu)?fù)制到移動(dòng)設(shè)備的功能，可以用來(lái)提取宿主計(jì)算機(jī)的物理存儲(chǔ)媒介、邏輯存儲(chǔ)媒介、分區(qū)、存儲(chǔ)區(qū)域、文件等靜態(tài)存儲(chǔ)媒介；支持在復(fù)制的過(guò)程中同步計(jì)算校驗(yàn)碼。易丟失數(shù)據(jù)獲取系統(tǒng)：提供對(duì)宿主計(jì)算機(jī)易丟失數(shù)據(jù)的快速獲取、比對(duì)功能，可以用來(lái)提取宿主計(jì)算機(jī)的基本信息、網(wǎng)絡(luò)連接、網(wǎng)絡(luò)服務(wù)程序、網(wǎng)絡(luò)訪問(wèn)程序、進(jìn)程、文件訪問(wèn)、物理存、應(yīng)用程序存、虛擬存等動(dòng)態(tài)信息。系統(tǒng)部署藍(lán)盾在線取證系統(tǒng)無(wú)須安裝，根據(jù)任務(wù)的不同可采用兩種運(yùn)行方式：1、光盤(pán)啟動(dòng)方式：用于提取宿主計(jì)算機(jī)的存儲(chǔ)媒介。使用本方式時(shí)，系統(tǒng)對(duì)宿主計(jì)算機(jī)的存儲(chǔ)媒介只讀，提取的數(shù)據(jù)存儲(chǔ)到1394、USB等移動(dòng)存儲(chǔ)設(shè)備。2、光盤(pán)運(yùn)行方式：用于提取宿主計(jì)算機(jī)當(dāng)前的動(dòng)態(tài)運(yùn)行信息。使用本方式時(shí)，系統(tǒng)對(duì)宿主計(jì)算機(jī)的基本信息、網(wǎng)絡(luò)連接、網(wǎng)絡(luò)服務(wù)程序、網(wǎng)絡(luò)訪問(wèn)程序、進(jìn)程、文件訪問(wèn)、物理存、應(yīng)用程序存、虛擬存等動(dòng)態(tài)信息進(jìn)行快速提取、閱讀、比對(duì)及取證。系統(tǒng)特點(diǎn)1、宿主計(jì)算機(jī)的存儲(chǔ)媒介只讀；2、支持包括FAT16、FAT32、NTFS、EXT2、EXT3等多種文件系統(tǒng)格式；3、存儲(chǔ)媒介的提取方式多樣，支持物理磁盤(pán)、分區(qū)、邏輯磁盤(pán)、存儲(chǔ)區(qū)域、文件、目錄等多種復(fù)制源4、速度快，最高可達(dá)2GB/分鐘5、支持對(duì)各種易丟失數(shù)據(jù)的快速獲取，包括基本信息、網(wǎng)絡(luò)連接、網(wǎng)絡(luò)服務(wù)程序、網(wǎng)絡(luò)訪問(wèn)程序、進(jìn)程、文件訪問(wèn)、物理存、應(yīng)用程序存、虛擬存等。

2.系統(tǒng)界面存儲(chǔ)媒介獲取系統(tǒng)主界面如圖所示，存儲(chǔ)媒介獲取系統(tǒng)系統(tǒng)主界面由系統(tǒng)菜單、工具欄、設(shè)備面板、數(shù)據(jù)區(qū)、信息區(qū)等部分組成。其中：系統(tǒng)菜單：提供系統(tǒng)具備的各種功能操作菜單；包括文件、編輯、取證、顯示、窗口等菜單；工具欄：提供常用功能的快捷操作按鈕；包括打開(kāi)、另存為、搜索、前進(jìn)、后退、退出等功能按鈕;設(shè)備面板：顯示宿主計(jì)算機(jī)的物理存儲(chǔ)設(shè)備表，以及關(guān)聯(lián)的邏輯設(shè)備表；顯示當(dāng)前移動(dòng)設(shè)備列表；數(shù)據(jù)區(qū)：顯示物理設(shè)備、邏輯設(shè)備、目錄、文件列表；信息區(qū)：顯示當(dāng)前資源的常規(guī)信息。系統(tǒng)菜單和工具欄［文件］:包括打開(kāi)、另存為、設(shè)置取證參數(shù)、退出等子菜單。其中：打開(kāi)：根據(jù)文件類型打開(kāi)選中的文件。打開(kāi)方式包括文本、WORD、二進(jìn)制等方式。另存為：將當(dāng)前瀏覽的文件保存為另一個(gè)文件。設(shè)置取證據(jù)參數(shù):彈出參數(shù)設(shè)置窗體，設(shè)置案件的基本信息和取證的基本參數(shù)。［編輯］:包括搜索、閱讀、自動(dòng)識(shí)別編碼、自動(dòng)識(shí)別文件類型、獲取文件版本信息等子菜單。其中：搜索：彈出搜索窗體搜索符合指定條件的文件。閱讀：打開(kāi)被選擇的資源，顯示資源的容。包括物理磁盤(pán)、邏輯磁盤(pán)、文件等。自動(dòng)識(shí)別編碼:選中本項(xiàng)時(shí)系統(tǒng)在打開(kāi)文件時(shí)按照文件的編碼類型自動(dòng)使用對(duì)應(yīng)的解析插件。自動(dòng)識(shí)別文件類型:選中本項(xiàng)時(shí)系統(tǒng)在打開(kāi)文件時(shí)按照文件的類型使用不同的打開(kāi)閱讀方式。獲取文件版本信息:選中本項(xiàng)時(shí)系統(tǒng)獲取文件列表時(shí)同步獲取文件的版本信息。［取證］:包括物理磁盤(pán)取證、分區(qū)取證、邏輯磁盤(pán)取證、存儲(chǔ)區(qū)域取證、文件取證等子菜單；［顯示］:包括新建搜索窗口和系統(tǒng)工具等子菜單；設(shè)備面板設(shè)備面板由宿主計(jì)算機(jī)、移動(dòng)設(shè)備兩類設(shè)備樹(shù)組成，用來(lái)顯示宿主計(jì)算機(jī)當(dāng)前的存儲(chǔ)設(shè)備列表。其中：［宿主計(jì)算機(jī)］:顯示宿主計(jì)算機(jī)存儲(chǔ)媒介樹(shù)；［移動(dòng)設(shè)備］:顯示當(dāng)前接入的移動(dòng)設(shè)備樹(shù)；設(shè)備面板支持鼠標(biāo)右鍵彈出菜單操作，包括搜索、取證、閱讀、屬性等快捷子菜單。其中：［搜索］:彈出搜索窗體，開(kāi)啟一個(gè)文件搜索任務(wù)；［取證］:彈出取證窗體，開(kāi)啟一個(gè)取證任務(wù)；［閱讀］:彈出閱讀窗體，顯示當(dāng)前資源的容；［屬性］:彈出屬性窗體，顯示當(dāng)前資源的常規(guī)屬性信息。數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)由設(shè)備視圖、文件表組成。數(shù)據(jù)區(qū)的容與設(shè)備面板聯(lián)動(dòng)，顯示設(shè)備面板當(dāng)前設(shè)備下的一級(jí)子樹(shù)。數(shù)據(jù)區(qū)支持鼠標(biāo)右鍵彈出菜單操作，包括搜索、取證、閱讀、屬性等快捷子菜單。其中：［搜索］:彈出搜索窗體，開(kāi)啟一個(gè)文件搜索任務(wù)；［取證］:彈出取證窗體，開(kāi)啟一個(gè)取證任務(wù)；［閱讀］:彈出閱讀窗體，顯示當(dāng)前資源的容；［屬性］:彈出屬性窗體，顯示當(dāng)前資源的常規(guī)屬性信息。主要操作窗口1、資源搜索窗體功能：在宿主計(jì)算機(jī)存儲(chǔ)媒介中搜索指定條件的資源。組成：由搜索助理、結(jié)果區(qū)兩部分組成。選項(xiàng)：搜索助理中可設(shè)置的搜索條件項(xiàng)目包括文件名、文件容、地址圍、時(shí)間圍、大小圍等。按鈕：包括搜索、取消、確定等按鈕。點(diǎn)擊［搜索］按鈕開(kāi)始搜索，點(diǎn)擊［取消］按鈕終止搜索，點(diǎn)擊［確定］按鈕關(guān)閉搜索助理。菜單：搜索結(jié)果區(qū)支持鼠標(biāo)右鍵彈出菜單，包括閱讀、取證、屬性等子菜單。

搜索結(jié)束后，在搜索助理欄顯示符合搜索條件的文件數(shù)量，在結(jié)果區(qū)中顯示滿足條件的文件列表。2、物理磁盤(pán)取證窗體功能：將宿主計(jì)算機(jī)的物理磁盤(pán)復(fù)制到移動(dòng)磁盤(pán)，復(fù)制結(jié)果可以是磁盤(pán)克隆，也可以是磁盤(pán)數(shù)據(jù)文件。物理磁盤(pán)（源設(shè)備）：國(guó)扁盤(pán)1［即的應(yīng)0T節(jié)］移動(dòng)磁盤(pán)C目的設(shè)備）:國(guó)磁盤(pán)3［伽5711WE□嚀節(jié)］存儲(chǔ)方式r以文件方式存放|1:\cp\l11\phydisk_l.dal選項(xiàng)：包括物理磁盤(pán)、移動(dòng)磁盤(pán)、存儲(chǔ)方式、同步進(jìn)行校驗(yàn)等。其中：物理磁盤(pán)是要復(fù)制的宿主計(jì)算機(jī)源存儲(chǔ)設(shè)備；移動(dòng)磁盤(pán)是復(fù)制的目的地；存儲(chǔ)方式是復(fù)制的結(jié)果類型，當(dāng)選中［以文件方式存放］時(shí)，系統(tǒng)按照物理磁盤(pán)的邏輯存儲(chǔ)順序?qū)⑽锢泶疟P(pán)整盤(pán)寫(xiě)到目標(biāo)文件，否則系統(tǒng)將以克隆方式整盤(pán)復(fù)制源盤(pán)到移動(dòng)磁盤(pán)；同步進(jìn)行校驗(yàn)是指是否在復(fù)制的過(guò)程中同步計(jì)算MD5校驗(yàn)碼。按鈕：包括開(kāi)始、取消等。點(diǎn)擊［開(kāi)始］按鈕開(kāi)始復(fù)制，點(diǎn)擊［取消］按鈕終止復(fù)制。3、分區(qū)取證窗體功能：將宿主計(jì)算機(jī)物理磁盤(pán)的指定分區(qū)復(fù)制到移動(dòng)磁盤(pán)，復(fù)制結(jié)果可以是分區(qū)克隆，也可以是磁盤(pán)數(shù)據(jù)文件。選項(xiàng)：包括物理分區(qū)、移動(dòng)磁盤(pán)、存儲(chǔ)方式、同步進(jìn)行校驗(yàn)等。其中：物理分區(qū)是要復(fù)制的宿主計(jì)算機(jī)源存儲(chǔ)分區(qū)；移動(dòng)磁盤(pán)是復(fù)制的目的地；存儲(chǔ)方式是復(fù)制的結(jié)果類型，當(dāng)選中［以文件方式存放］時(shí)，系統(tǒng)按照物理分區(qū)的邏輯存儲(chǔ)順序?qū)⑽锢矸謪^(qū)整盤(pán)寫(xiě)到目標(biāo)文件，否則系統(tǒng)將以克隆方式復(fù)制分區(qū)到移動(dòng)磁盤(pán)；同步進(jìn)行校驗(yàn)是指是否在復(fù)制的過(guò)程中同步計(jì)算MD5校驗(yàn)碼。按鈕：包括開(kāi)始、取消等。點(diǎn)擊［開(kāi)始］按鈕開(kāi)始復(fù)制，點(diǎn)擊［取消］按鈕終止復(fù)制。4、邏輯磁盤(pán)取證窗體功能：將宿主計(jì)算機(jī)指定邏輯磁盤(pán)復(fù)制到移動(dòng)磁盤(pán)，復(fù)制結(jié)果可以是邏輯磁盤(pán)克隆，也可以是磁盤(pán)數(shù)據(jù)文件。選項(xiàng)：包括邏輯磁盤(pán)、移動(dòng)磁盤(pán)、存儲(chǔ)方式、同步進(jìn)行校驗(yàn)等。其中：邏輯磁盤(pán)是要復(fù)制的宿主計(jì)算機(jī)源邏輯存儲(chǔ)設(shè)備；移動(dòng)磁盤(pán)是復(fù)制的目的地；存儲(chǔ)方式是復(fù)制的結(jié)果類型，當(dāng)選中［以文件方式存放］時(shí)，系統(tǒng)按照邏輯磁盤(pán)的存儲(chǔ)順序?qū)⑽锢矸謪^(qū)整盤(pán)寫(xiě)到目標(biāo)文件，

否則系統(tǒng)將以克隆方式復(fù)制邏輯磁盤(pán)到移動(dòng)磁盤(pán)；同步進(jìn)行校驗(yàn)是指是否在復(fù)制的過(guò)程中同步計(jì)算MD5校驗(yàn)碼。按鈕：包括開(kāi)始、取消等。點(diǎn)擊［開(kāi)始］按鈕開(kāi)始復(fù)制，點(diǎn)擊［取消］按鈕終止復(fù)制。5、存儲(chǔ)區(qū)域取證窗體功能：將宿主計(jì)算機(jī)物理磁盤(pán)或邏輯磁盤(pán)中指定的區(qū)域復(fù)制到移動(dòng)磁盤(pán)數(shù)據(jù)文件。選項(xiàng)：包括宿主磁盤(pán)、開(kāi)始扇區(qū)、扇區(qū)數(shù)量、目的文件、同步進(jìn)行校驗(yàn)等。其中：宿主磁盤(pán)是要復(fù)制存儲(chǔ)區(qū)域的宿主計(jì)算機(jī)存儲(chǔ)設(shè)備;開(kāi)始扇區(qū)是要復(fù)制的存儲(chǔ)區(qū)域起始地址；扇區(qū)數(shù)量是要復(fù)制的存儲(chǔ)區(qū)域大??；同步進(jìn)行校驗(yàn)是指是否在復(fù)制的過(guò)程中同步計(jì)算MD5校驗(yàn)碼。按鈕：包括開(kāi)始、取消等。點(diǎn)擊［開(kāi)始］按鈕開(kāi)始復(fù)制，點(diǎn)擊［取消］按鈕終止復(fù)制。6、文件取證窗體功能：將宿主計(jì)算機(jī)存儲(chǔ)媒介中指定的文件集合復(fù)制到移動(dòng)磁盤(pán)中。選項(xiàng)：包括源文件列表、保存地址、同步進(jìn)行校驗(yàn)等。其中：源文件列表是要復(fù)制的宿主計(jì)算機(jī)文件集合；保存地址是要復(fù)制到的目的路徑；同步進(jìn)行校驗(yàn)是指是否在復(fù)制的過(guò)程中同步計(jì)算MD5校驗(yàn)碼。按鈕：包括增加、刪除、全清、開(kāi)始、取消等。點(diǎn)擊［開(kāi)始］按鈕開(kāi)始復(fù)制，點(diǎn)擊［取消］按鈕終止復(fù)制。［增加］按鈕用來(lái)向源文件列表添加要復(fù)制的文件，［刪除］按鈕用來(lái)從源文件列表中刪除指定的文件項(xiàng)，［全清］按鈕用來(lái)清除源文件列表中的所有文件項(xiàng)。易丟失數(shù)據(jù)獲取系統(tǒng)主窗口如圖所示，易丟失數(shù)據(jù)獲取系統(tǒng)主窗體主要由系統(tǒng)菜單、工具欄、數(shù)據(jù)列表、數(shù)據(jù)區(qū)等部分組成。其中：系統(tǒng)菜單：包括文件、編輯、任務(wù)、顯示、工具等子菜單組成;工具欄：建立檔案、執(zhí)行、終止、取證、退出等按鈕組成；數(shù)據(jù)列表：由檔案樹(shù)、歷史數(shù)據(jù)樹(shù)等部分組成；數(shù)據(jù)區(qū)：用來(lái)顯示數(shù)據(jù)列表中選擇的數(shù)據(jù)容。系統(tǒng)菜單和工具欄［文件］:包括新建檔案、打開(kāi)、另存為、設(shè)置取證參數(shù)、退出等子菜單。其中：新建檔案：在檔案列表中建立一個(gè)新的易丟失數(shù)據(jù)工作集合；打開(kāi):將保存的易丟失數(shù)據(jù)文件添加到歷史數(shù)據(jù)區(qū)中以便瀏覽比對(duì)；另存為：將當(dāng)前選擇的易丟失數(shù)據(jù)保存到另一個(gè)文件;設(shè)置取證參數(shù):設(shè)置提取證據(jù)需要的一些基本信息，包括案件信息和存儲(chǔ)參數(shù)等。［編輯］:包括取證、比對(duì)、刪除數(shù)據(jù)文件、瀏覽物理存、瀏覽進(jìn)程存等子菜單。其中：取證：對(duì)當(dāng)前選擇的易丟失數(shù)據(jù)進(jìn)行取證；回：比較兩個(gè)不同時(shí)間獲取的易丟失數(shù)據(jù)的差異；刪除數(shù)據(jù)文件：刪除當(dāng)前選擇的易丟失數(shù)據(jù)文件;瀏覽物理存：按頁(yè)顯示宿主計(jì)算機(jī)的物理存中的數(shù)據(jù);瀏覽進(jìn)程存：按頁(yè)顯示宿主計(jì)算機(jī)某一進(jìn)程使用的物理存、虛擬存中的數(shù)據(jù)。［任務(wù)］:包括運(yùn)行、停止、刪除檔案、自動(dòng)比對(duì)等子菜單。其中:運(yùn)行：對(duì)當(dāng)前選擇的檔案包含的易丟失數(shù)據(jù)集合進(jìn)行提取。停止：終止當(dāng)前正在提取易丟失數(shù)據(jù)的工作。刪除檔案:從檔案列表中刪除當(dāng)前選擇的檔案，并同時(shí)刪除該檔案下的易丟失數(shù)據(jù)文件。數(shù)據(jù)列表數(shù)據(jù)列表區(qū)域由檔案列表和歷史數(shù)據(jù)列表兩部分組成。其中：檔案列表：顯示用戶建立的易丟失數(shù)據(jù)工作檔案，以及各檔案對(duì)應(yīng)提取的易丟失數(shù)據(jù)文件。歷史數(shù)據(jù)：顯示用戶打開(kāi)（加載）的已提取的易丟失數(shù)據(jù)文件。數(shù)據(jù)列表區(qū)域支持鼠標(biāo)右鍵彈出菜單，包括比對(duì)、取證等快捷子菜單。主要操作窗口1、建立新檔案窗體功能：用來(lái)向主窗體數(shù)據(jù)列表中加入一個(gè)新的易丟失數(shù)據(jù)提取檔案。選項(xiàng)：包括系統(tǒng)基本信息、網(wǎng)絡(luò)連接狀態(tài)、開(kāi)啟網(wǎng)絡(luò)服務(wù)的程序、進(jìn)行網(wǎng)絡(luò)訪問(wèn)的程序、系統(tǒng)進(jìn)程信息、被調(diào)用打開(kāi)的文件、進(jìn)程打開(kāi)的文件信息、系統(tǒng)自啟動(dòng)程序、物理存、應(yīng)用程序存等易丟失數(shù)據(jù)選擇項(xiàng)，還包括定時(shí)獲取易丟失數(shù)據(jù)選擇項(xiàng)等。其中：系統(tǒng)基本信息：選擇此項(xiàng)檔案將獲取宿主計(jì)算機(jī)的操作系統(tǒng)、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等信息。網(wǎng)絡(luò)連接狀態(tài):選擇此項(xiàng)檔案將獲取宿主計(jì)算機(jī)當(dāng)前的網(wǎng)絡(luò)連接狀態(tài)信息。開(kāi)啟網(wǎng)絡(luò)服務(wù)的程序:選擇此項(xiàng)檔案將獲取宿主計(jì)算機(jī)當(dāng)前開(kāi)啟的網(wǎng)絡(luò)服務(wù)信息。進(jìn)行網(wǎng)絡(luò)訪問(wèn)的程序:選擇此項(xiàng)檔案將獲取宿主計(jì)算機(jī)當(dāng)前訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序信息。系統(tǒng)進(jìn)程信息：選擇此項(xiàng)檔案將獲取宿主計(jì)算機(jī)當(dāng)前運(yùn)行的進(jìn)程信息。被調(diào)用打開(kāi)的文件:選擇此項(xiàng)檔案將獲取宿主計(jì)算機(jī)當(dāng)前被調(diào)用打開(kāi)的文件信息。進(jìn)程打開(kāi)的文件信息：選擇此項(xiàng)檔案將獲取宿主計(jì)算機(jī)進(jìn)程打開(kāi)的文件信息。系統(tǒng)自啟動(dòng)程序：選擇此項(xiàng)檔案將獲取宿主計(jì)算機(jī)當(dāng)前正在運(yùn)行的自啟動(dòng)進(jìn)程信息，以及計(jì)算機(jī)中各自啟動(dòng)配置項(xiàng)信息。物理存:選擇此項(xiàng)檔案將獲取宿主計(jì)算機(jī)當(dāng)前物理存中的數(shù)據(jù)。其中物理存的獲取圍未指定時(shí)獲取宿主計(jì)算機(jī)全部物理存數(shù)據(jù)。應(yīng)用程序存:選擇此項(xiàng)檔案將獲取宿主計(jì)算機(jī)指定進(jìn)程使用的物理存、虛擬存中的數(shù)據(jù)。其中虛擬存可以根據(jù)指定的保護(hù)屬性和頁(yè)面狀態(tài)獲取虛擬存的特定集合，默認(rèn)選擇（WINDOWS任務(wù)管理器中顯示的虛擬存圍）的保護(hù)屬性為讀寫(xiě)、拷貝、執(zhí)行、執(zhí)行讀寫(xiě)、執(zhí)行拷貝。間隔：選擇此項(xiàng)系統(tǒng)將按照設(shè)定的時(shí)間間隔定時(shí)獲取各易丟失數(shù)據(jù)。2、易丟失數(shù)據(jù)文件數(shù)據(jù)瀏覽窗體本窗體為主窗體中的數(shù)據(jù)區(qū)，根據(jù)選擇的易丟失數(shù)據(jù)類型不同顯示不同的窗體結(jié)構(gòu)。女件:1:\cp\L1L\2006-03-261]0_4D.nanBf|a|:2006-09-2011計(jì)策機(jī)名：FRfGWXP搽作系統(tǒng);KFProfessionalEditionSrrvicrFact2build2600版:5,I.2600ServicePack2CP住斯±2392I蠅內(nèi)有何條內(nèi)存：工3261G囪由;任H1十&RTL8139FaniljPCIFastE-thernrtNIC#2-軟據(jù)包"ri■劃程序JU匚地址sOO-lD-5C-F0-6A-8EIRffifik：192.IdS.0.59于網(wǎng)通嗎266,256.0默認(rèn)網(wǎng)關(guān):192,168.0.1麻盤(pán);JTaxtnr6E040L0U'sELEIESFE士?。。?1L0994M4O速盤(pán)由UANTUKFIREBALLCR6.4AHi：12091470486B644061952i：i售 盤(pán):QUMHMFl即血LLctlE16niifiL2014ML85DA<bsl6019361280譽(yù)S：QUMrU]IFIREBALLLctl515ID；6l2014Wl85n大小:皿口。1]沏叩花尾仁）文件卷蟹:FAT32容量:LOTB9L09B72劇余空間；50羽引用8

文本信息瀏覽：顯示易丟失數(shù)據(jù)文件中存儲(chǔ)的系統(tǒng)基本信息等文本信息。網(wǎng)絡(luò)信息瀏覽：顯示易丟失數(shù)據(jù)文件中存儲(chǔ)的網(wǎng)絡(luò)連接狀態(tài)、開(kāi)啟網(wǎng)絡(luò)服務(wù)的程序、訪問(wèn)網(wǎng)絡(luò)的程序等網(wǎng)絡(luò)信息。協(xié)議I本地而止I本地端口丁遠(yuǎn)程地址I遠(yuǎn)程端口I連接原ImT關(guān)聯(lián)文拜 |7TCTCTCTCICTCTC皿皿皿皿UIJTTD皿皿up皿皿TCTCTCTCICTCTC皿皿皿皿UIJTTD皿皿up皿皿PFPPPPPPPPPPPPPPPPU.U.U.0n.n.n.no.o.o.oo.o.o.o99535E二95O68676O278

344234O23555O3331440145_u_u_u-u45_u11JI1-1-1-1TJ1-J.0.0.0n.0.0.0J.U.U.ULZSTENINGU88C:\WINDOVS\s...LISTENINGUSSc：\wiitooy^\s...LISTENING880SystemLISTENINGU88C:\WIMDOVS\s...L-3IEinrJGqSywtemLZSTENINGU88C:\WINDOWS\s...LISTENING4System4Systejtl652C:\WINDOVS\s...1040System1040System1040Sywtemin4nSyst巳m1188C:\WIMDOWS\s...652C:\WIMDOVS\s...1376C:\Progr3JiF.■B4System4System進(jìn)程信息瀏覽：顯示易丟失數(shù)據(jù)文件中存儲(chǔ)的系統(tǒng)進(jìn)程、被調(diào)用打開(kāi)的文件、進(jìn)程打開(kāi)的文件等進(jìn)程、文件信息。??i：l川凌比河內(nèi)尋產(chǎn)E匚二 「-1、=三一,間 一IdL.BSystemSim.S5：6csrssaE：zewinlagon.exrsem-Grs.esesvchjQst-exeSVChOSt.8&日suchait-ewe 'svchojtreseinetinfoaes&：Esploirr.EKEpfv-BWIMtfORIi.EKE-AeentSvr.ase：iexplate. ：nspaititresed1 ?|Cs\WIHD0W5\3yFtendElitist13&1明dl1 6S5OS2口口5-09-L20,..Ce訃EDMNSi盟siSUtietsw\IBFOCOJDLdll 25TQ24200E^09-120...C:\WIHDOWS\zys-ten3 srv\IISFECWV.dll 71682005-09-12Q...Cs\NIHDWG矽Een32\inei：srv\w3svc.dll 3445762005-09-12CL..C:\WIMDUlVS\iys-tm32\irv=t1aruini.dl1 ]33122005-09-120...Cs\WINDnW5\3yFter\.3E\TWVTEOGk,dll 四口剛口2005-09-LZ口\WLHD0WS\sys1白22\hnetcfg.dll 333324200卜。9-12L…匚CWIUDQWWgyrtenlEbrshtcpiji.dll1 ]996S 2QQ&-09-L2 ]...Cs^WOWS^yErteriJEVvititnist.dll L75316 2005-09-12 J,C：\WIMDUlUS\iys-teri32UNAj&EHLP.dll L443B4 2005-09-12 ]...Cs^^lUDOWSVsyFtElinetsrv\iscaiilof,dll 2506S2005-09-120,..Cs\NDIDW外對(duì)￡1日22\D聆APIill Ld8dB0200^09-12L…Cs\WIHD0W5\5y5lendEVitietsrv\sspifiL-t,dll 46532 2口口卜唯-L2 0,..Cs\NIHDUN?Sysnen32\inetDon^fiLt.dll 24054 2005-09-12 CL ..C:MUIMDOlUSViys-tenl2\irb=t=rv\Erip.dLl 322&fi 2005-09-12 0...C:\^rRD0WS\S7FterI3SlinetsrirVpvsdsta.dll T6B0 200^09-12 0,..Ce\WUIDOWS\Sy￡1enlSVitietsrJid5fill.dll 373B8 200^09-12 0...C^WINDOWSVsyslcniJElvdicest.dll 49152 20Q5-09-L2 .CsXFioeisiiFiles-DCDiuianFilae:\TIjciosaflSh.sied\WebServet Eaterisia.B 2054L 20GE^09-12 CL ..C:\WIMDUlVS\Nicroja￡-t.NET\Fi:uiciraeJc^v].L_41SfiV^pnEt ￡iltEC.dll 245?fi 2003^02-20 ]...Cs\WIBDOWSVIicr.z.safl.NErVFrajieYarkWl.1.?22hiTE1/CRTLdll 3481602003-02-21?！赲WLHD0WS\sys1白2EUtxetsrv\h1tp&x1.dlL 2682B8200卜?-12k…Cj\WIND0W5\3yFter13ElV50CK32,dll 2S6722005-09-LZ],..Ce\WL!ID0WS\Sys1日2 ill 163花200b09-12L…C:\WIMDUlUS\iys-tEn32\VLDAP32.dll 1r10口962005-09-12]...Cs\NU皿W亂syrtertJ2\inatsrvSiislDff-il1 793602005-09-12CL..ICP I：ia0. 0.0 : 21 -> a. 0J：L0 ; 0 LISIEMLNGTCP 0.0, Db 0 s SO 7 0, 0.0,0 : 0 LI57ENIWGICP i：LCL D. 0 : 4d3 -> 0, 0J：LD ￡ 0 LISTENLffGTCP 0.0. D. 0 ： LO25 7 0. O.fl.D ： 0 LIS7EMING[WF 0-CLD.0:345fi7 -J11 1 1廣一卷一揀就緒用戶33 案件ZZ 時(shí)間Z0ffi^l9-a]5：26：3J口易丟失菸取系SE-5乂文件里）銅色?任務(wù)如顯示國(guó)工A?幫助Qp

自啟動(dòng)程序?yàn)g覽：顯示易丟失數(shù)據(jù)文件中存儲(chǔ)的自啟動(dòng)程序信息，以及系統(tǒng)自啟動(dòng)程序項(xiàng)信息。lH-hT1ri：.tiiiE葉?："；iiMC：叱；：卜。lH-h：|：」文件地址 文件大小|建立時(shí)間 最后訪問(wèn)時(shí)問(wèn) 最后假改時(shí)間5^5S.MTEC5TSS.MCEvirilDg.DJi.EseirivicE-s.ej：EL占■je5^5S.MTEC5TSS.MCEvirilDg.DJi.EseirivicE-s.ej：EL占■je國(guó),eze事‘mrH口5±,(第3rvi-hortametinfd.exepf叫覦日2

a--

54a15-268805168368.U1-JOLWINK厝… 5口曲目C：\WIWrCiISl;s.?, 白】8C:\WIMECT5\s. 如真空口C:\WINECi7T5\s._ 103032口\WIMrE5"… 13312CMNIKDO蛇"…? 1'3336IcANDgM^WyKurtml1^336CJMD1K：常宇鵬:一 153^0C:訐1?%融-1%…. 31335^02DD5-D9-122005-00-12ZDD5-DEHI2ZDD5-DEHJ2及舊金0如12沏舊口狂122口舊口匕12200^0^1220iJt^D4-lfl1111…2D06-D9-260.…2006-D9-260.…2D06-DS-Z60.…ED06-D9-Z60.「 2006-0^26 D.「2006-0^-260.「2006-0EH260.「2006-0^260.「2006-0^260.2D04-Q&-L7L…2004-0&-17L…2a(J4-0S-L7L…2aM-03-L7L…2004-05-L7匕一2004-0&-L7L...2004-08-LTL...2004-0S-LTL-2006-03-0LL-系統(tǒng)口房?jī)?nèi)程工5E讓我型后讓地址項(xiàng)1月動(dòng)項(xiàng) 1.AutoRanAutoRanZutDRunNin.iniViri.iniSyrtra.ini5yrten.ini注a芍注a節(jié)FAautoruririrrfIAautoruririrrfJAsutorunrirfvlndovsgdwsbootbootHEEI_UJZAL_IUCHIIIEX.5D￡tTars\Micr..?HEEy_LiZiZAL_HACHIIIE\.5D￡tirare\Mic:r...UUCV^T/Vhi-Hh/TJTTTD'.C_J?x \IT；一OrerpE:\ftS\SysSe1rexeorerFEBt迎，Op?n=EsSmSVSysSetrexeZprrnitJLL5=[口心4Shell=EjqiIdeer.exssQ忙1l=EjfpIdeer.exeSKYWETFersanalFirsVal.--Shel1=-Exp1□rer.exen:_;j__產(chǎn).lufTMTiriir?-.--T4J.-:3 KI-21時(shí)間2D0e.-D9-2Bj5：28：'U物理存瀏覽：顯示易丟失數(shù)據(jù)文件中的物理存數(shù)據(jù)。-T'IriIE"今芋："號(hào)二―一口匚：利；：Dj：UUL-Lt---LI:?：.:?，奧,案件j：UUL-Lt---LI:?：.:?，奧,案件22時(shí)間|2DC^D9-2Bj5：33：51□□□□□EID:DOaaaaaa□□□□□□□DDDDDODaaaaaaaa□□0000DE2D:0000oa_ri00noUU000000000000ri_riUU0000DE3DiDD00口口j：i000000000D::DDDD00jjjj00iJiJiJODE-lOs0000oajj00LHJULILHJ0000000000jjjjULIDDDDDE5D:DOaaaaaa□□□□□□□DonDDDOanaaaaaa□□DDDDDE6D:DOaaaaaa□□□□□□□DonDDDDonaaaaaa□□0000DE7D;000000_ri00uuUU000000000000ri_riUUOOOODEBD:DD00aaj：i000000000D::DDDD00jjjj00OiJiJODEfO：0000oajj00LHJULILHJ0000000000jjjjULIDDDDDEAD:□Qaaaaaa□□□□□□□Don□□DD00aaaaaa□□OOODDEBD:00aoaaoa0a00口口00ODDDDD00aoaaoa口口ijililOOKO:OD0000riOuUUUU00000000OD00ririUUOiJiJOOET'Os01]00oajjOLILHJULILHJ00000001]00jjjjULIOOOOnEED；0000OlijjIHJUliUliIHJ00DD000000jjjjUliDDDDDEFD:onaaaaaa□□□□□□□DonDDDDonaaaaaa□□ijllllOOFOOs000000_ri00UUUU000000000000ri_riUUijllllOOFLO:0000oa_ri00uuUU000000000000ri_riUU0000DF2D:0000oajjOLILHJULILHJ0000000000jjjjULIOOOOOF3D；0000oajj00LHJULILHJ0000000000jjjjULIDDDDDF^D:DOaaaaaa□□□□□□□DonDDDOanaaaaaa□□0000DF5D:0000oa_ri00UUUU000000000000ri_riUU0000DF6D:0000oa_ri00uu00UU0000000000ri_ri000000DF70:0000oajj00LHJULILHJ0000000000jjjjULIOOOODFBD:DDaaaajjonnnnn00ODDDDDDOaajjjjnnDDODDFEiD:□Qaaaaaa□□□□□□□Don□□DD00aaaaaa□□OOOODFAD:000000_ri00UUUU000000000000ri_riUUOOOODFBD;DDaaaajj00IjljUUUU匚二DDDDaajjjjUUOiJiJODFCO;0000oajj00LHJULILHJ0000000000jjjjULIDDDDDEDD:□0aaaaaa□□□□□□□Don□□DOanaaaaaa□□DDDDDKED"onaaaaaa□□□□□□□DonDDDDonaaaaaa□□ijllllOOFFO：0000oa_ri00UUUU000000000000ri_riUU據(jù)。據(jù)。應(yīng)用程序存瀏覽：顯示易丟失數(shù)據(jù)文件中存儲(chǔ)的應(yīng)用程序存數(shù)；:-ir兩喝..IIY.泉L._JU.福功r螞、圓期嘲進(jìn)程叁車信總工理輯地址［大小（EEJ屬性1處程而號(hào)所有者1-型限時(shí)■:DbcDOO]DODDFRU]JUIJ6-09-2611:40:470100020000P配IriufT=； 便白ftrO0030000P即QxDDQTAOODP艮中]LCtWIXDOVSXsyst9ii32\文件大?。篖3強(qiáng)宇節(jié)Q10D09000D00190000356FRMPM]?100DD-U-U-U-U-U-U-U-U-U-U-U-U-U-U-U-U-U-UoooO

口oo-Uo-Uo-Uo-Uo-Uo-Uo-Uo-Uo-UoooO

-I-I-I-I-I-I-I-I-I-I-I-I-I-I-I-I-I-I-I

n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-ooooo

DDOn-ODOn-on-ODOn-on-ODOn-oooo

322222222222222p-2p-2p-2222QQ0000000000000000000000Dnun-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-.un-.n.

DDOOOOOOOOOOOOOOOOODDDDDoo-u-u-u-u-u-u-u-u-u-u-u-u-u-u-u-u-u-uoooo

QQ000000000000000000000022222222222222ntntntntntntp"Hep"K7E.口口rl1=u1mUImulITUImUImulITirITrrITrrrr:u'rr:u■DDooooooooooooooooooDoDoDDn-Dn-DODn-Dn-Dn-Dn-Dn-Dn-DDDDDoooooooooooooooooooooooo

-I.1-1.1-1.1-1.1-1.1-1.1-1.1-1.1-1.1-I.

Dnn-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n-n--H--H--H-.H.

Dooooooooooooooooooooooo

Dooooooooooooooooooooooo

000000000000000000000000

22222222-I.-I』22222222222S22DlD1010I0101010101010101010101Ijl01Ijl01IjllJ11J11J11J10OOLDE3O:口皿口衛(wèi)孫OOOLDE^O：OOOLDEBO:OOOLDECO:OOOLDEDO:OOOLDEEO:OOOIDEFO:OOOLDFOO:DOOIOFIO:000LDF20:0001DP30:000LDF40:0001DP50:OOOLDFi3O:0001DH0:000LDF80:oooiorso：OOOLDF4JO:OOOIDFBO:OOiJLOFCOiLiOiJlOFDO?LiOOLOFEO:OOiJLOFFO:第：，L記i iT萬(wàn) I-二刃， 求毒系統(tǒng)砒精 用戶33 案蚌22 時(shí)間如［J&Tft/B15:36.13其中存的屬性標(biāo)記描述如下：RO：該頁(yè)存屬性為只讀E:該頁(yè)存屬性為可執(zhí)行RW：該頁(yè)存屬性為可讀可寫(xiě)CW：該頁(yè)存屬性為允許拷貝S:該頁(yè)存屬性為共享P：該頁(yè)存屬性為應(yīng)用程序私有存V：該頁(yè)存屬性為虛擬存I：該頁(yè)存頁(yè)面狀態(tài)為映像文件M:該頁(yè)存頁(yè)面狀態(tài)為數(shù)據(jù)文件G:該頁(yè)存屬性為消息

N:該頁(yè)存屬性為已停用緩存3、比對(duì)窗體F只顯示不同內(nèi)容目標(biāo)文件_J2006-09-2611:40:40比對(duì)項(xiàng)目|圈應(yīng)用程序內(nèi)存功能：用來(lái)選擇要比對(duì)的易丟失數(shù)據(jù)文件，以及要比對(duì)的數(shù)據(jù)類按鈕：包括確定、取消等按鈕。其中，［確定］用來(lái)開(kāi)始比對(duì)，［取消］按鈕用來(lái)終止比對(duì)。比對(duì)結(jié)果窗體如下:其中，紅色字體顯示的是當(dāng)前文件中與比對(duì)文件的不同之處；蘭

色字體顯示的是比對(duì)文件與當(dāng)前文件的不同之處。4、瀏覽物理存窗體2物理內(nèi)存保存ILI

L

J

n-

n-

D

n-ILIo_u-u_uD_uo

o

o

o

Do

o

10

IIJ

Do

o

10

IIJ

Do

o

10

IIJ

Do

o

10

IIJ

DILI

L

J

n-

n-

o

o11:1

o

_u

-u

-u

D

-uo

o

o

D

D

D

Do

o

10

-u

o

D

oo

o

10

-u

o

D

oo

o

10

-u

o

D

oo

o

10

-u

o

D

oIIJ

L

J

n-

n-

D

n-ILI

o

_u

-u

_u

D

_uo

o

o

D

Do

o

10

n-

_u

D

_uo

o

10

n-

_u

D

_uo

o

10

n-

_u

D

_uo

o

10

n-

_u

D

_uIn

L

J

n-

n-

D

n-11:1

o

_u

n-

_u

D

_uILI

r

-n

n

D

_uo

o

10

IIJ

Do

o

10

IIJ

Do

o

10

IIJ

Do

o

10

IIJ

Dn-

u

H-

lu

Dooon-n-n-n-ooon-n-n-n-o_uo_u_u_u_uooon-n-n-n-o

n-_uo_u_u_u_uo_uooooon-_uo_u_u_u_un-_u_u_u_u_u_un-

oooooooo_uoooooo_uoooooo_uooooon-

on-oon-n-n-n-n-Do_u_u_uo_uDn-n-n-n-n-n-on-n-n-n-Do

u

IIIo

o

10D

o

Doo

o

11:1o

o

11:1o

o

11:1o

o

11:1n-

u

o

Do

o

_u

DD

o

D

Do

o

_u

Do

o

_u

Do

o

_u

Do

o

_u

Do

u

u

Do

o

_u

Do

o

o

Do

o

o

Do

o

o

Do

o

o

Do

u

n-

Do

o

_u

Dn

n

n

Do

o

11:1o

o

11:1o

o

保存ILI

L

J

n-

n-

D

n-ILIo_u-u_uD_uo

o

o

o

Do

o

10

IIJ

Do

o

10

IIJ

Do

o

10

IIJ

Do

o

10

IIJ

DILI

L

J

n-

n-

o

o11:1

o

_u

-u

-u

D

-uo

o

o

D

D

D

Do

o

10

-u

o

D

oo

o

10

-u

o

D

oo

o

10

-u

o

D

oo

o

10

-u

o

D

oIIJ

L

J

n-

n-

D

n-ILI

o

_u

-u

_u

D

_uo

o

o

D

Do

o

10

n-

_u

D

_uo

o

10

n-

_u

D

_uo

o

10

n-

_u

D

_uo

o

10

n-

_u

D

_uIn

L

J

n-

n-

D

n-11:1

o

_u

n-

_u

D

_uILI

r

-n

n

D

_uo

o

10

IIJ

Do

o

10

IIJ

Do

o

10

IIJ

Do

o

10

IIJ

Dn-

u

H-

lu

Dooon-n-n-n-ooon-n-n-n-o_uo_u_u_u_uooon-n-n-n-o

n-_uo_u_u_u_uo_uooooon-_uo_u_u_u_un-_u_u_u_u_u_un-

oooooooo_uoooooo_uoooooo_uooooon-

on-oon-n-n-n-n-Do_u_u_uo_uDn-n-n-n-n-n-on-n-n-n-Do

u

IIIo

o

10D

o

Doo

o

11:1o

o

11:1o

o

11:1o

o

11:1n-

u

o

Do

o

_u

DD

o

D

Do

o

_u

Do

o

_u

Do

o

_u

Do

o

_u

Do

u

u

Do

o

_u

Do

o

o

Do

o

o

Do

o

o

Do

o

o

Do

u

n-

Do

o

_u

Dn

n

n

Do

o

11:1o

o

11:1o

o

11:1o

o

11:1u

uIIIIn-

n-

u

n-

u

oIII-

10

o

o

o

oo

o

Do

o

D

o

o_u

o

_ILI

o

o

o

o_u

o

_ILI

o

o

o

o_u

o

_ILI

o

o

o

o_u

o

_ILI

o

o

o

oIII-

L

D

u

n-

u

oIII-

o

D

o

o

o

_uD

o

D

D

o

D

o

Do

o

o

D

o

o

o

_uo

o

o

D

o

o

o

_uo

o

o

D

o

o

o

_uo

o

o

D

o

o

o

_uIII-

L

D

u

o

u

o11:1

o

D

o

o

o

_uD

o

o

D

o

o_u

o

o

D

o

o

o

o_u

o

o

D

o

o

o

o_u

o

o

D

o

o

o

o_u

o

o

D

o

o

o

oIn-

L

D

u

n-

u

o_llIoDooo_uIn口

r

D

n

n

n

o_u

o

_ILI

o

o

o

o_u

o

_ILI

o

o

o

o_u

o

_ILI

o

o

o

o_u

o

_ILI

o

o

o

on-

u

n-

u

u

u

n-ooon-n-n-n-ooon-n-n-n-o_uo_u_u_u_uooon-n-n-n-o

n-_uo_u_u_u_uo_uooooon-_uo_u_u_u_un-_u_u_u_u_u_un-

n-_uo_u_u_u_uo_uooooon-_uo_u_u_u_un-_u_u_u_u_u_un-

oooooooooDn-n-n-n-ooooooooooooooDuILI11:110o

o

o

o_u

c

o

o_u

c

o

o_u

c

o

o_u

c

o

o1:1

_u

oILl

o

oILl

o

oILl

o

oILl

o

oLl

_u

oILI

o

oILI

o

oILI

o

oILI

o

oLl

o

oLl

_u

oLI

n

o_u

c

o

o_u

c

o

o_u

c

o

o_u

c

o

on-

1-

u

n-OOOOOE300ODOOE4O□0D00E50Q0D00E60Q0D00E70Q0D00E80Q0D00E90LUJUUEAJOODOOEBOQODOOECOQODOOEDOQODOOEEOQODOOEFOQODOOFOOLUJUUF1JOODOOF2DQ0D00F30Q0D00F40Q0D00F60Q0D00F60Q0D00F70OOOOOFSOOODOOF0OOOOOOFAOQODOOFBOQODOOFCOQODOOFDOQODOOFEOOODOOFFO削支后支物理內(nèi)存:536330240功能：瀏覽宿主計(jì)算機(jī)物理存的當(dāng)前數(shù)據(jù)。轉(zhuǎn)到：顯示指定頁(yè)面的物理存。前頁(yè)：顯示前一頁(yè)物理存。后頁(yè)：顯示后一頁(yè)物理存。保存：將當(dāng)前顯示頁(yè)面的物理存保存到指定的文件中。5、瀏覽應(yīng)用程序存窗體功能：瀏覽宿主計(jì)算機(jī)指定進(jìn)程使用的物理存和虛擬存數(shù)據(jù)。窗體包括進(jìn)程基本信息區(qū)、存頁(yè)表區(qū)和存數(shù)據(jù)區(qū)三部分。其中：進(jìn)程基本信息區(qū)：顯示進(jìn)程存使用上的統(tǒng)計(jì)信息。

存頁(yè)表區(qū)：顯示進(jìn)程使用的存的存頁(yè)表信息。存數(shù)據(jù)區(qū)：顯示指定頁(yè)的存數(shù)據(jù)。后頁(yè)保存越桂至本信息3MWI遺輯地址D8D8118D8DSBSBSBSB8H8D8DSDS后頁(yè)保存越桂至本信息3MWI遺輯地址D8D8118D8DSBSBSBSB8H8D8DSDSDSD8D8D8D8D8B8DSE9E9E9E9E9E9E9E9E9E9E9E9E9E9E9E9E9E9E9E9E9大?。蓿弧?屬性|進(jìn)程頁(yè)號(hào)所有育[5921v.rLiiloEon.ezeOzQOOLOOODOz00021]00DOzOOOBFOODOxOOD7COOOOz0008600[IE0ECDO-E9EC00E9ECDO-E9EC00E3BCUD-E9BC00-E9EC00-：E9EC00-E9BC0□-E日EC00-E9EC00E3ECUD-E9EC00-E3EC00-E0EC00-E3EC00-E0ECDO-E9EC00E3EC00-E9EC00E3EC00-EC00EC00EC00EC00EC00EC00EC00EC00EC00EC00EC00EC00EC00EC00EC00EC00ECOOEC00ECOOEC00ECOO共享屈：—13次5貢麥：LE6KB虛擬內(nèi)存：心764KB且應(yīng)用程序內(nèi)存jxrrirrj'.LirijD0071EE0:D8EgEC000007XECO;I：8E9EC00DIJ07AED0:D8E9EConOOOTAEEOsD3E9EC00ODOTAEFO:DEE9ECDOOOOTAFOO:DSE0EC000007AF10:DSE9EC000007AF20:isE9ECon0007AF30;D8E9ECon0007AF40:D8E9ECijij0007AF60：ESE9EC000007AF60:DBE9ECDOOOOTXFTOe:DSEOEC00OOOTAPSO:L8E9EC0000071F90:rsEgEC00OOOTXFAO:D8E9EC00D0071PE0:D8EgECDOOOOTXFCO;I：8E9EC00OOOTAFDO:D8E9ECIJIJOOOTAFEO：ESE9EC00OOOTAFFO:DEE9ECDO第F 引頁(yè)轉(zhuǎn)到前頁(yè)刷新：更新進(jìn)程選擇框中的進(jìn)程表。轉(zhuǎn)到：顯示指定頁(yè)面的應(yīng)用程序存。前頁(yè)：顯示前一頁(yè)應(yīng)用程序存。后頁(yè)：顯示后一頁(yè)應(yīng)用程序存。保存：將當(dāng)前顯示頁(yè)面的應(yīng)用程序存保存到指定的文件中。

3.操作指南一存儲(chǔ)媒介獲取系統(tǒng)準(zhǔn)備工作1、插入在線取證系統(tǒng)光盤(pán)，重新啟動(dòng)計(jì)算機(jī)；2、插入存儲(chǔ)取證操作日志的移動(dòng)磁盤(pán)和存儲(chǔ)證據(jù)數(shù)據(jù)的移動(dòng)磁盤(pán)；輸戢置案件基本信息3、運(yùn)行存儲(chǔ)媒介獲取系統(tǒng)，設(shè)置取證參數(shù)。輸戢置案件基本信息案件編號(hào)；阿5案件名稱；性■搶劫案操作人員：|張三|二日志存放地址：回］：'校對(duì)系統(tǒng)時(shí)間 確定|取消其中，案件編號(hào)、案件名稱填寫(xiě)準(zhǔn)備使用提取的證據(jù)的案件的編號(hào)和名稱；操作人員填寫(xiě)操作本系統(tǒng)的案件偵察人員；日志存放地址填寫(xiě)存儲(chǔ)取證操作日志的移動(dòng)磁盤(pán)中的路徑，系統(tǒng)將在該路徑下自動(dòng)建立一個(gè)以案件編號(hào)為名稱的子目錄。如果需要調(diào)整系統(tǒng)時(shí)間，則惦記［校對(duì)系統(tǒng)時(shí)間］按鈕彈出時(shí)間設(shè)置窗體，修改日期、時(shí)間和時(shí)區(qū)。克隆宿主計(jì)算機(jī)物理磁盤(pán)克隆宿主計(jì)算機(jī)物理磁盤(pán)是指將宿主計(jì)算機(jī)的物理磁盤(pán)整盤(pán)復(fù)制到移動(dòng)磁盤(pán)上。注意：使用此方式將丟失移動(dòng)磁盤(pán)原有的數(shù)據(jù)。操作步驟如下：.選擇要克隆的源物理磁盤(pán)，點(diǎn)擊鼠標(biāo)右鍵［取證］菜單；.選擇目的磁盤(pán)為準(zhǔn)備存儲(chǔ)證據(jù)的移動(dòng)磁盤(pán)；3.點(diǎn)擊［開(kāi)始］按鈕開(kāi)始物理磁盤(pán)克隆。

克隆宿主計(jì)算機(jī)物理磁盤(pán)中的一個(gè)分區(qū)克隆宿主計(jì)算機(jī)物理磁盤(pán)分區(qū)是指將宿主計(jì)算機(jī)的物理磁盤(pán)的某一分區(qū)復(fù)制到移動(dòng)磁盤(pán)上。注意：使用此方式時(shí)移動(dòng)磁盤(pán)必須有未分區(qū)區(qū)域，并且未分區(qū)區(qū)域容量必須大于要復(fù)制的分區(qū)容量。操作步驟如下：選擇要克隆的源物理磁盤(pán)分區(qū)，點(diǎn)擊鼠標(biāo)右鍵［取證］菜單; x名而黑宿主討算機(jī)三］物理磁盤(pán)0三］物理磁盤(pán)1_j分區(qū)1隆輯磁盤(pán)黑宿主討算機(jī)三］物理磁盤(pán)0三］物理磁盤(pán)1_j分區(qū)1隆輯磁盤(pán)F:］分區(qū)2建輯磁_(tái)J分區(qū)［建輯磁盎三］物理磁盤(pán)2兇移動(dòng)設(shè)備_u-L-L-12AA-搜索!取證屆性E.選擇目的磁盤(pán)為準(zhǔn)備存儲(chǔ)證據(jù)的移動(dòng)磁盤(pán);物理分區(qū)（源設(shè)備）：I—J公區(qū)2臼悠花5%嚀節(jié)］移動(dòng)磁盤(pán)C目的設(shè)備）：國(guó)磁盤(pán)邛2四汽司存儲(chǔ)方式F以文件方式存放|1:\1lOphydisklpart2.dal審?fù)竭M(jìn)行移檢.點(diǎn)擊［開(kāi)始］按鈕開(kāi)始物理磁盤(pán)克隆?？寺∷拗饔?jì)算機(jī)邏輯磁盤(pán)克隆宿主計(jì)算機(jī)邏輯磁盤(pán)是指將宿主計(jì)算機(jī)的邏輯磁盤(pán)復(fù)制到移動(dòng)磁盤(pán)上。注意：使用此方式時(shí)移動(dòng)磁盤(pán)必須有未分區(qū)區(qū)域，并且未分區(qū)區(qū)域容量必須大于要復(fù)制的邏輯磁盤(pán)容量。操作步驟如下：.點(diǎn)擊［邏輯磁盤(pán)取證］菜單；.選擇要復(fù)制的邏輯磁盤(pán)；.選擇目的磁盤(pán)為準(zhǔn)備存儲(chǔ)證據(jù)的移動(dòng)磁盤(pán);邏輯磁盤(pán)（源設(shè)備）：I-J邏輯磁盤(pán)G花而比2存節(jié)］移動(dòng)磁盤(pán)C目的設(shè)備）：國(guó)磁盤(pán)邛2四汽司存儲(chǔ)方式F以文件方式存放|1:\110\logicdisk_G-.dat審?fù)竭M(jìn)行移檢.點(diǎn)擊［開(kāi)始］按鈕開(kāi)始邏輯磁盤(pán)克隆。將宿主計(jì)算機(jī)磁盤(pán)數(shù)據(jù)復(fù)制到文件存儲(chǔ)媒介獲取系統(tǒng)除支持物理磁盤(pán)、邏輯磁盤(pán)、分區(qū)的克隆外，還可以將上述存儲(chǔ)媒介以文件方式復(fù)制到移動(dòng)磁盤(pán)上。注意:使用此方式時(shí)移動(dòng)磁盤(pán)必須有大于要復(fù)制的存儲(chǔ)媒介的容磁盤(pán)數(shù)據(jù)復(fù)制的結(jié)果文件可以以文件虛擬磁盤(pán)（分區(qū)、邏輯磁盤(pán)復(fù)制）、文件虛擬設(shè)備（物理磁盤(pán)復(fù)制）訪問(wèn)其中的容；也可以通過(guò)系統(tǒng)校驗(yàn)工具將磁盤(pán)數(shù)據(jù)復(fù)制的結(jié)果文件回寫(xiě)到磁盤(pán)上，以訪問(wèn)磁盤(pán)文件系統(tǒng)的方式來(lái)訪問(wèn)。操作步驟如下：.點(diǎn)擊進(jìn)入物理磁盤(pán)、分區(qū)或邏輯磁盤(pán)取證取證窗體;.選擇存儲(chǔ)方式為［以文件方式存放］；.設(shè)置存儲(chǔ)目標(biāo)文件名；.點(diǎn)擊［開(kāi)始］按鈕開(kāi)始磁盤(pán)數(shù)據(jù)復(fù)制。邏輯磁盤(pán)（源設(shè)備）：|_J邏輯磁盤(pán)G:⑵4,歷日2號(hào)節(jié)］移動(dòng)磁盤(pán)C目的設(shè)備）：國(guó)后存儲(chǔ)方式怦方式存旗|1;M10\Logicdish_G-.dat何同步進(jìn)行校苑提取宿主計(jì)算機(jī)磁盤(pán)中的某一存儲(chǔ)區(qū)域存儲(chǔ)媒介獲取系統(tǒng)可以提取物理磁盤(pán)、邏輯磁盤(pán)或分區(qū)中的特定存儲(chǔ)區(qū)域，提取結(jié)果以文件方式存儲(chǔ)在移動(dòng)磁盤(pán)上。操作步驟如下：1、點(diǎn)擊進(jìn)入存儲(chǔ)區(qū)域取證窗體；2、選擇要提取的存儲(chǔ)區(qū)域所在的設(shè)備；3、選擇要提取的存儲(chǔ)區(qū)域圍；

三］宿主磁盤(pán)（源設(shè)備）：J邏輯磁盤(pán)G花而比三］宿主磁盤(pán)（源設(shè)備）：J邏輯磁盤(pán)G花而比2存節(jié)］選擇證據(jù)文件名選擇文件夾:文件夾，P110文件名：|kgiGd"k_」_s曰口憶「_選擇證據(jù)文件名選擇文件夾:文件夾，P110文件名：|kgiGd"k_」_s曰口憶「_4口的.d日t確定|取消5、點(diǎn)擊［開(kāi)始］按鈕開(kāi)始磁盤(pán)數(shù)據(jù)復(fù)制。復(fù)制宿主計(jì)算機(jī)存儲(chǔ)媒介上的文件存儲(chǔ)媒介獲取系統(tǒng)可以提取宿主計(jì)算機(jī)存儲(chǔ)媒介上的指定文件、

目錄、文件目錄集合，并將提取的文件存儲(chǔ)在移動(dòng)磁盤(pán)上。操作步驟如下：1、點(diǎn)擊進(jìn)入文件取證窗體；同.步?迸行檢.臉開(kāi)始取消同.步?迸行檢.臉開(kāi)始取消2、點(diǎn)擊［增加］按鈕設(shè)置要復(fù)制的文件;3、設(shè)置復(fù)制的目的地址；4、設(shè)置同步校驗(yàn)選項(xiàng)；5、點(diǎn)擊［開(kāi)始］按鈕開(kāi)始磁盤(pán)文件復(fù)制。

在宿主計(jì)算機(jī)存儲(chǔ)媒介上搜索文件存儲(chǔ)媒介獲取系統(tǒng)可以按照設(shè)定的條件搜索宿主計(jì)算機(jī)存儲(chǔ)媒介上的文件。操作步驟如下：1、點(diǎn)擊進(jìn)入搜索窗體；2、設(shè)置搜索條件;搜索助理在這里尋找指定時(shí)間范圍「指定r包含已刪除內(nèi)容使用解析插件廠指定文件內(nèi)容;廠搜索助理在這里尋找指定時(shí)間范圍「指定r包含已刪除內(nèi)容使用解析插件廠指定文件內(nèi)容;廠區(qū)分大小寫(xiě)發(fā)行者：r啟用氟搜索存儲(chǔ)媒介獲取系統(tǒng)的搜索條件包括文件名、文件容、地址圍、時(shí)間圍、文件大小等。其中：文件名：用來(lái)按照文件名對(duì)系統(tǒng)進(jìn)行搜索。系統(tǒng)支持使用*、？通配符進(jìn)行搜索。例如，要搜索以fwd開(kāi)頭、類型為10g的所有日志文件，則輸入：fwd*.logo文件容：用來(lái)按照關(guān)鍵字對(duì)文件的容進(jìn)行搜索。例如，要搜索文件容中包含fwd的文件，則輸入：fwd。地址圍：用來(lái)指定搜索的存儲(chǔ)圍。系統(tǒng)支持對(duì)宿主計(jì)算機(jī)全部存儲(chǔ)媒介、物理磁盤(pán)、邏輯磁盤(pán)和目錄中的文件進(jìn)行搜索。例如要搜索某一指定目錄下的文件，則點(diǎn)擊項(xiàng)選擇要搜索的目錄。時(shí)間圍：用來(lái)指定要搜索的文件的時(shí)間圍，系統(tǒng)支持對(duì)文件的建立時(shí)間、最后修改時(shí)間、最后訪問(wèn)時(shí)間進(jìn)行搜索。例如，要搜索在2006年05月01日到2006年05月07日建立的文件，則設(shè)置如下:文件大小:用來(lái)指定要搜索的文件的大小。例如要搜索小于100KB的文件，則設(shè)置如下：如果要搜索大于20KB，小于130KB的文件，則設(shè)置如下：如果要搜索大于250KB的文件，則設(shè)置如下：3、設(shè)置好搜索條件后，點(diǎn)擊［搜索］按鈕開(kāi)始搜索;黏搜索”—口搜索助理名稱4小類型建立時(shí)C:\WIND0W5\spstem32取消.匚、口艱目的學(xué)& 805306368程序交伴2005-tJC:\NTDETECT.C... 47564 程序文件 2005-0C:\nHdr 257200 交件 2005-0CAbootmi 210 文本交件 2004-0C:\hitjerfilsys 536339872 程序文件 2006-0C:\CaNFIG.SYS 0 程序交件 2004-0CMLITOEXECBAT 0 腳本交伴 2004-0匚可口SYS 0程序文件2004-0CAMSDOS.SYS 0 程序文件 2004-0C;小廟問(wèn)bgMt 0文本文件2005-0C:\stareproc.log 164 日志文件 2005-0匚:乜誑匕口巾已孤 24文本交伴2005-0匚入舊pcing.lcg 25 日志文件 2006-0C:\FROMTPG.LOG 895 日志文件 2006-0CAusbl.bat 2936 腳本交件 2006-0C:\bQctfant.bin 322730 bin支件 2005-0CAS^LagJni 227 文本交件 2006-0Ill. 1, , . ,■??,,1I,,1-III. .rtu卜4、如果要終止搜索過(guò)程，可點(diǎn)擊［取消］按鈕;5、搜索完成后可以通過(guò)鼠標(biāo)右鍵菜單閱讀文件容、查看文件屬性，也可以對(duì)搜索結(jié)果文件進(jìn)行取證。4.操作指南一易丟失數(shù)據(jù)獲取系統(tǒng)準(zhǔn)備工作1、插入存儲(chǔ)取證操作日志的移動(dòng)磁盤(pán)和存儲(chǔ)證據(jù)數(shù)據(jù)的移動(dòng)磁盤(pán)；2、插入在線取證系統(tǒng)光盤(pán)，運(yùn)行易丟失數(shù)據(jù)獲取系統(tǒng)；3、設(shè)置取證參數(shù)。其中，案件編號(hào)、案件名稱填寫(xiě)準(zhǔn)備使用提取的證據(jù)的案件的編號(hào)和名稱；操作人員填寫(xiě)操作本系統(tǒng)的案件偵察人員；日志存放地址填寫(xiě)存儲(chǔ)取證操作日志的移動(dòng)磁盤(pán)中的路徑；數(shù)據(jù)存放地址填寫(xiě)存儲(chǔ)獲取的易丟失數(shù)據(jù)的移動(dòng)磁盤(pán)中的路徑，系統(tǒng)將在該路徑下自動(dòng)建立一個(gè)以案件編號(hào)為名稱的子目錄。如果需要調(diào)整系統(tǒng)時(shí)間，則惦記［校對(duì)系統(tǒng)時(shí)間］按鈕彈出時(shí)間設(shè)

置窗體，修改日期、時(shí)間和時(shí)區(qū)。提取宿主計(jì)算機(jī)的網(wǎng)絡(luò)類易丟失數(shù)據(jù)1、打開(kāi)建立新檔案窗體，選擇檔案信息類型參數(shù)為網(wǎng)絡(luò)連接狀態(tài)、開(kāi)啟網(wǎng)絡(luò)服務(wù)的程序、進(jìn)行網(wǎng)絡(luò)訪問(wèn)的程序；2、點(diǎn)擊［建立］按鈕，建立網(wǎng)絡(luò)類易丟失數(shù)據(jù)工作檔案;2、點(diǎn)擊［建立］按鈕，建立網(wǎng)絡(luò)類易丟失數(shù)據(jù)工作檔案;3、選擇新建立的網(wǎng)絡(luò)類易丟失數(shù)據(jù)工作檔案，點(diǎn)擊按鈕提取數(shù)據(jù)；4、展開(kāi)新獲取的易丟失數(shù)據(jù)文件，查看結(jié)果。圜檔案：［網(wǎng)絡(luò)連接］［網(wǎng)京文件：1:\910\2006-09-2709_53_40.jnem時(shí)間：2口口6-09-2709:53:40圜檔案：［網(wǎng)絡(luò)連接］［網(wǎng)京N2006-09-2709:53i網(wǎng)絡(luò)連接狀態(tài)曾網(wǎng)絡(luò)服務(wù)程序U網(wǎng)絡(luò)訪問(wèn)程序

提取宿主計(jì)算機(jī)的進(jìn)程類易丟失數(shù)據(jù)1、打開(kāi)建立新檔案窗體，選擇檔案信息類型參數(shù)為系統(tǒng)進(jìn)程信息、被調(diào)用打開(kāi)的文件、進(jìn)程打開(kāi)的文件信息；2、點(diǎn)擊［建立］按鈕，建立進(jìn)程、文件訪問(wèn)類易丟失數(shù)據(jù)工作檔息、被調(diào)用打開(kāi)的文件、進(jìn)程打開(kāi)的文件信息；2、點(diǎn)擊［建立］按鈕，建立進(jìn)程、文件訪問(wèn)類易丟失數(shù)據(jù)工作檔案；3、選擇新建立的進(jìn)程、文件類易丟失數(shù)據(jù)工作檔案，點(diǎn)擊按鈕提取數(shù)據(jù);4、展開(kāi)新獲取的易丟失數(shù)據(jù)文件，查看結(jié)果。納檔案:［進(jìn)程信息］［被臺(tái)文件納檔案:［進(jìn)程信息］［被臺(tái)文件:1:\910\2006-03-2709_59_11,mem2006-09-2709:59：11M2006-09-2709:59i系統(tǒng)進(jìn)程信息1被打開(kāi)的文件1進(jìn)程打開(kāi)的文件

提取宿主計(jì)算機(jī)的自啟動(dòng)程序數(shù)據(jù)1、打開(kāi)建立新檔案窗體，選擇檔案信息類型參數(shù)為系統(tǒng)自啟動(dòng)程序；2、點(diǎn)擊［建立］按鈕，建立系統(tǒng)自啟動(dòng)程序工作檔案;3、選擇新建立的系統(tǒng)自己?jiǎn)?dòng)程序工作檔案，點(diǎn)擊按鈕提取數(shù)據(jù)；4、展開(kāi)新獲取的易丟失數(shù)據(jù)文件，查看結(jié)果。螫］檔案：［自啟動(dòng)］I2006-09-27螫］檔案：［自啟動(dòng)］I2006-09-2710藏自啟動(dòng)程序程序名FID文件地址 「文件大小sjtlss-exe472C:\WINDOWS\S...50688csrss.ese544C;\WINBO^S\s...6144winlugorL.eze568C:\WINDOWS\s...487424services,ese612C:\WINDOWS\s...108032Isass-exe624C:\WINDOWS\system32\13312svchust.ese792C:\WINDOWS\s...14336svchost.ese100SC:\WINBO^S\s...14336inetinfo,ezell64C:\WINDOWS\s...15360pfw.ese363C:\PROtRA"l\... 3133560?IJ正在運(yùn)行的自啟動(dòng)程序系統(tǒng)自啟動(dòng)程序項(xiàng)啟動(dòng)哭型T啟動(dòng)地址項(xiàng)AutliRwlF:\,autLitnii_L.inf_1AutuEwlI:\auturui_L,infAutoKimJ:\autorun.inf?1,lT

提取宿主計(jì)算機(jī)的物理存數(shù)據(jù)1、打開(kāi)建立新檔案窗體，選擇檔案信息類型參數(shù)為物理存，指定要獲取的物理存圍為0—40960KB（獲取宿主計(jì)算機(jī)從地址0x00開(kāi)始的40MB物理存數(shù)據(jù)）；2、點(diǎn)擊［建立］按鈕，建立物理存工作檔案;2、點(diǎn)擊［建立］按鈕，建立物理存工作檔案;3、選擇新建立的物理存工作檔案，點(diǎn)擊按鈕提取數(shù)據(jù);4、展開(kāi)新獲取的易丟失數(shù)據(jù)文件，查看結(jié)果。西檔案：［物理內(nèi)存］工文件；西檔案：［物理內(nèi)存］工文件；l:\910\20Q5-09-2710_23_43.m2006-09-2710:23:43M2006-09-2710目物理內(nèi)存提取宿主計(jì)算機(jī)的應(yīng)用程序存數(shù)據(jù)1、打開(kāi)建立新檔案窗體，選擇檔案信息類型參數(shù)為應(yīng)用程序存，獲取系統(tǒng)進(jìn)程Explorer.exe使用的物理存，并同時(shí)獲取WINDOWS任務(wù)管理器統(tǒng)計(jì)的虛擬存數(shù)據(jù)（頁(yè)面保護(hù)屬性為讀寫(xiě)、拷貝、執(zhí)行、執(zhí)行/讀寫(xiě)、執(zhí)行/拷貝的虛擬存）；2、點(diǎn)擊［建立］按鈕，建立應(yīng)用程序存工作檔案；3、選擇新建立的應(yīng)用程序存工作檔案，點(diǎn)擊按鈕提取數(shù)據(jù);4、展開(kāi)新獲取的易丟失數(shù)據(jù)文件，查看結(jié)果。

18程黑車信息I睜地址I大小述日）I國(guó)性I通程時(shí)號(hào)I所有者執(zhí)行程序[22E]aKOoa2Di：iooEs-ploret.EXE文告地址:CbcOClOSDOOO0x00037000l：18程黑車信息I睜地址I大小述日）I國(guó)性I通程時(shí)號(hào)I所有者執(zhí)行程序[22E]aKOoa2Di：iooEs-ploret.EXE文告地址:CbcOClOSDOOO0x00037000l：\vihdijns\ Q^riQQT^onn赳烈1r詡吟節(jié) S?oo"09-1.：ii：d1：4Q地小9訪問(wèn)時(shí)間:Dxuuug叩叩200E-09-27OOfOOsOO一口口口口假改時(shí)間：0x0016Eii：i002004-08-17L6f39iLILCTMIrgLiWti息內(nèi)存；275B0KB0x00175000也有內(nèi)存：14868KBQxOaiADflOO共不酶:j12430E0OxOCUBODOO貝去::2T6KECb￡OCilB7i：iOO虛報(bào)內(nèi)存：25800EBDxDaiBFDDD(1D090CAD:00DD00DD00DD00OD-anogocBD：□aDD□□DD□□DD□□OD-QDO9OCCD300DD00DD00DD00OD-：：l：!?l：l：：：：002D667500DD00OD-0D09LICE0：8E1300OO02OO0000-QD090CPD:5d55322E64fiC6C21-0CO9ODOO?OCI0000OO00OO0000-0D09LID10：00DD00OO00OOOO00-00090020100DD00ID00DD00OD-而可頁(yè)圖片霎:程彳二開(kāi)-1：I2C：c-：'：'-2"二;百亙可程下|!.存即時(shí)即即RQKRtfw即

FFPFS5PFF

田口CO1T62目

21251S13

IE

二

21

235

233河口轉(zhuǎn)到前貢, 2J332832462?9EBI2E32E4\Device\Hardd.,\Device\Hscdd..\Devict\Kardd.-oaaa00j：Q2E00aooa斤廠:0oaDOoaDODDaaDD□a□□：0oaDOoaDO20eaD6oaDO0L0000435274@57320■ri00no00no0000000000oaDOoaDO00□aoaoa5g31IVnooa：0DD：0：0EQ29■ri00III……CRYPT32.dlL.tWKt-L瀏覽宿主計(jì)算機(jī)的物理存1、點(diǎn)擊菜單［瀏覽物理存］，打開(kāi)物理存瀏覽窗體;易物理內(nèi)存0D00CE30!0D000E40:0DOODE50:0D00CE30!0D000E40:0DOODE50:ODDOOEGO:0D00LE70:ODOOOEBQ:0000LE90!ODOOOEAja：ODOOOEBO;ODOOOECO:0000CED0;ODOOOEEO!ODflOOEFO:OOOOLFDO:QDflOOFlO:OOOOLFSO:ODOOOF30:0D000F40:0D0OOF50:0D000F60;ODOOOF70:ODDOOFBO:ODOOOF30;ODDOOFAd:ODQOQFBQ:ODOOOFCa：ODDOCFDO:ODOOCFEO;ODOOOFFQ;0000Oil00aonoaood00HILIaood0000ULIODaonnaonoonooaonoaoodooooaood0000ULIODOI：|00ULIODoonoaoooaoodaonoaoooooooULIOD00OD00uDOI：|00OO0000OD00rrondonooono00000000QQoooaooooU-OODO0000QQoooaooooU.OUDOUO00UZoodoooaorrOODO0000no00000000rrondonooono00000000QQoooaooooU.OUDOUO00QQoooaooooU.