第页共NUMPAGES4页
计算机取证实验报告

，
将准备好的软盘（或U盘）插入计算机中，删除上面的一部分文件和文件夹如果原有磁盘中没有文件和文件夹，可以先创建几个，备份到BakFilel文件夹下，再将它删除。
点击“数据恢复”，出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮，选择“删除恢复”进行快速扫描，查找已删除的目录和文件，接着选择要搜索的驱动器和文件夹（A盘或U盘图标）。出现所有被删除的文件，选择要恢复的文件输入文件存放的路径D：LostFilel，点击“下一步”恢复完成，并生成删除恢复报告。
图3EasyRecovery选择恢复删除的磁盘
图4EasyRecovery扫描文件
图5EasyRecovery扫描结果
比较BakFilel文件夹中删除过的文件与LoatFilel文件夹中恢复得到的文件，将比较结果记录下来。
图6查看需要恢复的文件
图6保存需要恢复的文件心得体会:使用EasyRecovery恢复已被删除的文件非常管用，而且使用方便，通过这次实验学会了如何恢复不小心被删除的文件。也能对计算机存储介质有了进一步的认识。
实验三
实验
题目：
分析^pdows系统中隐藏的文件和Cache信息
实验目的：
学会使用取证分析^p工具查看dows操作系统下的一些特殊文件，找出深深隐藏的证据。
学会使用网络监控工具监视Inter缓存，进行取证分析^p。
实验要求：
dowsp或dows20Professional	操作系统
dowsFileAnalyzer和CacheMonitor安装软件
一张可用的软盘（或u盘）
实验主要步骤：
用dowsFileAnalyzer分析^pdows系统下隐藏的文件。
用CacheMonitor监控Inter缓存。
用dowsFileAnalyzer和CacheMonitor进行取证分析^p。
实验结果：
软件界面
Analyzer分析^p文件
打开prefetch文件夹中存储的信息，打开结果，全部是.pf文件
ShortcutAnalyzer找出桌面中的快捷方式，并显示存储在他们中的数据
CacheMonitor操作
心得体会：这个实验相对而言比较简单，只要会使用dowsFileAnalyzer，了解其功能和具体的使用方法，但是对其所得到的数据进行分析^p，还需要进一步的加强学习。
实验四
实验目的：
（1）在综合的取证、分析^p环境中建立案例和保存证据链。
（2）模拟算机取证的全过程，包括保护现场、获取证据，保存证据，分析^p证据，提取证据。
实验步骤和实验结果：
（1）用-WaysForenss的He版本创建一个新的案例newcase，记录与计算机有关的的计算机媒体如硬盘，内存，USB，CD-ROM和其他有用的文件信息，结合实际案例结构，设计生产一个证据实体或证据，生产案例报告单。
图创建镜像文件过程
操作结束，将生成TT格式操作日志，包含如磁盘参数、MD5值等信息。
2）用-WaysForenss的He版本对磁盘克隆，将生成的映像文件分步采集，生成RAW原始数据映像文件中的完整目录结构，删除某个文件，对该文件自动恢复，并确定文件类型，接着进行回复，生成删除回复报告。
扫描完成后可以看到被删除的文件如下图
文件已被恢复。
（3）用-WaysCaptures将正在运行状态下计算机中的所有数据采集到外置	USB硬盘中，
如获取的内存数据被加密保护，在其中找出有价值的口令信息。
（4）用-WaysCaptures获取物理内存和虚拟内存中所有正在运行的进程，分析^p进程。
（5）用-WaysTrace对计算机中的浏览器上网记录信息，回收站的删除记录进行追踪和分析^p。
（6）将第（2），（3），（4）和（5）步中得到的数据信息和分析^p结果计算	hash值后保存，
再将数据信息和分析^p结果添加到第一步的案例管理中进行组合和分类，并且对其可信度进行检验，将有效的证据纳入最终的证据集。
心得体会：
这个实验比较难，做这个实验最大的感触是计算机取证是一件需要
很大的耐心和细心的事情，在实验指导书和自己的摸索下才会使用-Ways
Forenss，这个工具非常不错。