それは好奇心、他の人が同様に対応するツールと同じように理解することは簡単なシステムを介して、右のコンピュータ上で実行するプログラム、ドキュメント、使用の痕跡、ブラウザの閲覧履歴、様々な歴史的なトレースの履歴を表示することができていない、このすべてはとても簡単です、彼らは好奇心を持っている場合は、次のことができ、以下のいくつかの簡単な列子は唯一の研究のアイデアです、ご理解のようなものがあり、実際に、それはかなり良いアイデアに、複数の操作によって達成することができ、非常に大規模で動作しているように見えます拡張された学習への主要なサイトのフォーラム。
開発 - 証拠収集の基本的なプロセス
[1] [2]予備的な証拠を収集するために、コンピュータ犯罪者を決定するために、[3] [4]の取付順序リスク評価を得るために、[5]犯行現場における証拠の発作、証拠番号とセキュリティロック同定実験室に送られた[6]証拠ファイル[7 ]元のディスクを変更できない修正、証拠ファイルの2つの電子コピーを作成する。[8](MD5)チェックコードをミラーリング元のデータファイルを生成する[9] [10]安全な場所に証拠の連鎖を維持する[11]ファイルミラーにおける証拠鑑定評価書のサンプルのコピー[12] [13]は証言する法廷の外証人として特定のクライアントへの報告書[14]を必要に応じて、提出します
1、フォレンジック機器やソフトウェア
1.1Encase
フォレンジックは1.2をマスター
1.3DC4501
1.4winhex
..............
図2に示すように、オペレーティング・システム・トレース抽出及び分析
システムのインストール時
によって
2.1、CMDプロンプトで、次のように入力システムのシステム情報を表示
2.2、キー抽出するためのレジストリパス解析します。HKEY_LOCAL_MACHINE \ SOFTWARE \マイクロソフト\ Windows NTの\ CurrentVersionの\ installDate
時間変換URLます。http://tool.chinaz.com/Tools/unixtime.aspx
図3に示すように、システムのユーザトレース
3.1、入力し、CMDプロンプトを記録する最近の訪問:最近
フル・パス:C:\(ユーザー名AnSenは、現在ログインしている)ユーザー\ AnSen \のAppData \ローミング\ Microsft \ WINDOWS \最近
3.2、レジストリの分析:
HKEY_CURRENT_USER \ SOFTWARE \マイクロソフト\ Windowsの\ CurrentVersionの\ Explorerの\ RecentDos
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Exce\File MRU
4、运行程序痕迹提取
4.1、为了提升系统性能,在计算机运行程序时把一些prefecth下的*.pf文件存到内存中:C:\Windows\prefetch
4.2、HKFY_SURRFNT_USER\Software\Microsoft\Windows\CUrrentVersion\Explorer\UserAssist
4.3、具备更快的检索功能——Prefetch工具
路径:C:\Windows\Prefetch
Prefetch工具获取Prefetch文件下的程序,直观看到使用过的程序
Prefetch工具下载:http://www.nirsoft.net/utils/win_prefetch_view.html
5、常见的Windows事件
事件保存的位置:C:\windows\system32\winevt\Logs
事件日志当中记录了
用户登录注销
远程访问审计
即插即用设备的使用
系统事件的修改记录
无线网络的接入
.........
用户登录事件
分析移动设备插入拔出
事件日志筛选20001,20003【可以百度了解日志ID号对应的发生事件】
日志分析工具LogParser
下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659