共查询到2条相似文献,搜索用时 0 毫秒
1.
电子数据取证(特别是针对恶意程序进行调查)实践中,可执行文件操作信息在揭示犯罪分子行为细节方面发挥着重要作用。通常,可执行文件操作痕迹涵盖可执行文件名称、功能、位置、运行次数、运行时问、操作用户等多种信息。依靠Windows操作系统自带的系统命令或工具无法深入完整的挖掘出上述信息,因此针对此类痕迹分析方法的研究具有非常积极而重要的意义。 相似文献
2.
在计算机犯罪现场勘查过程中,如发现现场中主机处于开机状态,除极特殊情况(如系统正在删除文件、格式化、系统自毁等)须立即拔掉电源线外,在关闭主机前一般都要进行在线调查操作。在线调查的主要目的是获取那些关机或重新启动系统后就立即消失的数据,一般指系统时间/日期、当前登录用户、当前运行进程、套接字列表及相应监听程序等信息。正确执行在线调查操作通常需要有以下方面的保证:可信且完善的工具、规范的操作步骤以及数据签名。下文将从工具盘创建、具体步骤以及注意事项等方面详细说明Windows系统环境下的在线调查。1 Windows操作… 相似文献