重庆邮电大学实践教学环节教师授课计划
填表老师:黄梅根 填表时间:2014.3.6
学年学期:20141 课程编号:040739/040740 课程名称:计算机取证技术 年级:2013 专业:信息安全、法学等 学时/学分:8/1.0 理论学时:0 实验学时:8 教材名称及出版社: 《计算机取证技术》实验指导书 计算机专业实验中心编 开课专业及班级:信息安全(0441101-4)、法学(0711101-2、0711201-2)等 序周次 教学内容摘要(含授课内容,参考号 书,自学提纲,学习方法等) 1 4/6 磁盘数据映像备份 2 5/7 恢复已被删除的数据 3 6/8 分析Windows系统中隐藏的文件和Cache信息 4 7/9 用综合取证工具收集和分析证据 5 6 7 8 9 学时 2 2 2 2 重点及要求 相关耗材 10 11 12 13 14 15 16 主讲老师1:_黄梅根__________主讲老师2:_____刘锐_________ 辅导教师:_________________ 实验室主任签名_____________________学院院长签名_______________授课人数_200_
《计算机取证技术》实验大纲
一、 课程编号:040739/040740 二、 课程类型:限选
适用专业:信息安全、法学等 实验学时:8学时
三、 本课程的地位、作用与任务
本课程主要是面向信息安全、法学等专业设计的。主要学习:磁盘数据映像备份、恢复已被删除的数据、分析Windows系统中隐藏的文件和Cache信息、用综合取证工具收集和分析证据等。
通过本实验课程的学习,加深对电子计算机网络及互联网技术的理解和应用。在实验中通过练习数据的恢复、提起、保全等技术,熟悉和学习数据安全、保全的基本技术与安全技术,巩固理论知识,提高学习的兴趣、意识和动手能力,促成教学的良性循环。 在实验前要预习,实验后要认真完成实验报告。
四、 课程基本要求
1.学生应根据每个上机实验的任务和教师所提的要求,上机前准备好上机内容。 2.上机完成指定的实验任务并输出、记录实验结果。
3.上机结束后应按时提交实验报告,对于上机未完成部分,应该下机后利用课余时间完成。
五、 实验安排
本实验课程共8学时,4次实验,每次2学时。
实验一 磁盘数据映像备份
a) 会创建应急工具箱,并生成工具箱校验和。 b) 能对突发事件进行初步调查,做出适当的响应。
c) 能在最低限度地改变系统状态的情况下收集易失性数据。
实验二 恢复已被删除的数据
d) 理解文件存放的原理,懂得数据恢复的可能性。
e) 了解几种常见的数据恢复软件如EasyRecovery 和 RecoveryMyFiles。
f) 使用其中的一种数据恢复软件、恢复已被删除的文件,恢复已被格式化磁盘上的信息。
实验三 分析Windows系统中隐藏的文件和Cache信息
g) 学会使用取证分析工具查看Windows操作系统下的一些特殊文件,找出深深隐藏的证据。 h) 学会使用网络监控工具监视Internet缓存,进行取证分析。
实验四 用综合取证工具收集和分析证据
实验内容:用X-Ways Forensics的WinHex版本创建一个新的案例New Case1.xfc,在新案例中记录与证据有关的计算机媒体如硬盘、内存、USB、CD-ROM和其他有用的文件信息,生成树状案例结构,设计成一个证据实体或证据源,生成案例报告单。
i) 用X-Ways Forensics的WinHex版本对磁盘克隆,将生成的映像文件分段保存,检查RAW原始数据
映像文件中的完整目录结构;删除某个文件,对该文件自动恢复,删除某一特定文件类型,接着进行恢复,生成删除恢复报告。
j) 用X-Ways Captures将正在运行状态下计算机中的所有数据采集到外置USB硬盘中,如获取的内存
数据被加密保护,在其中找出有价值的口令信息。
k) 用X-Ways Captures获取物理内存和虚拟内存中所有正在运行的进程,分析并找出非法的进程。 l) 用X-Ways Trace对计算机中的浏览器上网记录信息和Windows回收站的删除记录进行追踪和分析。 将第(2)、(3)、(4)和(5)步中得到的数据信息和分析结果计算hash值后保存,再将数据信息和分析结果添加到第(1)步的案例管理中,进行组合和分类,并且对其可信度进行检验,将有效的证据纳入最终的证据集。
一、 教材
《计算机取证技术实验指导书(8学时)》计算机实验教学中心编和《计算机取证技术教程》陈龙等编。
二、 成绩考核办法
1.采取上机实验与撰写实验报告综合评分。 2.实验成绩独立作为实践环节成绩。
计算机实验教学中心
2014年3月
相关推荐:
loading