实验5死取证活取证

实验目的

1.理解“活取证”和“死取证”两类技术的差别和应用场合

2.掌握“活取证”和“死取证”基本工具的使用方法

实验内容

一、活取证：

1.从内存还原文字

2.从内存还原图片

3.从内存中提取明文密码

二、死取证：

1.使用Kalilive制作光盘镜像

2.使用Autopsy对硬盘镜像进行分析

实验步骤

实验1)Win7系统下进行实验，以记事本程序为例。打开一个记事本，tasklist命令可以查看该程序（notepad.exe）的映像名和PID等信息。

使用procdump工具提取notepad程序在内存中的镜像：

命令：procdump64.exe-manotepad.exenotepad.dmp

使用strings工具提取出其中的字符串，找到有用信息。

命令：strings.exe notepad.dmp>notepad.txt

打开notepad.txt:

实验2：从内存还原图片

用画图工具打开一幅图片，画图工具程序名是“mspaint.exe”

用procdump提取图片镜像信息

分析处理mspaint.dmp文件还是需要在kali系统中进行，将其拷贝到kali系统：

然后用gimp打开mspaint.data，打开后显示的图片是一团混乱的像素点，通过调节宽度、高度以及位移三个参数，从混乱中寻找可能的图像：（如果我们知道元素图片的宽度和高度信息（作弊），可以先设定好这两个参数，

调节位移一个参数就可以了）

实验3：从内存中提取明文密码

Windows系统中当用户登陆后，系统会启动一个叫做lsass.exe的程序，管理用户令牌，在lsass程序中会存储有用户的明文密码，我们现在尝试使用procdump从这个程序的内存中提取用户的密码。

注意要以管理员权限打开终端程序，命令与前面实验相同：

procdump64.exe-malsass.exelsass.dmp

需要使用mimikatz工具：把lsass.dmp文件拷贝到mimikatz.exe所在文件夹，双击打开mimikatz.exe程序。

输入：：回车，可以查看mimikatz所有的模块，我们需要使用的模块是sekurlsa。

在依次使用命令：sekurlsa::minidumplsass.dmp和sekurlsa::logonPasswords就

可以将用户密码提取出来。

实验4：死取证

1.使用Live版Kali系统中的Guymager来创建一台Win7虚拟机的硬盘镜像

首先要将Live版Kali的iso文件装载到Win7虚拟机，启动虚拟机，让电脑从光

盘启动，进入Live版的Kali系统。

打开 guymager 程序:

右键，选择acquire image

选择start开始取证进程。

1. 使用 Autopsy 对硬盘镜像进行分析

该服务器在端口 9999 进行侦听，可以使用浏览器访问。在浏览器地址栏输入上面网址，可以看到下面操作界面:

这款软件是按照网络犯罪取证的过程来设计的，所有操作都是以case作为基本

单元，首先要先创建一个新的case：

点击new case

点击add host,完善这些信息，但不是必要的