朗威计算机保密检查取证工具用户手册范本.docx

朗威计算机保密检查取证工具用户手册范本.docx

《朗威计算机保密检查取证工具用户手册范本.docx》由会员分享，可在线阅读，更多相关《朗威计算机保密检查取证工具用户手册范本.docx（16页珍藏版）》请在冰豆网上搜索。

朗威计算机保密检查取证工具用户手册范本

计算机检查取证工具

用户手册

朗威电子技术开发

第一章计算机检查取证工具简介1

1.概述1

2.主要功能1

3.主要特点2

第二章检查工具使用向导3

第三章检查工具使用方法4

1.检查工具使用方法4

1.1检查功能4

1.2其他功能8

1.2.1文件恢复8

1.2.2隐藏文件检索14

1.2.3搜索文件14

1.2.4保存结果16

2.涉密版和非涉密版区别16

公司简介

朗威电子技术开发成立于1999年11月5日，注册资金300万元，注册地址在市南岗区学府路36-2号朗威大厦。

朗威电子技术开发是国家商用密码产品生产定点单位，具有涉及国家秘密的计算机信息系统集成资质，全面致力于“信息安全产品”、“信息安全应用产品”的研制，并且是“安全服务”提供商。

朗威公司目前已经形成了多项拥有自主知识产权的信息安全类产品，分别通过局、公安部、信息产业部等权威部门认证，并为用户提供专家级的咨询和安全服务。

朗威电子签章系统作为中间件在中央政府采购项目中中标，标志着朗威电子签章技术在政府公文传输系统中获得认可，并得到广泛推广。

多年来，朗威电子技术开发专注市场，专心于标准的研究，专门制作符合单项要求的产品，在产品的研发、生产和销售各个环节完全符合国家相关政策的规定。

公司拥有自己的研发队伍。

朗威电子技术开发现有安全产品：

朗威桌面安全管理系统、朗威USB移动存储介质使用管理系统、朗威涉密信息实时监管系统、朗威电子签章系统和朗威公文传输系统等。

朗威公司凭借专业的行业背景、先进的软件产品、成熟的技术优势、高素质的技术人才、优越的研发环境为用户提供了完善的解决方案和专业的技术支持，广泛服务于政府、企业、教育、金融、电信等领域，为全国各级涉密部门提供安全保障，为全国许多军工单位的军工资质认证和系统评测提供咨询及技术服务，受到了市场的普遍欢迎。

朗威公司充分意识到工作的严肃性和重要性，研制出的安全产品严格执行国家相关标准、政策，得到了国家局、各地局和军工集团办的肯定。

其中，桌面安全管理系统率先通过国家认证，涉密信息实时监管系统作为全国的优秀模式得到推广，而涉密介质管理系统则是目前唯一能做到对涉密移动存储介质的外联进行监管的产品，居全国领先地位。

朗威电子技术开发立足龙江，服务全国，提供本地化的安全服务，以“管理严格、操作规、功夫到家”的司训，“诚信、进取、团队、创新”的企业精神，“以服务赢得客户，以创新求得发展”的经营理念和“做一项工程，树一座丰碑”的服务理念，不断提升公司的技术研发实力，立志使公司产品成为全国同类产品最优，服务社会，构建完善的信息安全平台。

第一章计算机检查取证工具简介

1.概述

计算机检查取证工具（以下简称“检查工具”）主要针对各级局、政府机关、军工单位、科研院所等各类机关企事业单位管理工作机构使用，进行为部门对本单位计算机系统的检查工作提供强有力的检查手段，检查涉密网及非涉密网在运行中是否发生违规操作及不符合要求的操作行为。

该产品可以准确、全面、快捷、方便地提供被检查计算机的相关违规信息等，重点检查涉密计算机是否违规上互联网、使用非合理的存储介质和非涉密计算机是否违规处理涉密信息等，并提供数据恢复的深入检查功能，提供当前系统用户、共享、开放端口等相关信息。

2.主要功能

1、系统信息检查

主机名、硬盘序列号、硬盘型号、IP地址、MAC地址、操作系统名称、操作系统安装时间、用户账号情况、多操作系统信息、补丁安装情况、硬盘分区情况、系统驱动信息。

2、违规外联检查

历史上网记录信息、Cookies目录下遗留的上网记录信息、系统临时目录下上网记录信息、收藏夹下网络信息、注册表上网记录、系统是否安装无线网卡、常用网络工具、系统是否安装蓝牙设备、是否连接网络、拨号信息、手机设备、深度上网记录。

3、违规接入检查

常规移动介质记录、深度移动介质记录、手机设备、打印机安装信息、导入USB介质信任列表。

4、涉密隐患检查

端口信息、安全策略、多操作系统系统、其他软件信息、进程信息、服务信息、杀毒软件信息、常规系统日志信息、共享信息、深度系统日志信息。

5、文件信息检查

历史文件操作记录、其它文件操作记录、最近操作的文档信息、系统数据库中的文件操作信息、深度文件操作信息、常规文件信息、深度文件信息、删除文件恢复。

3.主要特点

1、能够准确的检查涉密计算机的上网记录，并进行数据取证，即使通过专业清理工具对上网信息进行了清除处理、格式化硬盘或重新安装操作系统，本系统仍能够获得准确的上网信息。

2、支持容检索功能，通过对文件信息检索技术，可以对不同的磁盘分区的所有DOC、XLS、TXT、WPS等格式文件进行容搜索。

即使用户把存在磁盘的涉密文件或处理过的涉密文件的操作记录清除掉，本系统也会应用数据恢复技术，把其恢复出来，并进行检查取证。

3、系统使用简便，操作界面友好，本系统被存储在专用介质中，无需安装，可直接在被检查计算机上自动运行，检查人员仅需输入必要的检测配置既可自动进行检测，检测整个过程无须用户干预，检测结束后自动生成检测报告供用户进行检查取证。

4、自主知识产权，系统部设计采用可扩充框架结构，实现检测模块化处理，方便满足用户个性化二次开发需求。

5、能够准确检查移动介质的插拔记录，并在取证报告中显示移动介质的设备名称、序列号、第一次使用时间、最后一次使用时间，PID&VID等信息详尽。

6、界面简洁美观，检查结果清晰醒目。

第二章检查工具使用向导

本向导会详细地讲解检查工具的各项功能，请您仔细查看使用向导，按照使用向导的讲解，相信您会很快便能掌握检查工具的使用方法及其奥妙所在！

检查工具总共分为了两个版本，一个是涉密专用版，一个是非涉密专用版。

检查工具提供五大方面的检查功能：

违规外联检查、涉密隐患检查、违规接入检查、文件信息检查、系统基本信息检查。

违规外联检查针对十二个方面进行检查，其中包括：

历史上网记录信息、Cookies目录下遗留的上网记录信息、系统临时目录下上网记录信息、收藏夹下网络信息、注册表上网记录、系统是否安装无线网卡、常用网络工具、系统是否安装蓝牙设备、是否连接网络、拨号信息、手机设备、深度上网记录；涉密隐患检查针对十个方面进行检查，其中包括：

端口信息、安全策略、多操作系统系统、其他软件信息、进程信息、服务信息、杀毒软件信息、常规系统日志信息、共享信息、深度系统日志信息；违规接入检查针对六个方面进行检查，其中包括：

常规移动介质记录、深度移动介质记录、手机设备、打印机安装信息、导入USB介质信任列表；文件信息检查针对七个方面进行检查，其中包括：

历史文件操作记录、其它文件操作记录、最近操作的文档信息、系统数据库中的文件操作信息、深度文件操作信息、常规文件信息、深度文件信息、删除文件恢复；系统基本信息针对十二个方面进行检查，其中包括：

主机名、硬盘序列号、硬盘型号、IP地址、MAC地址、操作系统名称、操作系统安装时间、用户账号情况、多操作系统信息、补丁安装情况、硬盘分区情况、系统驱动信息。

下一章我们将为您讲解检查工具各个功能的具体使用方法。

第三章检查工具使用方法

1.检查工具使用方法

检查工具主要是对涉密电脑进行全面并且综合的检查，检查计算机当前是否与互联网相连接，是否存在违规上网记录和痕迹，检查涉密计算机是否曾经拨号上互联网，使用非合理的存储介质等，并提供数据恢复的深入检查（信息检索）、文件检索等功能，提供当前系统用户、共享、开放端口等相关信息等。

1.1检查功能

将计算机检查取证工具（光盘）插入被检查计算机中，双击其中的检查工具，启动检查工具.

当用户按照使用简介进入检查工具后，可进入检查工具主界面，如：

图1所示：

图1

检查项目包括五大项：

违规外联检查、涉密隐患检查、违规接入检查、文件信息检查、系统基本信息检查。

每一块又包括不同的分项，详细说明如下：

系统基本信息检查：

主机名、硬盘序列号、硬盘型号、IP地址、MAC地址、操作系统名称、操作系统安装时间、用户账号情况、多操作系统信息、补丁安装情况、硬盘分区情况、系统驱动信息。

违规外联检查：

历史上网记录信息、Cookies目录下遗留的上网记录信息、系统临时目录下上网记录信息、收藏夹下网络信息、注册表上网记录、系统是否安装无线网卡、常用网络工具、系统是否安装蓝牙设备、是否连接网络、拨号信息、手机设备、深度上网记录。

涉密隐患检查：

端口信息、安全策略、多操作系统系统、其他软件信息、进程信息、服务信息、杀毒软件信息、常规系统日志信息、共享信息、深度系统日志信息。

违规接入检查：

常规移动介质记录、深度移动介质记录、手机设备、MP3设备、打印机安装信息、导入USB介质信任列表。

文件信息检查：

历史文件操作记录、其它文件操作记录、最近操作的文档信息、系统数据库中的文件操作信息、深度文件操作信息、常规文件信息、深度文件信息、删除文件恢复。

用户可通过两种方式对被检查计算机进行一系列检查操作，具体操作如下：

方式一：

通过点击“快速开始”菜单下的“检查常规信息”，弹出如下对话框：

图2

用户可通过对想要检查的项目进行选择，选择确认后，点击“开始”按钮，既可对选择的项目进行检查。

如用户选择检查全部的项目，则检查结束后，可以在主窗口中查看相关检查结果。

方式二：

通过直接点击工具栏中的“常规检查”（功能与方式一相同）。

常规检查是全面检查功能，如果想进行部分检查可点击：

“基本信息检查”、“违规外联检查”、“违规接入检查”、“涉密隐患检查”、“文件信息检查”按钮，可对一个或多个项目进行检查以及查看检查结果信息。

例如点击“基本信息”工具栏按钮，点击“开始”，可通过主窗口对检查结果进行查看，如图3所示：

图3

如果要检查“基本信息”中的一个或者多个项有两种方法，具体操作如下：

1）直接点击工具栏中的“基本信息”，然后选择其中想要检查的项，如图4所示：

图4

2）选择菜单栏中的“系统信息检查”菜单下的单个选项进行检查，也可以在此勾选其他项。

1.2其他功能

1.2.1文件恢复

文件恢复，主要分为正常搜索与深度搜索。

正常搜索主要检查用户机器中现有存在的文件，深度搜索主要实现对已经被完全删除文件的查询功能，辅助检查人员准确地对上网行为等进行检查取证。

用户可通过点击如图1所示主界面中“文件恢复”工具栏按钮，弹出“磁盘深度搜索检查工具”界面，如图5所示：

图5

一、正常搜索

正常搜索包括文件分类搜索、文件容搜索。

选择“文件搜索”菜单下的“正常搜索”项或单击工具栏中的“正常搜索”按钮，出现“正常检查”界面，如图6所示：

图6

（1）文件分类搜索（普通选项）：

对指定的路径，根据文件或文件夹名、扩展名、日期进行搜索。

在“搜索围”处选择搜索路径，在“要搜索的文件或文件夹名为”处输入要搜的文件或文件夹名称，在“日期”处选择要搜索的日期，“扩展名”处输入要搜索的扩展名，在“高级选项”处用户可以设置是否搜索子文件夹和搜索目录级别。

设置完搜索条件后，点击“开始”进行文件分类搜索。

（2）文件容搜索（关键字选项）：

对文件正文容进行搜索，支持txt、word、excel、wps、ppt等文件格式。

在“搜索围”处选择搜索路径，选中“启动关键字搜索”，输入关键字，选择搜索的格式，在“高级选项”处用户可以设置是否搜索子文件夹和搜索目录级别。

设置完搜索条件后，点击“开始”进行文件容搜索。

在搜索PDF、压缩文件和图片时需要选择暂存盘。

可以对搜索到的文件进行以下操作：

打开文件、粉碎文件、查看文件属性、导出报表。

打开文件：

在要打开的文件或文件夹上点击鼠标右键，在出现的菜单上选择“打开文件”，即可将该文件打开或将文件夹目录打开。

粉碎文件：

在要粉碎的文件或文件夹上点击鼠标右键，在出现的菜单上选择“粉碎文件”或“文件夹粉碎”，即可将该文件或文件夹删除。

文件属性：

在要查看文件属性的文件上点击鼠标右键，在出现的菜单上选择“文件属性”，出现“文件属性”界面，如图7所示：

图7

文件属性中包括文件名、所在目录、大小、占用空间、创建时间、修改时间、访问时间和属性。

导出报表：

在搜索到的文件上点击鼠标右键，在出现的菜单上选择“导出报表”，出现“保存”对话框，如图8所示：

图8

在弹出的对话框中，输入用户设定的文件名及选择保存路径后，点击“保存”按钮，既可将搜索到的详细记录以HTML形式的报表格式导出，用于查看取证。

二、深度搜索

深度搜索包括文件分类搜索、文件容搜索、文件恢复。

选择“文件搜索”菜单下的“深度搜索”或单击工具栏中的“深度搜索”按钮，打开“深度检查”界面，如图9所示：

图9

（1）文件分类搜索（普通选项）：

对指定的路径，根据文件或文件夹名、扩展名、日期进行搜索。

在“搜索围”处选择搜索路径，在“要搜索的文件或文件夹名为”处输入要搜的文件或文件夹名称，在“日期”处选择要搜索的日期，“扩展名”处输入要搜索的扩展名，在“高级选项”处用户可以设置是否搜索子文件夹和搜索目录级别。

设置完搜索条件后，点击“开始”进行文件分类搜索。

（2）文件容搜索（关键字选项）：

对文件正文容进行搜索，支持txt、word、excel、wps、ppt等文件格式。

在“搜索围”处选择搜索路径，选中“启动关键字搜索”，输入关键字，选择搜索的格式，在“高级选项”处用户可以设置是否搜索子文件夹和搜索目录级别。

设置完搜索条件后，点击“开始”进行文件容搜索。

在搜索PDF、压缩文件和图片时需要选择暂存盘。

（3）文件恢复：

将深度搜索查询到的文件进行恢复。

进行文件搜索，对搜索到的已删除文件可以进行一个或多个文件恢复操作，在要恢复的文件上点击鼠标右键，在出现的菜单上选择“恢复”，出现“文件恢复”界面，如图10所示，

图10

文件默认恢复保存到C盘，选择保存路径以及要恢复的一个或多个文件后，注意请不要选择与要恢复文件的磁盘相同的路径，选择完路径后，点击“开始”既可成功恢复被删除的文件。

还可以对搜索到的已删除文件进行以下操作：

查看文件属性、导出报表。

文件属性：

在要查看文件属性的文件上点击鼠标右键，在出现的菜单上选择“文件属性”，出现“文件属性”界面，如图8所示。

其中文件属性中包括文件名、所在目录、大小、占用空间、创建时间、修改时间、访问时间和属性。

导出报表：

在搜索到的文件上点击鼠标右键，在出现的菜单上选择“导出报表”，出现“保存”对话框，如图9所示。

在弹出的对话框中，输入用户设定的文件名及选择保存路径后，点击“保存”按钮，既可将搜索到的详细记录以HTML形式的报表格式导出，用于查看取证。

无论在正常搜索还是深度搜索过程中，都可以停止文件搜索，选择“文件搜索”菜单下的“停止搜索”或单击工具栏中的红色停止按钮即可。

特别提醒：

无论正常检查还是深度检查对话框中，都有“重新打开磁盘”功能，该功能是当用户在打开“信息检索”功能后，对磁盘进行新建或删除文件操作后，必须先选择此项功能，再进行正常检查或深度检查，才可搜索到将打开“信息检索”功能后对磁盘进行的新建或删除操作的文件信息记录。

1.2.2隐藏文件检索

隐藏文件检索功能主要用于查看当前用户磁盘中所有的文件以及被用户隐藏的文件。

用户可通过点击如图1所示工具栏中“隐藏文件”按钮，弹出“隐藏文件检查”界面，如图11所示：

图11

用户可双击想要查看的磁盘，进行所有文件的查看其中包括被隐藏的文件，单击窗口中左侧的“文件夹”图标，既可显示出树形的磁盘结构图，用户也可通过点击此处来查看相应磁盘中的文件及隐藏文件。

1.2.3搜索文件

点击菜单中“搜索文件”，弹出窗口，如图12所示：

图12

按文件名、关键字、时间、类型等选项搜索：

对文件进行搜索，搜索结果如图13所示：

图13

右键点击搜索到的记录，可打开文件。

1.2.4保存结果

用户可使用此项功能，将检查项目的相关日志记录以HTM格式的报表导出以用于检查之后的审计取证。

点击菜单中“保存结果”，弹出对话框，如图14所示：

图14

在弹出的对话框中，选择保存路径，单击“确定”按钮。

2.涉密版和非涉密版区别

1.违规外联检查属涉密版功能，非涉密版不可使用.

2.用户使用涉密KEY进入涉密版检查工具，使用非涉密KEY进入非涉密版检查工具。