操作系统取证实践

操作系统取证实践

Linux系统取证实践

（注：在实验室均做完，但未做截图，故实验过程使用原版的；在自己本地主机的实验过程均有截图）

top命令

top命令解析

top作为日常管理工作中最常用也是最重要的Linux 系统监控工具之一，可以动态观察系统进程状况。top命令显示的项目很多，默认值是每5秒更新一次，按q键可以退出。
显示的各项目为：
　　-b : 批次模式运行。
　　-c : 显示执行任务的命令行。
　　-d : 设定延迟时间。
　　-h : 帮助。
　　-H : 显示线程。将显示所有进程产生的线程。
　　-i : 显示空闲的进程。
　　-n : 执行次数。一般与
　　-b搭配使用。
　　-u : 监控指定用户相关进程。
　　-U : 监控指定用户相关进程。
　　-p : 监控指定的进程。
　　-s : 安全模式操作。
　　-S : 累计时间模式。
　　-v : 显示top版本，然后退出。
　　-M : 自动显示内存单位（k/M/G）。

实验目的

掌握linux进程管理top命令；

实验环境

虚拟机linux

实验步骤

步骤1：点击打开控制台打开实验场景，以root身份登陆进入系统。（密码为123456）如图：

　　步骤2：登入系统。如下图

　　这个时候你就进入系统了。下面开始做实验
　　步骤3：在桌面右键点击“在终端中打开”。如下图：

　　步骤4：输入top显示任务、内存、CPU以及swap等内容，如图：

　　步骤5：输入O（大写字母O）进行排序。如图：

　　我们可以按照以上所有选项进行排序.
　　步骤6：下面我们来按下A，让其以pid排序，如图：

　　单击q退出。
　　步骤7：输入top –u user 可以看到user的进程信息。（可看到没有user用户）

　　步骤8：输入top后按下Z可以高亮现实正在运行的进程，如图：

　　步骤9： 按下C可以显示进程的绝对路径,如图：

　　步骤10：按下shift+p 可以按照cpu使用量来排序，如图。

实验步骤（本地）

1、 输入top显示任务、内存、CPU以及swap等内容

2、 下面我们来按下A，让其以pid排序，如图：

3、 输入top后按下Z可以高亮现实正在运行的进程

4、 按下C可以显示进程的绝对路径

5、说明：

6、 输入top –u user 可以看到user的进程信息

ps命令

实验原理

1、linux进程分类
　　交互式进程：一般是由Shell启动的进程。这些进程经常和用户发生交互，所以花费一些时间等待用户的操作。当有输入时，进程必须很快的激活。通常，要求延迟在50-150毫秒。典型的交互式进程有：控制台命令shell，文本编辑器，图形应用程序。
　　批处理进程（Batch Process）：不需要用户交互，一般在后台运行。所以不需要非常快的反应，他们经常被调度期限制。典型的批处理进程:编译器，数据库搜索引擎和科学计算。
　　实时进程：对调度有非常严格的要求，这种类型的进程不能被低优先级进程阻塞，并且在很短的时间内做出反应。典型的实时进程：音视频应用程序，机器人控制等。
　　批处理进程可能与I/O或者CPU有关，但是实时进程完全通过Linux的调度算法识别。
2、 Linux进程优先级
　　静态优先级(priority): 被称为“静态”是因为它不随时间而改变，内核不会修改它，只能通过系统调用nice(每个进程都会具有的属性，一个能影响进程优先级的数字)去修改他。它指明了在被迫和其它进程竞争CPU之前该进程所应该被允许的时间片的最大值（20）。
　　动态优先级(counter): counter 即系统为每个进程运行而分配的时间片，Linux 兼用它来表示进程的动态优先级。只要进程拥有CPU，它就随着时间不断减小；当它为0 时，标记进程重新调度。它指明了在当前时间片中所剩余的时间量（最初为20）。
　　实时优先级（rt_priority）：值为1000。实时优先级只对实时进程有意义。Linux把实时优先级与counter值相加作为实时进程的优先权值。较高权值的进程总是优先于较低权值的进程，如果一个进程不是实时进程，其优先权就远小于1000，所以实时进程总是优先。
　　Base time quantum：是由静态优先级决定，当进程耗尽当前Base time quantum，kernel会重新分配一个Base time quantum给它。

实验目的

掌握linux进程管理ps命令

实验步骤

　步骤1：点击打开控制台打开实验场景，以root身份登陆进入系统。（密码为123456）如图：

　　步骤2：登入系统。如下图

　　这个时候你就进入系统了。下面开始做实验
　　步骤3：在桌面右键点击“在终端中打开”。如下图：

　　步骤4：输入ps –ax现实所有进程，如图：

　　你会发现有很多信息都已经被覆盖到后面去了，那么接下来我来告诉你们怎么能完整的观看。
　　步骤5：输入ps –ax | less 就可以一点一点看到最后了。如图：

　　单击q就可以退出界面了。
　　步骤6：输入ps –ef | less是换个规则显示全部进程，如图：

　　步骤7：输入ps –aux | less 可以看到更加详细的进程信息。

　　步骤8：相查询某个进程状态时候可以用 ps -C ation，如图：

　　步骤9： ps -aux –sort=-pcpu | less命令可以让其根据CPU进行排序,如图：

　　步骤10：用ps -aux –sort=-pcpu | head -5命令，查看占cpu前五的进程。

　###实验步骤（本地）
1、 输入ps –ax现实所有进程

2、输入ps –ax | less 就可以一点一点看到最后了

　　单击q就可以退出界面了。
3、输入ps –ef | less是换个规则显示全部进程

4、输入ps –aux | less 可以看到更加详细的进程信息。

5、相查询某个进程状态时候可以用 ps -C ation

6、用ps -aux –sort=-pcpu | head -5命令，查看占cpu前五的进程。

kill命令

实验原理

1、kill命令作用
　　使用linux操作系统，难免遇到一些软件“卡壳”的问题，这时就需要使用linux下强大的kill命令来结束相关进程。这在linux系统下是极其容易的事情，你只需要kill xxx即可，这里xxx代表与此软件运行相关的进程PID号(PID就是各进程的身份标识 )。
2.kill命令详解
　　进程是Linux系统中一个非常重要的概念。Linux是一个多任务的操作系统，系统上经常同时运行着多个进程。我们不关心这些进程究竟是如何分配的，或者是内核如何管理分配时间片的，所关心的是如何去控制这些进程，让它们能够很好地为用户服务。 Linux操作系统包括三种不同类型的进程，每种进程都有自己的特点和属性。交互进程是由一个Shell启动的进程。交互进程既可以在前台运行，也可以在后台运行。批处理进程和终端没有联系，是一个进程序列。监控进程（也称系统守护进程）时Linux系统启动时启动的进程，并在后台运行。例如，httpd是著名的Apache服务器的监控进程。
　　kill命令的工作原理是，向Linux系统的内核发送一个系统操作信号和某个程序的进程标识号，然后系统内核就可以对进程标识号指定的进程进行操作。比如在top命令中，我们看到系统运行许多进程，有时就需要使用kill中止某些进程来提高系统资源。在讲解安装和登陆命令时，曾提到系统多个虚拟控制台的作用是当一个程序出错造成系统死锁时，可以切换到其它虚拟控制台工作关闭这个程序。此时使用的命令就是kill，因为kill是大多数Shell内部命令可以直接调用的。

实验目的

掌握linux进程管理kill命令

实验步骤

步骤1：点击打开控制台打开实验场景，以root身份登陆进入系统。（密码为123456）如图：

　　步骤2：登入系统。如下图

这个时候你就进入系统了。下面开始做实验
　　步骤3：在桌面右键点击“在终端中打开”。如下图：

　　步骤4：输入gedit打开gedit软件，如下图：

　　步骤5：再新建一个终端，利用pgrep gedit找到gedit的pid。如下图：

　　步骤6：下面我们用kill -9 2955 杀死gedit程序，如图：

　　Gedit显示以杀死。
　　步骤7：单击火狐的图标，打开火狐的浏览器

　　步骤8：输入killall firefox 可以直接对进程名进行kill命令，如图：

实验步骤（本地）

1、 单击火狐的图标，打开火狐的浏览器
111
2、 输入killall firefox 可以直接对进程名进行kill命令
112
3、 新建一个终端，利用pgrep firefox找到firefox的pid
113
4、 下面我们用kill -9 2747 杀死firefox程序
114

linux系统日志检验和查看

实验原理

1、linux日志的作用
　　日志也是用户应该注意的地方之一。不要低估日志文件对网络安全的重要作用，因为日志文件能够详细记录系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。
　　日志的两个比较重要的作用是：审核和监测。配置好的Linux的日志非常强大。对于Linux系统而言，所有的日志文件都在/var/log下。默认情况下，Linux的日志文件已经足够强大，但没有记录FTP的活动。用户可以通过修改/etc/ftpacess让系统记录FTP的一切活动。
2、Linux日志系统
　　日志对于系统的安全来说非常重要，它记录了系统每天发生的各种各样的事情，用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。日志主要的功能是审计和监测。它还可以实时地监测系统状态，监测和追踪侵入者。
　　Linux系统一般有3个主要的日志子系统：连接时间日志、进程统计日志和错误日志。

实验目的

• 知道linux日志存放位置；
• 学会linux日志基本设置；
• 初步学习linux日志的内容。

实验步骤

步骤1：以root身份登陆进入系统。（密码为123456）如图：

图1

步骤2：登入系统。如下如

图2

　　这个时候你就进入系统了。下面开始做实验
步骤3：在桌面右键点击“在终端中打开”。如图：

图3

步骤4：输入more /var/log/messages 查看统启动后的信息和错误日志，如图：

图4

步骤5：输入more /var/log/secure 就可以查看与安全相关的日志信息。如图：

图5

步骤6：输入more /var/log/maillog 就可以查看与邮件相关的日志信息，如图：

图6

步骤7：输入more /var/log/cron可以看到有关定时任务方面的日志信息。

图7

步骤8：输入命令 more /var/log/boot.log 可以查看 守护进程启动和停止相关的日志消息，如图：

图8

步骤9：输入more /etc/logrotate.conf查看日志的配置文件,如图：

linux下的用户管理

实验原理

1.1 linux下用户的角色分类。
• 在linux下用户是根据角色定义的，具体分为三种角色：
• 超级用户：拥有对系统的最高管理权限，默认是root用户。
• 普通用户：只能对自己目录下的文件进行访问和修改，具有登录系统的权限，例如上面提到的www用户、ftp用户等。
• 虚拟用户：也叫“伪”用户，这类用户最大的特点是不能登录系统，它们的存在主要是方便系统管理，满足相应的系统进程对文件属主的要求。例如系统默认的bin、adm、nobody用户等，一般运行的web服务，默认就是使用的nobody用户，但是nobody用户是不能登录系统的。
1.2linux下用户和组的概念
　　我们知道，Linux是一个多用户多任务的分时操作系统，如果要使用系统资源，就必须向系统管理员申请一个账户，然后通过这个账户进入系统。这个账户和用户是一个概念，通过建立不同属性的用户，一方面，可以合理的利用和控制系统资源，另一方面也可以帮助用户组织文件，提供对用户文件的安全性保护。
　　每个用户都用一个唯一的用户名和用户口令，在登录系统时，只有正确输入了用户名和密码，才能进入系统和自己的主目录。
　　用户组是具有相同特征用户的逻辑集合，有时我们需要让多个用户具有相同的权限，比如查看、修改某一个文件的权限，一种方法是分别对多个用户进行文件访问授权，如果有10个用户的话，就需要授权10次，显然这种方法不太合理；另一种方法是建立一个组，让这个组具有查看、修改此文件的权限，然后将所有需要访问此文件的用户放入这个组中，那么所有用户就具有了和组一样的权限。这就是用户组，将用户分组是Linux 系统中对用户进行管理及控制访问权限的一种手段，通过定义用户组，在很大程度上简化了管理工作。
1.3linux用户和组的关系
　　用户和用户组的对应关系有：一对一、一对多、多对一和多对多；
下图展示了这种关系：
• 一对一：即一个用户可以存在一个组中，也可以是组中的唯一成员。
• 一对多：即一个用户可以存在多个用户组中。那么此用户具有多个组的共同权限。
• 多对一：多个用户可以存在一个组中，这些用户具有和组相同的权限。
• 多对多：多个用户可以存在多个组中。其实就是上面三个对应关系的扩展。

实验目的

掌握linux系统用户管理；

实验步骤

步骤1：以root身份登陆进入系统。（密码为123456）如图：

图1

步骤2：登入系统。如下如：

图2

　　这个时候你就进入系统了。下面开始做实验
步骤3：在桌面右键点击“在终端中打开”。如图：

图3

步骤4：输入init 3 进入文本模式，如图：

图4

　　回车以后看到如下界面，就是文本界面。

图5

步骤5：在文本界面进行登录，输入root，单击回车，输入123456，回车进入系统。如图：

图6

　　看到如下界面就证明你已经进入系统。
步骤6：输入vim /etc/passwd查看当前系统的用户情况，如图：

图7

步骤7：在当前界面：q退出vi，然后用useradd命令添加一个系统用户hongyaa。

图8

步骤8：利用id hongyaa 查看hongyaa的帐号信息，如图：

图9

步骤9：把hongyaa用户加入root组，命令是：gpasswd –a hongyaa root,如图：

图10

步骤10：用passwd命令给hongyaa用户添加密码123456。命令是passwd hongyaa

图11

　　提示用户名太简单但是因为你是root所以可以忽略提示。再输入一遍123456。

图12

　　看到如下界面，你的密码就添加成功了。
步骤11：利用exit退出登录。

图13

　　输入exit后来到这个界面。
步骤12：以hongyaa用户登入系统。

图14

步骤13：退出并以root用户登入系统

图15

步骤14：利用userdel命令删除hongyaa用户。

linux下文件夹目录特点并验证和总结

实验原理

1.linux文件结构
　　文件结构是文件存放在磁盘等存贮设备上的组织方法。主要体现在对文件和目录的组织上。
　　目录提供了管理文件的一个方便而有效的途径。
　　Linux使用标准的目录结构，在安装的时候，安装程序就已经为用户创建了文件系统和完整而固定的目录组成形式，并指定了每个目录的作用和其中的文件类型。
2.linux目录结构
　　我们知道，Linux是一个多用户多任务的分时操作系统，如果要使用系统资源，就必须向系统管理员申请一个账户，然后通过这个账户进入系统。这个账户和用户是一个概念，通过建立不同属性的用户，一方面，可以合理的利用和控制系统资源，另一方面也可以帮助用户组织文件，提供对用户文件的安全性保护。
　　每个用户都用一个唯一的用户名和用户口令，在登录系统时，只有正确输入了用户名和密码，才能进入系统和自己的主目录。
　　用户组是具有相同特征用户的逻辑集合，有时我们需要让多个用户具有相同的权限，比如查看、修改某一个文件的权限，一种方法是分别对多个用户进行文件访问授权，如果有10个用户的话，就需要授权10次，显然这种方法不太合理；另一种方法是建立一个组，让这个组具有查看、修改此文件的权限，然后将所有需要访问此文件的用户放入这个组中，那么所有用户就具有了和组一样的权限。这就是用户组，将用户分组是Linux 系统中对用户进行管理及控制访问权限的一种手段，通过定义用户组，在很大程度上简化了管理工作。

实验步骤

步骤1：以root身份登陆进入系统，（密码为123456）登入系统。如下图：

图1

　　这个时候你就进入系统了。下面开始做实验
步骤2：在桌面右键点击“在终端中打开”。如图：

图2

步骤3：输入cd / 把当前的工作目录切换到根目录，
输入ls 查看根目录下的目录和文件。如图：

图3

步骤4：ls –al 查看一下所有目录和文件和其详细信息，如图：

图4

　　下面我们来分别看看根目录下的子目录的特点
步骤5：输入ls –a /bin 看看bin目录下的文件。如图：

图5

　　你会发现在bin目录绿色的文件名居多。也就是该目录下的可执行二进制命令居多。
步骤6： 利用ls /dev 查看dev目录下的文件特点，如图：

图6

　　上图可以看出黄色文件名的比较多。可以得知该目录下设备文件比较多。
步骤7：ls /etc 观察etc目录有什么特点,如图：

图7

　　由上图可发现，/etc文件夹下较多都是服务名.扩展名。这些都是服务的配置文件。所以在/etc下配置文件比较多。
步骤8：输入ls /home 查看家目录特点。

图8

　　家目录，顾名思义就是每个用户的家目录。

实验步骤（本地）

1、输入cd / 把当前的工作目录切换到根目录，
输入ls 查看根目录下的目录和文件。如图：

图3

2、ls –al 查看一下所有目录和文件和其详细信息，如图：

　　下面我们来分别看看根目录下的子目录的特点
3、输入ls –a /bin 看看bin目录下的文件。如图：

　　你会发现在bin目录绿色的文件名居多。也就是该目录下的可执行二进制命令居多。
4、 利用ls /dev 查看dev目录下的文件特点，如图：

　　上图可以看出黄色文件名的比较多。可以得知该目录下设备文件比较多。
5、ls /etc 观察etc目录有什么特点,如图：

　　由上图可发现，/etc文件夹下较多都是服务名.扩展名。这些都是服务的配置文件。所以在/etc下配置文件比较多。
6、输入ls /home 查看家目录特点。

　　家目录，顾名思义就是每个用户的家目录。

linux下文件时间属性提取

实验原理

1 系统时间date命令
date命令的功能是显示和设置系统日期和时间。
该命令的一般格式为： date [选项] 显示时间格式（以+开头，后面接格式）
　　date 设置时间格式：
　　命令中各选项的含义分别为：
• -d datestr, –date datestr 显示由datestr描述的日期
• -s datestr, –set datestr 设置datestr 描述的日期
• -u, –universal 显示或设置通用时间 时间域
• % H 小时（00..23）
• % I 小时（01..12）
• % k 小时（0..23）
• % l 小时（1..12）
• % M 分（00..59）
• % p 显示出AM或PM
• % r 时间（hh：mm：ss AM或PM），12小时
• % s 从1970年1月1日00：00：00到目前经历的秒数
• % S 秒（00..59）
• % T 时间（24小时制）（hh:mm:ss）
• % X 显示时间的格式（％H:％M:％S）
• % Z 时区 日期域
• % a 星期几的简称（ Sun..Sat）
• % A 星期几的全称（ Sunday..Saturday）
• % b 月的简称（Jan..Dec）
• % B 月的全称（January..December）
• % c 日期和时间（ Mon Nov 8 14：12：46 CST 1999）
• % d 一个月的第几天（01..31）
• % D 日期（mm／dd／yy）
• % h 和%b选项相同
• % j 一年的第几天（001..366）
• % m 月（01..12）
• % w 一个星期的第几天（0代表星期天）
• % W 一年的第几个星期（00..53，星期一为第一天）
• % x 显示日期的格式（mm/dd/yy）
• % y 年的最后两个数字（ 1999则是99）
• % Y 年（例如：1970，1996等）
2 文件时间
linux文件的三种时间属性分别为：
• atime，为access time的缩写，显示的是文件中的数据最后被访问的时间，比如被系统的进程直接使用或者通过一些命令和脚本间接使用。（执行一些可执行文件、脚本）
• mtime，为modify time的缩写，显示的是文件的内容被改变时的最后时间，比如用vi编辑时就会改变。（也就是Block的内容）
• ctime，为change time的缩写，显示的是文件的权限，拥有者，所属的组，链接数发生改变时的时间。当然当内容改变时，也会改变。（也就是Inode内容发生改变和Block内容发生改变时）
3 总结
　　Linux时间提取实验。主要是通过命令提取或修改系统时间，还有就是提取文件时间属性。

实验步骤

步骤1：以root身份登陆进入系统，（密码为123456）登入系统。如图：

图1

这个时候你就进入系统了。下面开始做实验
步骤2：在桌面右键点击“在终端中打开”。如图：

图2

步骤3：输入date命令查看系统时间，如图：

图3

步骤4：利用date修改日期，输入date –s 2016-12-12。进行修改时间。输入date命令查看是否修改。如图：

图4

步骤5：利用date命令修改日期和时间。date –s “2015-08-04 08：22：40”，查看是否更改，命令date。如图：（因为中间隔了一小会截的图，所以会差几秒钟。）

图5

步骤6：linux系统时区查看。输入命令cat /etc/sysconfig/clock,如图：

图6

通过看这个人间我们可以看出来这个机器的时区是亚洲上海。
步骤7：下面通过查看文件的方式来看看亚洲都有什么时区。
通过命令ls /usr/share/zoneinfo/Asia 查看

图7

步骤8：通过stat命令查看文件时间属性。
命令：stat /tmp/mapping-root

图8

这样，该文件夹的时间属性就获取到了。
步骤9：实验结束，关闭虚拟机。

实验步骤（本地）

1、 利用date修改日期，输入date –s 2016-12-12。进行修改时间。输入date命令查看是否修改

2、 利用date修改日期，输入date –s 2016-12-12。进行修改时间。输入date命令查看是否修改

3、 利用date命令修改日期和时间。date –s “2015-08-04 08：22：40”，查看是否更改，命令date

windows系统取证实践

（没有做本地，只写文字叙述吧）

分析日志

实验原理

日志在计算机系统中是一个非常广泛的概念，任何程序都有可能输出日志：操作系统内核、各种应用服务器等等。日志的内容、规模和用途也各不相同，很难一概而论。本文讨论的日志处理方法中的日志，仅指Web日志。其实并没有精确的定义，可能包括但不限于各种前端Web服务器——apache、lighttpd、tomcat等产生的用户访问日志，以及各种Web应用程序自己输出的日志。在Web日志中，每条日志通常代表着用户的一次访问行为，例如下面就是一条典型的apache日志：
211.87.152.44 – - [18/Mar/2005:12:21:42 +0800] “GET / HTTP/1.1″ 200 899 “http://www.baidu.com/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)”
　　如果系统中的事件过多，会很难找到真正导致系统问题的事件。这时，可以使用事件“筛选”功能找到想找的日志。
　　选中左边的树形结构图中的日志类型(应用程序、安全性或系统)，右击“查看”，并选择“筛选”。日志筛选器将会启动。
　　选择所要查找的事件类型，比如“错误”，以及相关的事件来源和类别等等，并单击“确定”。事件查看器会执行查找，并只显示符合这些条件的事件。微软在Windows 2000/NT/XP/2003等操作系统中都集成有事件查看器，它可以完成许多工作，比如审核系统事件和存放系统、安全及应用程序日志等。
　　系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，用户不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。
　　安全日志中存放了审核事件是否成功的信息。通过查看这些信息，用户可以了解到这些安全审核结果为成功还是失败，应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，用户可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。

实验目的

通过日志查看并分析日志；

实验步骤

步骤1：单击菜单，选择控制面板

步骤2：双击控制面板

步骤3：双击管理工具

步骤4：单击事件查看器。

步骤5：windows系统日志分为三类日志。第一类：应用程序，第二类：安全性，第三类：系统，下面我们单击应用程序看看有关于应用的日志。

步骤6：再来看看系统日志：

步骤7：这个过程需要其他的计算机访问，远程登录下查看到。
连接后生成的日志记录。

步骤8:我们还可以直接用运行，输入Eventvwr.msc打开日志。

实验结束，关闭虚拟机

使用工具软件对进程进行操作

实验原理

　　pslist工具可以列出WINDOWS下的进程，也可以列出某个进程下的线程，使用方法如下
• -d 显示线程明显；
• -m 显示内存明显；
• -t 显示进程树；
• -x 显示进程、内存、线程明细；
• name 显示指定进程的信息；
• -e 精确匹配指定的进程名称；

实验步骤

步骤1：点击运行，进入命令提示符。

步骤2：输入d:进入D盘

步骤3：命令行输入cd tools，进入tools之后输入PsList.exe运行程序，可以直接看到所有进程的信息

步骤4：pslist name显示指定名称的进程信息
我这里打开一个记事本，他的进程是notepad可以查看详细信息

步骤5：使用-d参数进一步查看在XP系统中对应的线程详细信息
使用-m参数查看notepad进程使用内存的情况

步骤6：PsList.exe -t显示进程树

步骤7：实验结束，关闭虚拟机。

使用命令和任务管理器对进程进行操作

实验原理

1、windows进程
1.1什么是进程
　　对应用程序来说，进程就像一个大容器。在应用程序被运行后，就相当于将应用程序装进容器里了，你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等)，当应用程序被运行两次时，容器里的东西并不会被倒掉，系统会找一个新的进程容器来容纳它。
　　进程是由进程控制块、程序段、数据段三部分组成。一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程。
　　是可并发执行的程序。在一个数据集合上的运行过程，是系统进行资源分配和调度的一个独立单位，也是称活动、路径或任务，它有两方面性质：活动性、并发性。进程可以划分为运行、阻塞、就绪三种状态，并随一定条件而相互转化：就绪–运行，运行–阻塞，阻塞–就绪。
　　进程为应用程序的运行实例，是应用程序的一次动态执行。看似高深，我们可以简单地理解为：它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括：系统管理计算机个体和完成各种操作所必需的程序；用户开启、执行的额外程序，当然也包括用户不知道，而自动运行的非法程序（它们就有可能是病毒程序）。
　　危害较大的可执行病毒同样以“进程”形式出现在系统内部（一些病毒可能并不被进程列表显示，如“宏病毒”），那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。
　　进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。显然，程序是死的(静态的)，进程是活的(动态的)。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的操作系统本身；用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。
　　选中事件查看器左边的树形结构图中的日志类型(应用程序、安全性或系统)，在右侧的详细资料窗格中将会显示出系统中该类的全部日志，双击其中一个日志，便可查看其详细信息。在日志属性窗口中可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描述。这对寻找解决错误是最重要的。
1.2进程的概念
　　进程的概念是60年代初首先由麻省理工学院的MULTICS系统和IBM公司的CTSS/360系统引入的。进程是一个具有独立功能的程序关于某个数据集合的一次运行活动。它可以申请和拥有系统资源，是一个动态的概念，是一个活动的实体。它不只是程序的代码，还包括当前的活动，通过程序计数器的值和处理寄存器的内容来表示。
　　进程是操作系统中最基本、重要的概念。是多道程序系统出现后，为了刻画系统内部出现的动态情况，描述系统内部各道程序的活动规律引进的一个概念,所有多道程序设计操作系统都建立在进程的基础上。操作系统引入进程的概念的原因:从理论角度看，是对正在运行的程序过程的抽象；从实现角度看，是一种数据结构，目的在于清晰地刻划动态系统的内在规律，有效管理和调度进入计算机系统主存储器运行的程序。
1.3进程的特征
• 动态性：进程的实质是程序的一次执行过程，进程是动态产生，动态消亡的。
• 并发性：任何进程都可以同其他进程一起并发执行
• 独立性：进程是一个能独立运行的基本单位，同时也是系统分配资源和调度的独立单位；
• 异步性：由于进程间的相互制约，使进程具有执行的间断性，即进程按各自独立的、不可预知的速度向前推进
• 结构特征：进程由程序、数据和进程控制块三部分组成。

实验步骤

步骤1：单击菜单，点击运行输入cmd：

步骤2：单击回车，进入cmd界面。

步骤3：我们先打开在D盘根目录下的那几个新建文件。

步骤4：利用wmic process get caption,commandline /value命令查看所有进程和进程详细路径。

　
步骤5：我们可以利用tasklist查看进程的pid。

　　我们来利用ntsd –c –q –p 636(也就是cmd的pid)结束cmd的进程。
步骤6：我们先打开cmd，然后通过命令ntsd -c q -pn cmd.exe结束该进程。

步骤7：单击回车。如图会快速闪一下关闭进程。

步骤8：依然是关闭该界面，cmd也就随之关闭了。实验结束，关闭虚拟机。

windows 下查看日志

实验原理

1、windows日志的作用。
1.1查看信息
　　选中事件查看器左边的树形结构图中的日志类型(应用程序、安全性或系统)，在右侧的详细资料窗格中将会显示出系统中该类的全部日志，双击其中一个日志，便可查看其详细信息。在日志属性窗口中可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描述。这对寻找解决错误是最重要的。
1.2搜索事件
　　如果系统中的事件过多，会很难找到真正导致系统问题的事件。这时，可以使用事件“筛选”功能找到想找的日志。
　　选中左边的树形结构图中的日志类型(应用程序、安全性或系统)，右击“查看”，并选择“筛选”。日志筛选器将会启动。
　　选择所要查找的事件类型，比如“错误”，以及相关的事件来源和类别等等，并单击“确定”。事件查看器会执行查找，并只显示符合这些条件的事件。
1.3存放日志
　　微软在Windows 2000/NT/XP/2003等操作系统中都集成有事件查看器，它可以完成许多工作，比如审核系统事件和存放系统、安全及应用程序日志等。
　　系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，用户不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。
　　安全日志中存放了审核事件是否成功的信息。通过查看这些信息，用户可以了解到这些安全审核结果为成功还是失败，应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，用户可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。

实验步骤

步骤1：单击菜单，选择控制面板

步骤2：双击控制面板

步骤3：双击管理工具。

步骤4：单击事件查看器。

步骤5：windows系统日志分为三类日志。第一类：应用程序，第二类：安全性，第三类：系统，下面我们单击应用程序看看有关于应用的日志。

步骤6：我们来看看安全性日志。

步骤7：再来看看系统日志：

步骤8：现在我们看看这些日志到底存放在哪呢，打开我的电脑，单击c盘。

步骤9：单击windows，点击显示次文件夹内容。

步骤10：单击system32，然后单击显示此文件内容。 
步骤11：进入config文件夹内，有一个SecEvent.Evt的文件就是日志文件哦。

步骤12：我们还可以直接用运行，输入Eventvwr.msc打开日志。

　　实验结束，关闭虚拟机

windows下操作系统还原

实验原理

　Windows XP系统中启用系统还原的步骤方法分享给大家。XP系统优化时，一些用户会选择关闭系统自带的还原功能。其实开启系统还原还是很有必要的，由于系统还原可在不需要重新安装操作系统，也不会造成数据文件被破坏的前提下使系统回到工作状态。

实验步骤

步骤1：在“我的电脑”图标右键，选择“属性”选项。

步骤2：打开“系统属性”窗口中，选择“系统还原”选项。切换到“系统还原”标签页，去掉勾选“在所有驱动器上关闭系统还原”的复选框（一开始系统初始是勾上的，去掉才可以还原），然后点击应用。

图2

步骤3：不勾选以后，查看下面“可用驱动器”中需要的分区是否处于“监视”状态。

步骤4：点击“开始——所有程序——附件——系统工具——系统还原”选项。

步骤5：点击以后会弹出一个确认窗口，说明需要谨慎操作，点击“是”，继续进行还原。

步骤6：打开“系统还原”窗口，选择“创建一个还原点”选项，单击“下一步”按钮。

步骤7：在还原点描述这里，给你的还原点起一个名字，然后点击创建。

步骤8：还原点创建成功，这里显示了新还原点的创建时间，点击关闭退出。

步骤9：Ok，这是设置还原点的方法，当我需要还原的时候，请在需要执行任务出选择，恢复我的计算机到一个较早的时间。下图中有两个还原点，可供我们选择，我选择了自己新建的那个还原点。

步骤10：这一步是计算机在确认，是否还原，一旦还原你现在的配置就都没有了，要慎重考虑！点击下一步确认操作。

然后他就关机还原了。再次打开显示恢复完成。

步骤11：实验结束，关闭虚拟机

windows下的时间提取

实验原理

1、windows下的时间提取种类
　　1.1 系统时间提取。

　　在取证的时候首先s提取的一般就是系统时间，虽然系统时间可能不准确，但是依然还要提取。在很多情况下系统时间会被他人改动。所以系统时间并不是最准确的时间。

　　1.2 文件系统中的时间提取

　　Windows文件系统主要分为ntfs和fat两种。我们可以分别在这两种文件系统进行时间属性的提取。

　　本次试验主要是查找系统时间证据。分为系统时间提取和文件时间提取。但是如果作案人员很小心那么时间都有可能不准确。因为在作案人员作案时候可能更改了系统时间这样进行更改文件和创建文件的时间就都被改过了。所以除了会提取时间还要学会怎么分析时间是否被改变过。

实验步骤

　步骤1：单击菜单，点击运行输入cmd：

　　步骤2：单击回车，进入cmd界面。输入命令date并回车提取到系统日期。
　　步骤3：输入命令time获取系统时间。
　　步骤4：我们还可以通过单击菜单，控制面板，时间和日期来进行图形的查看时间，找到控制面板里面的日期、时间、语言和区域设置，点击进入

　　步骤5：找到日期和时间选项点击进入

　　步骤6：查看和更改日期和时间

　　步骤7：实践中这样的提取时间不一定准确，所以我们还要提取文件时间属性。下面打开D: ools文件夹并找到WinHex18.zip这个文件。

　　步骤8：把压缩包解压到当前文件夹并打开该文件夹：

　　步骤9：单击winhex.exe，打开工具。（可以调试屏幕分辨率）

　　步骤10：单击open disk。选择硬盘驱动器D，单击确定。

　　步骤11：右键恢复/复制已删除的文件，单击继续，在这你就可以看文件的时间了，包括创建时间、修改时间、记录更新时间。

　　步骤12：实验结束，关闭虚拟机。

windows下用命令进行用户管理

实验原理

windows为什么要进行用户管理
　　windows系统中，本地用户和组是极其重要的，因为你要管理操作系统，都要先进入系统，进入系统，当然少不了用户。所有，对用户的有效管理就很重要。在命令提示符下操作很简单，如果熟练的话，比图形界面的速度更快。我下面介绍的就是windows操作系统中用命令行来管理本地用户和组的常用和实用的操作。希望可以给大家管理和维护带来方便。

实验步骤

步骤1:单击菜单
步骤2:单击运行，输入cmd。

步骤3:回车，进入cmd。

步骤4:利用net user命令进行查看本机都有哪些用户。

步骤5:利用net user Administrator，查看Administrator用户的详细信息。

步骤6:利用net user abc /add添加帐号abc。

步骤7:利用net user def 123 /add，添加帐号def并给def密码设置为123。

步骤8:利用net user def 258 /add，把帐号def的密码改为258。

步骤9:利用net localgroup administratorabc /add（由于版本可能会导致命令不一致net localgroup administrators abc /add），把abc加入管理员组(默认administrators组)。

步骤10:利用net localgroup administratorabc /del（或net localgroup administrators abc /del），把abc用户退出管理员组。

步骤11:利用net user abc /active:no，停用abc帐户。

步骤12:利用net user abc /del，net user def /del删除刚才添加的两个帐号。

windows下用图形进行用户管理

实验原理

windows为什么要进行用户管理
　　windows系统中，本地用户和组是极其重要的，因为你要管理操作系统，都要先进入系统，进入系统，当然少不了用户。所有，对用户的有效管理就很重要。在命令提示符下操作很简单，如果熟练的话，比图形界面的速度更快。我下面介绍的就是windows操作系统中用命令行来管理本地用户和组的常用和实用的操作。希望可以给大家管理和维护带来方便。

实验步骤

步骤1:右键点击“我的电脑”，选择“管理”
步骤2:在计算机管理控制台中选择“本地用户和组”，选择“用户”。

　　在这里我们可以看到本地所有的帐号信息。
步骤3:右键点击用户，选择新用户进行用户添加。

步骤4:填写相关信息。

步骤5:单击创建创建成功。
　　看到一个叫zhangsan的帐号已经建立成功。
步骤6:单击组查看组信息。

步骤7:单击用户，找到刚刚新建的用户zhangsan，右键张三单击属性：

步骤8:单击隶属于，单击添加。

步骤9:单击高级。

步骤10:单击立即查找。单击Backup Operators然后点击确定。

步骤11:继续单击确定。

步骤12:单击Backup Operators单击删除，删除刚才添加的。

步骤13:选中zhangsan单击删除。

步骤14:单击是。完成删除帐号。