20145233韩昊辰小组 课程设计中期检查

实验内容

实验一 银行卡关键字取证

• 登录操作机，账号administrator，密码123456

• 双击打开“C:\tools\知识点案例\关键字搜索案例一”，提示需要输入密码，使用 pico2010
  

• 打开案例后，点击“视图”，选择“关键字”
  

• 右键选择“Credit Cards”，点击“新建”

• 在“新建 关键字”选项卡中，输入搜索表达式、名称和搜索选项
  

• 搜索表达式为：[^#]####[ -\]?####[ -_]?####[ -_]?####[ -_]?###[^#]（注意一下，这个表达式我觉得是最重要的部分，在后面的分析中我会解答）

• 勾选新建的关键字，点击“搜索”，在“搜索”选项框中设置相关参数，点击“开始”
  

• 点击“案例”，然后点击“搜索命中”，刷新一下，就会出现，银行卡号搜索，右方列表中出现所搜索到的内容（银行卡号）
  

• 实验结束，关闭实验所用操作机

实验二 关键字搜索取证信息

• 登录操作机，账号administrator，密码123456。

• 双击打开“C：\tools\知识点案例\关键字搜索案例二”，提示需要输入密码，使用 pico2010。

• 点击“视图”，选择“关键字”
  

• 右键选择“Credit Cards”，点击“新建”
  

• 在“新建 关键字”选项卡中，输入搜索表达式、名称和搜索选项

• 搜索表达式为：楓葉飛舞（首先添加输搜狗入法）

• 在“新建 关键字”选项卡中，输入搜索表达式、名称和搜索选项

• 搜索表达式为：Queencat

• 点击“搜索”，在“搜索”选项框中设置相关参数，点击“开始”。

• 点击“案例”，然后点击“搜索命中”，刷新一下，就会出现，Queencat和楓葉飛舞搜索，右方列表中出现所搜索到的内容。

• 实验结束，关闭实验所用操作机。

实验三 关键字取证之论坛信息

• 因为这个实验过程几乎和关键字查询没有差别，连使用的关键字都是“枫叶飞舞”，所以具体过程就在上一个实验中描述，这个就不再叙述了
  

• 

• 

实验四 Encase的工具使用

• 这个使用指导很简单，就是告诉我们使用时候直接打开
• 然后打开已经做好地磁盘镜像
• 利用关键字开始查找（输入公式）
• 实验完成

实验五 QQ记录取证与记录

• 使用的工具不同于前面几次实验，这次使用的工具是取证大师专业版
  

• 根据实验流程，开始实验，为了以防万一，我们其中一个使用小号，另一个使用大号来证明身份，使用小号进入是害怕这个程序会不安全，结果并没有出现问题
  

• 先查看好友信息
  

• 选择指定好友后可以查看取证的文件信息等
  

• 查看和好友发送消息的内容（注：944194024是我的QQ号）
  

实验六

• 这个实验的做出来的结果目前没有拷贝到我的电脑中，周日去实验室之后我再补全

实验七 Everything工具使用

• 这个并不在实验的内容中，但是我们的课设题目是，开源条件下的取证
• 最简单的查询关键字的方法是直接在盘中搜索，但是文件很多的情况下会很浪费时间
• 往往简单的查询在案件中节省时间是很有必要的，所以我在我的电脑上下载了老师在大二时推荐的一款工具：Everything

• 使用很简单，安装后直接输入文件的名字，它可以快速的查询到结果，以及所在位置
  

• 

关于中期检查的感想

• 本周五的时候突然接到要写博客的消息，所以这个博客这是初步的内容，我会在后续的时间内来完善和丰富。课程设计总体来说我觉得难度不大，按照指导很快就可以完成，但是这都是在有指导的前提下。
• 课设我们的题目范围很广，这给了我们很大的发挥空间，但是在实验室的虚拟机上完成，并不能说明什么问题，所以还需要在自己的电脑上来实现，我现在已经下了一些工具开始实践了。

实践方面的进展以及遇到的问题

• 实践工具下载到不是很难，但是可以在网上下到的版本较老，应该会影响实践过程，但是目前这个不是最需要解决的问题。
• 对于Encase来讲，查询打开的是磁盘的镜像，因为害怕在得到犯罪分子的电脑资料后，存在被修改的可能。但是在我自己的计算机中实现的时候，使用相关的工具来对我自己的硬盘进行镜像处理的话，可能会造成生成之后没有办法还原，这时计算机主机可能会出现问题，所以使用我们的计算机容易出现风险。
• 如果不适用自己计算机的磁盘镜像，在网上下载模拟的磁盘镜像，但是不是要买正版的权限，就是下载盗版的时候没有资源，无法完成下载，这都是要解决的问题。
• 如果使用自己电脑生成了镜像文件，但是再利用关键字查找的时候，需要知道关键字的关系式，这个是需要自己来研究的，这也是我们需要待解决的问题，目前就是这样一个情况。