網(wǎng)絡(luò)空間安全概論 實驗9 內(nèi)存取證實驗樣例2_第1頁
網(wǎng)絡(luò)空間安全概論 實驗9 內(nèi)存取證實驗樣例2_第2頁
網(wǎng)絡(luò)空間安全概論 實驗9 內(nèi)存取證實驗樣例2_第3頁
網(wǎng)絡(luò)空間安全概論 實驗9 內(nèi)存取證實驗樣例2_第4頁
網(wǎng)絡(luò)空間安全概論 實驗9 內(nèi)存取證實驗樣例2_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

實驗二內(nèi)存取證

一、實驗?zāi)康?/p>

1、掌握通過命令指令取證,并熟悉基本的取證信息;

2、了解計算機(jī)系統(tǒng)取證基本方法,并結(jié)合Sysinternals工具進(jìn)行取證;

二、實驗內(nèi)容

通過CMD和Sysinternals工具結(jié)合使用,從計算機(jī)內(nèi)存中獲得系統(tǒng)當(dāng)前

時間日期,系統(tǒng)信息,handle,PsPasswd,listdlls,PsGetSid,Pslnfo,Pskill,

PsList,PsLoggedOn,PsLogList,PsService,PsShutdown,PsSuspcnd,PsFile,

arpfport,ipconfig,nbtstat,Netstat,SC,string等內(nèi)存信息。

通過volati

三、實驗步驟

下載sysinternals工具/zh-cn/sysinternals/;JfJu

運行鍵入“emd”結(jié)合sysinternals工具對系統(tǒng)進(jìn)行取證。

四、實驗操作內(nèi)容

(一)、實驗指導(dǎo)書部分

1、輸入dale/t取證系統(tǒng)當(dāng)前的日期

輸入time/t獲取系統(tǒng)當(dāng)前時間

w如分徒小傳

MicrosoftWindows10.0.19044.16451

(c)MicrosoftCorporation.保留所有權(quán)利。

C:\Users\REASON>date/t

2022/04/25周一

C:\Users\REASON>time/t

21:18

C:\Users\REASOM〉.

圖2-1

2、利用取證軟件里面的應(yīng)用PsPasswd,可以進(jìn)行賬戶密碼等修改

::\Usors\1957l\Dosktop\09193408>PsPasswd

sPasswdvl.24-Localandremotepasswordchanger

opyright(C)2003-2016NarkRussinovich

>ysinternaIs-www.sysinterna1s.com

MPaauwdchangespaaawarduonalocalorromotoayutom.

Jsaseforlocalaccounts:

pspasswd[\\[coi*v>ut^r[,conouter,C-uUsername[-pPassword]!]<Account>[NewPassv*

Jsasofordomainaccounts:

pspass^'d<Domain\Account>(NcwPassword]

conput9rConputerorconputwsonwhichthelocalaccountexists.If

youonitthoconsulornaaro.th?localconputerisassuznod.

Ifyouspecifyawildcard(\\*),PsPasswdrunsthe

concnandonallconputersinthecurrentdomainorworkgroup.

ariiQPsPassMrdwillchangethopasswordonthocoirputorslisted

inthofile.

-uSpecifiesoptionalusername?forIosintorecrotecomputer.

-pSpecificsoptionalpasswordforusernag.Ifyouondtthis

youwillboproir^todtoenterahiddenpass^rord.

-nobannex*Donoadi?y->1?bnrwk*ndRv?*arws?.

DomainSpecifiesnameofthedomainofthetargetaccount.

AccountSpocifias:nnmoofthoaccountforpasswordchange.

圖2-2

3、Pslnfo用于收集有關(guān)本地或遠(yuǎn)程WindowsNT/2000系統(tǒng)的關(guān)鍵信息,包括

安裝類型、內(nèi)核生成、己注冊的組織和所有者、處理器數(shù)量及其類型、物理內(nèi)存

量、系統(tǒng)的安裝日期,以及是否為試用版。

用法:psinfo[[\\computer[,computer]I?file[-u用戶

[-ppsswd]]][-h][-s][-d][-c[-t分隔符]]篩選器

':\Users\19571\Desktop\09193408>psinfo“development-h-d

Pslnfovl.78-Localandremotesysteminformationviewer

jCopyright(C)2001-2016HarkRussinovich

jSysinternals-wvw.sysintemals.com

Connectingtode^elopnent...Cannotconnecttoremoteregistryondevelopment:

找不到網(wǎng)絡(luò)路徑。

.Couldnotconnecttodevelopment:

域不到網(wǎng)絡(luò)路徑。

jC:\Users\19571\Desktop\09193408>

圖2-3

4、Autoruns查看在系統(tǒng)啟動并登錄時,哪些程序被配置為自動啟動。

Autoruns.exe還顯示了應(yīng)用程序可在其中配置自動啟動設(shè)置的注冊表和文件位

置的完整列表。由于我是在虛擬機(jī)中進(jìn)行的實驗,所以有VMware軟件。

?口Lo^cnMEipios6lnte<n?<Explore*QSchedJcdT?sks<ODfiwfi--

Autonjn*EntryDeKnptionlm?9?Path

90c

<HKCU\SOHWARE\Mcro*olt\Wrdow*\Curr?rtV?r?iofARuft

M?cro?oltOr?Drrr?(V?nl??4)Micro?o4lCcrpotat?c<i第71\AppO*teUcc4f\M<r0

1>xKLM$CFTWAA£\Mi.c^|^dc^gr?MV.2cfl-

0SVMw?r?U-TodtCoreS?fMC?(Vcrifitd)Inc.G^rogramR?t\VM**r?\VMwer?Tc

0VM3D$?nnc?(Vcnfwd)VM??r?.Inc.C:\Wndom\?y?t?m3A*^3d??rvKe.?i

■HKU^SVSTEM^Cur-o!S<CEroXBoc(W-X

小ndom.告4My(Venfitd)MicrotoflWirdowr*C:\^Mndom\?y?t0m32V>wd^M

<XKLM60FTWM£\Micr8cMzcMjpMMkdCompomnts

QQ^Mkrotdl“9?Mkr801t“中InstWtor(VenfUd)MicrotoflCcrpcfattcnJWro^amRs(?d6J\^<cro?cl(\E49

0KMicr??olt.NETIESKURIIYR£GtSTIL.(VenlM)MctoMflCc<porM?o<iC:Wndom\Syttem?\fmcon^dl

A>xaWfCFTV,好m」',cw64蕓

叼“密rJwUpd“S<h?dJwaUpdateSc^?d^?f(Vcrilwd)Or?cUAmerica,kc.G^rogramRs(xdCACcmncnRet、

<嶷”>

圖2-4

5、Handle這一方便的命令行實用程序?qū)⑾蚰泔@示哪些進(jìn)程打開了哪些文件,可

以看到程序自身的打開文件對的信息,將存放的桌面文件夾09193408打開了。

lolfeoCoreVorker.exepid:2728\<unabletoopenprocess》

^ndlefexepid:2656[€SKT0P-N5iGQS\19571

~~444-^=-~~?________________________

94:File|£:gs巴s\l的71\?呼叫op\091934Q8

FC:FileC:\find(y*s\linSxS\xy6_jncrosoft.windows.connon-controls_6595b64144cc£Idf_5.82.19041.lllOj

34e38<0114d

iandle64.exepid:6380DE.SKTOP-N54WQS\19571

50:FileC:\Users\19571\Desktop\09193408

A4:FileC:\findo*s\IinSxS\and64-nicrosoft.windows.conron-controls_6595b64144cc£ldf.5.82.19041.Ill*

dlc7724431647

IBC:Section\¥ind<ws\7heae985259123

1C4:Section'Sessians\l\Iindcrrs\Thene975255251

1D4:FileC:\Iindcws\IinSxS\and64-nicrosoft.windows.confx?n-controls_6595b64144cc£ld£_6.0.19041.1110.

254171f9507e

2S8:FileC:\Iindars\Fants\StaticCache.dat

2A4:Section\Sessions\l\BaseNanecdbjects\windows_2hell_global.counters

圖2-5

6、ListDLLs是一種實用程序,用于報告加載到進(jìn)程中的D1L可以使用它來列

出加載到所有進(jìn)程中的所有D11、特定進(jìn)程或列已已加載特定DLL的進(jìn)程???/p>

以看到程序OneDrive.exe所加載的動態(tài)鏈接庫,如下圖所示。

bneDrive.exepid:6092

l\Aj>pData\Local\licrosoft\0neDrive\OneDrive.exe"/background

paseSizePath

bx00000000626d00000x284000\Users\19571\AppData\Local\licros(ft\OwDriv9\OneDrive.exe

px000000002fld0000OxIf5000Windo^\SYSTEI32\ntdll.dll

px000000002ok0000OxboOOO\findo^\Systw?32\XEraEL32DLL

px000000002ccc00000x2c8000\V2ndo^\SySten32\KERNELBASE.dll

0x000000002?妁0000Oxla1000C\?indcn?\Systen32\USSR32.dll

3x000000002dla00000x22000C\¥indous\Systen32\win32u.dll

9x000000002e9200000x2b000C\¥indows\Systen32\GDI32.dll

9x000000002d090000OxlObOOOCWindows32ndi32ndi.dll

gnnnnnnnn2amoooOiAdonodi1

0x000000002cf900000x100000\findows\Systen32\ucrtbase.dll

0x000000002ee80000OxacOOO\findo^\Syste?32\ADVAPI32dll

0x000000002d9700000x9^000\lindow5\Systen32\?svcrt.dll

0x0000000029^800000x9b000\Vindow5\Sy5tw?32\s?chost.dll

0x000000002de800000x121000C\¥irxtows\Syzta?32\RPan4.dll

px000000002dn>00000x73£000C\¥indov?\Sy2te?32\S?l±32.dl1

t)x000000002dc9(XXX)0xl2a000C\findows\Systen32\ole32.dll

0x000000002ev200000x355000C\¥indow3\Systen32\cad>ase.dl1

fox000000002ef30000OxcdOOOC\findows\Systen32\0LEAlJT32dll

10x000000002c9900000x156000\Vindo?s\Systen32\CW*PT32.dl1

0x0000000D2di800000x55000\Vindo^\Systen32\SaVAPI.dll

0x0000000020?50000OxcOOO\?indo^\SYSTEI32\Secur32.dl1

0x0000000025^0000OxaOOO\Vindour:\SYSTEI32\VEKSI0N.dl1

圖2-6

7.ipconfig一般用來檢驗人工配置的TCP/IP設(shè)置是否正確,可以看到主機(jī)的ip

為34,默認(rèn)網(wǎng)關(guān)為

C:\Users\19571\Desktop\09193408>ipconfig

WindowsIP配置

以太網(wǎng)適配器EthernetO:

盆定

DNs矗

矗:localdomain

本6

土:fe80::5898:f0ed;e769:89ed%4

"pv?

科?:

I^p網(wǎng)?:192.163.204.134

無?:

網(wǎng):

認(rèn)

^?

?一:192,168.204.2

jC:\Users\19571\Desktop\09193408>,

圖2-7

8.nbtstat用于查看在TCP/IP協(xié)議之上運行NetBIOS服務(wù)的統(tǒng)計數(shù)據(jù),并可以

查看本地遠(yuǎn)程計算機(jī)上的NetBIOS名稱列表

China,MultiprocessorFree

|C:\Users\19571\Desktop\09193408>Psinfo

Pslnfovl.78-Localandremotesysteminformationviewer

iCopyright(C)2001-2016MarkRussinovich

ISysinternals-ww.sysinternals.com

[Systeminformationfor\\DESKT0P-N54QGQS:

Uptime:0days0hours59minutes51seconds

Kernelversion:Windows10HomeChina,MultiprocessorFree

Producttype:Professional

Productversion:6.3

Servicepack:0

Kernelbuildnumber:19042

Registeredorganization:

Registeredowner:1957123520?qq.com

IEversion:9.0000

Systemroot:C:\Windows

Processors:2

Processorspeed:2.3GHz

Processortype:Intel(R)Core(TM)i7-10510UCPU@

Physicalmemory:230MB

Videodriver:VMwareSVGA3D

圖2-11

12、PsList——顯示處理程序和執(zhí)行緒的相關(guān)資訊,使用命令PslistT將進(jìn)程的信

息以樹形打印出來,可以看到進(jìn)程mcdge的Pid號為2148

5401312544419430334401923

winlogon616134275419430368482468

fontdrvhost7568532419430359963620

dwn9841315108541943036438892040

explorer4152865244541943038324857%8

|mscdgc2148Is1620419430312190834152

86081764194303195687120

idenlity_helper2UUU83494194303309649088

ireedge2140103994194303594203(096

msedge2740423541943032821210976

msedge319283254194303333129548

msedge402082684194303529241M96

ncsodge4344826841943035281216456

neodge65288226419430G206727256

needge6608424941943033283612324

trsedge664489193419430384282008

msedge7124892054194303192287152

jusched511b844b3lyyyo32^2

jucheck14448337287720139882688

SocurityHealthSystray586083174419430368321824

va3dsorvico59728192419430340321344

cod598881245419430313884-760

圖2-12

13、PsKill——終止本機(jī)或遠(yuǎn)端處理程序,利用次命令關(guān)閉上一步查詢到的medge

進(jìn)行,輸入命令pskill2148.進(jìn)程成功被關(guān)閉,在界面上瀏覽器也成功被關(guān)閉。

:\Users\1957l\D9sktop\09193408>pski11.exe2148

"PsKillvl.16-Terminatesprocessesonlocalorremotesystems

Copyright(C)1999-2016MarkRuesinovich

SysinternaIs-

iProcess2148killed.I

C:\Users\19571\Dmsktop\09193408屋

圖2-13

14、PsLoggcdOn——顯示使用者登錄至一個系統(tǒng),可以看到用戶上一次的登錄時

間為4/1814:22:56

p:\Users\19571\Desktop\09193408>PsLoggedon.exe

PsLoggedonT.35-Seewho'sloggedon

Copyright(C)2000-2016MarkRussinovich

Sysinternals-www.sysinternals.com

fsersloggedonlocally:

2022/4/1814:22:56DESKT0P-N54QGQS\19571

IMUUllb!lblllggtillUHvidXbfbUlUCb!blldlbfb.

C:\Users\19571\Desktop\09193408>a

圖2T4

15、PsService是用于Windows的服務(wù)查看器和控制器。與WindowsNT和

Windows2000資源工具包中包含的SC實用工具一樣,PsService顯示服務(wù)的

狀態(tài)、配置和依賴項,并允許你啟動、停止、暫停、恢復(fù)和重新啟動服務(wù)。

SERVICEJWC:NlaSvc

DISPLAYFUVI:N^tvorkLosigAwareness

也是挹及整的觸隹部?在此信息被修改時向程序發(fā)出通知,知里停止比服務(wù),則配置信息可能不可用:知集禁用比服務(wù)?則顯或

陸隹血度務(wù)的東有的標(biāo)橋無W啟動?

HPE:20"冏2_SHAR£』R0SSS

STATE:4RULING

(STOPPABLE.MH-PAUSABLB.IGW3RES_SHtm)OIN)

fIN32_EXIT_(X)DE:0(0x0)

SZRVICEJXIT.COOE:0(0x0)

OffiCKPOIlCr:0x0

lAlTJUKT:0R£

SERVICEJWtt:nsi

DISPLAYJUH:NetworkStoreInterfaceService

些避云面用甘科式國2堂奉送網(wǎng)絡(luò)通知(例如漆加/昭際接口等)?停止此股務(wù)稱導(dǎo)墳:失網(wǎng)絡(luò)連接?如累禁用此服務(wù),則顯式依較比股

務(wù)的房有K他蜃務(wù)器修無法總辦

TTPE:20?IK32_SHAKE_PROCZSS

STATE:4RUNNING

(STOPPABLE,M)T_PAUSABLE,IGWDRES.SHUTDOIN)

IIN32_EXIT_C0DE:0(0x0)

SSRVICEJX1T_COOE:0(0x0)

OffiCKPOlWT:0x0

fAIT_HINT:0ns

圖2-15

16、PsLogList允許您在當(dāng)前安全憑據(jù)集不允許訪問事件日志的情況下登錄到遠(yuǎn)

程系統(tǒng),PsLogList從所查看的事件日志所所在在的的計計算算機(jī)機(jī)中中檢檢索索消消息息字字符符串串。

(487)ServiceControlManager

Typo:INFORMATION

CoaFutor:DESKTOP-N54JSQS

Tine:2021/4/2822:20:26ID7040

User:而AUimRimSYSTEI

PindarlodulwInstalla-座務(wù)的啟動類型從按常啟動更改為自動啟動.

i486]licrosoft-fincJoM'S-finctowsUp-dateClient

Type:INFORIATION

Cc^utor:DeSKTOP-N54XGS

Ti?:2021/4/2322:19:45ID:

User:MTAUTH)RnY\SYSTEI

Kinder更新已開始下載更新。

l[485]Microsof?-IxnAcws-firrdow^UpdateClient

Type:INFORMATION

Ccaputer:DeSKTOP-N54XGS

Ti?>:2021/4/2822:19:45ID:

User:KTAUIH3RI1Y\SYSTEI

Vindc他更新已開始下載更新。

『c…??■?m…

圖2-16

17、PsShutdown——關(guān)機(jī)及選擇重新啟動電腦,可以看到該程序有許多參數(shù)可以

使用,如下所示。

:\Users\19571\Desktop\09193408>psshutdown.exe

rsShutdouT)v2.53-Shutdow,logoffandpowernanagelocalandremotesystems

Copyright(C)1999-2021BarkRussinovich

Sysinternals-uw.sysintemals.com

usage:

psshutdown-s|-r|-h|-d|-kl-a|-l|-o[-f][-c][-t[nn|h:mj][-vm][-e[u|p]:xx:yy]"message”][-u

word]][-ns][\\conputer(,conputert,...]l?file]

-aAbortashutdown(onlypossible曲il。countdownisinprogress)

-cAllwtieshutdowntobeabortedbytheinteractiveuser

-dSuspendthecomputer

-eShutdownreasoncode(availableonWindowsXPanchigher).

Specify'u'forunplannedand'p'forplanned

shutdownreasoncodes.

xxistiemajorreasoncodeGrustbelessthan256)

yyismminorreasoncode(nustbtlessthan65536)

-fForcesrunningapplicationstoclose

-hMirho「nopntar

-kPowerofftheconputer(rebootifpoweroffisnotsupported)

-1Lockthacomputer

Messagetodisplaytologgedonusers

-nSpecificstirooutinsecondsconnectingtorono”con?>uters

-oLogofftheconsoleuser

-pSpecificsoptionalpasswordforusernine.Ifyouondtthis

youwillbepronptedtoenterahiddenpassword.

-rRebootiftershutdown

________________ShutdownwithoutDQggroff________________________________________________________________________

圖2-17

18、PsSuspend使你可以掛起本地或遠(yuǎn)程系統(tǒng)上的進(jìn)程,這在進(jìn)程使用資源(例

如網(wǎng)絡(luò)、CPU或磁盤)你要允許不同進(jìn)程使用的情況下是必需的。掛起操作允

許在稍后某個時間點繼續(xù)操作,而不是終止占用資源的進(jìn)程。先查詢某個進(jìn)程的

Pid,然后使用該命令掛起。如下所示,掛起一個瀏覽器:

14111641943036789689804

65244541943036519656012

nsedge47765981722419430312214436056

msedge376207419430375721944

183474194303309289060

215

90028041943036307620492

2210

494838741943033433211300

40329

皴1694194303178287024

47

51984194303173886920

51524141943033226011912

452322419430310181642300

57216

5鬻11626541943035148816272

528741943036651622880

1921684194303180567032

6252

63241241943037059642028

69001462184194303191927052

5116326541943035135216220

4443

1皴449166963288

jucheck53726192268G

?curityHealthSystray174419430348321824

5鬣

□dservice592419430323921344

d245419430379923760

3膘

pslist621778802796

conhost62704194303185247796

60926834194303741620780

6414194303840416280

圖2-18

執(zhí)行之后,效果如下,然后瀏覽器怎么點擊都沒用。

C:\Users\1957l\Desktop\09193408>pssuspend.exe4776

PsSuspendvl.07

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論