【文章內容簡介】 失數據文件。 數據列表數據列表區(qū)域由檔案列表和歷史數據列表兩部分組成。其中：檔案列表：顯示用戶建立的易丟失數據工作檔案，以及各檔案對應提取的易丟失數據文件。歷史數據：顯示用戶打開（加載）的已提取的易丟失數據文件。數據列表區(qū)域支持鼠標右鍵彈出菜單，包括比對、取證等快捷子菜單。 主要操作窗口建立新檔案窗體功能：用來向主窗體數據列表中加入一個新的易丟失數據提取檔案。選項：包括系統(tǒng)基本信息、網絡連接狀態(tài)、開啟網絡服務的程 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 17 頁 共 65頁序、進行網絡訪問的程序、系統(tǒng)進程信息、被調用打開的文件、進程打開的文件信息、系統(tǒng)自啟動程序、物理內存、應用程序內存等易丟失數據選擇項，還包括定時獲取易丟失數據選擇項等。其中：系統(tǒng)基本信息：選擇此項檔案將獲取宿主計算機的操作系統(tǒng)、存儲設備、網絡設備等信息。網絡連接狀態(tài)：選擇此項檔案將獲取宿主計算機當前的網絡連接狀態(tài)信息。開啟網絡服務的程序：選擇此項檔案將獲取宿主計算機當前開啟的網絡服務信息。進行網絡訪問的程序：選擇此項檔案將獲取宿主計算機當前訪問網絡的應用程序信息。系統(tǒng)進程信息：選擇此項檔案將獲取宿主計算機當前運行的進程信息。 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 18 頁 共 65頁被調用打開的文件：選擇此項檔案將獲取宿主計算機當前被調用打開的文件信息。進程打開的文件信息：選擇此項檔案將獲取宿主計算機進程打開的文件信息。系統(tǒng)自啟動程序：選擇此項檔案將獲取宿主計算機當前正在運行的自啟動進程信息，以及計算機中各自啟動配置項信息。物理內存：選擇此項檔案將獲取宿主計算機當前物理內存中的數據。其中物理內存的獲取范圍未指定時獲取宿主計算機全部物理內存數據。應用程序內存：選擇此項檔案將獲取宿主計算機指定進程使用的物理內存、虛擬內存中的數據。其中虛擬內存可以根據指定的保護屬性和頁面狀態(tài)獲取虛擬內存的特定集合，默認選擇（WINDOWS 任務管理器中顯示的虛擬內存范圍）的保護屬性為讀寫、拷貝、執(zhí)行、執(zhí)行讀寫、執(zhí)行拷貝。間隔：選擇此項系統(tǒng)將按照設定的時間間隔定時獲取各易丟失數據。易丟失數據文件數據瀏覽窗體本窗體為主窗體中的數據區(qū)，根據選擇的易丟失數據類型不同顯示不同的窗體結構。 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 19 頁 共 65頁 文本信息瀏覽：顯示易丟失數據文件中存儲的系統(tǒng)基本信息等文本信息。網絡信息瀏覽：顯示易丟失數據文件中存儲的網絡連接狀態(tài)、開啟網絡服務的程序、訪問網絡的程序等網絡信息。進程信息瀏覽：顯示易丟失數據文件中存儲的系統(tǒng)進程、被調用打開的文件、進程打開的文件等進程、文件信息。 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 20 頁 共 65頁自啟動程序瀏覽：顯示易丟失數據文件中存儲的自啟動程序信息，以及系統(tǒng)自啟動程序項信息。 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 21 頁 共 65頁物理內存瀏覽：顯示易丟失數據文件中的物理內存數據。應用程序內存瀏覽：顯示易丟失數據文件中存儲的應用程序內存數據。 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 22 頁 共 65頁其中內存的屬性標記描述如下：RO：該頁內存屬性為只讀E ：該頁內存屬性為可執(zhí)行RW：該頁內存屬性為可讀可寫CW：該頁內存屬性為允許拷貝S ：該頁內存屬性為共享P ：該頁內存屬性為應用程序私有內存V ：該頁內存屬性為虛擬內存I ：該頁內存頁面狀態(tài)為映像文件M ：該頁內存頁面狀態(tài)為數據文件G ：該頁內存屬性為消息N ：該頁內存屬性為已停用緩存比對窗體功能：用來選擇要比對的易丟失數據文件，以及要比對的數據類型。 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 23 頁 共 65頁按鈕：包括確定、取消等按鈕。其中，[確定] 用來開始比對，[取消 ]按鈕用來終止比對。比對結果窗體如下：其中，紅色字體顯示的是當前文件中與比對文件的不同之處；蘭色字體顯示的是比對文件與當前文件的不同之處。瀏覽物理內存窗體 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 24 頁 共 65頁功能：瀏覽宿主計算機物理內存的當前數據。轉到：顯示指定頁面的物理內存。前頁：顯示前一頁物理內存。后頁：顯示后一頁物理內存。保存：將當前顯示頁面的物理內存保存到指定的文件中。瀏覽應用程序內存窗體功能：瀏覽宿主計算機指定進程使用的物理內存和虛擬內存數據。窗體包括進程基本信息區(qū)、內存頁表區(qū)和內存數據區(qū)三部分。其中：進程基本信息區(qū)：顯示進程內存使用上的統(tǒng)計信息。內存頁表區(qū)：顯示進程使用的內存的內存頁表信息。 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 25 頁 共 65頁內存數據區(qū)：顯示指定頁的內存數據。刷新：更新進程選擇框中的進程表。轉到：顯示指定頁面的應用程序內存。前頁：顯示前一頁應用程序內存。后頁：顯示后一頁應用程序內存。保存：將當前顯示頁面的應用程序內存保存到指定的文件中。 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 26 頁 共 65頁3．操作指南存儲媒介獲取系統(tǒng) 準備工作插入在線取證系統(tǒng)光盤，重新啟動計算機；插入存儲取證操作日志的移動磁盤和存儲證據數據的移動磁盤；運行存儲媒介獲取系統(tǒng)，設置取證參數。其中，案件編號、案件名稱填寫準備使用提取的證據的案件的編號和名稱；操作人員填寫操作本系統(tǒng)的案件偵察人員姓名；日志存放地址填寫存儲取證操作日志的移動磁盤中的路徑，系統(tǒng)將在該路徑下自動建立一個以案件編號為名稱的子目錄。如果需要調整系統(tǒng)時間，則惦記[校對系統(tǒng)時間]按鈕彈出時間設置窗體，修改日期、時間和時區(qū)。 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 27 頁 共 65頁 克隆宿主計算機物理磁盤克隆宿主計算機物理磁盤是指將宿主計算機的物理磁盤整盤復制到移動磁盤上。注意：使用此方式將丟失移動磁盤原有的數據。操作步驟如下：1. 選擇要克隆的源物理磁盤，點擊鼠標右鍵[取證] 菜單；2. 選擇目的磁盤為準備存儲證據的移動磁盤；3. 點擊[開始] 按鈕開始物理磁盤克隆。 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 28 頁 共 65頁 克隆宿主計算機物理磁盤中的一個分區(qū)克隆宿主計算機物理磁盤分區(qū)是指將宿主計算機的物理磁盤的某一分區(qū)復制到移動磁盤上。注意：使用此方式時移動磁盤必須有未分區(qū)區(qū)域，并且未分區(qū)區(qū)域容量必須大于要復制的分區(qū)容量。操作步驟如下：1. 選擇要克隆的源物理磁盤分區(qū)，點擊鼠標右鍵[取證] 菜單；2. 選擇目的磁盤為準備存儲證據的移動磁盤； 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 29 頁 共 65頁3. 點擊[開始] 按鈕開始物理磁盤克隆。 克隆宿主計算機邏輯磁盤克隆宿主計算機邏輯磁盤是指將宿主計算機的邏輯磁盤復制到移動磁盤上。注意：使用此方式時移動磁盤必須有未分區(qū)區(qū)域，并且未分區(qū)區(qū)域容量必須大于要復制的邏輯磁盤容量。操作步驟如下：1. 點擊[邏輯磁盤取證]菜單；2. 選擇要復制的邏輯磁盤； 在線取證系統(tǒng)操作手冊廣東天海威數碼技術有限公司 第 30 頁 共 65頁3. 選擇目的磁盤為準備存儲證據的移動磁盤；4. 點擊[開始] 按鈕開始邏輯磁盤克隆。 將宿主計算機磁盤數據復制到文件存儲媒介獲取系統(tǒng)除支持物理磁盤、邏輯磁盤、分區(qū)的克隆外，還可以將上述存儲媒介以文件方式復制到移動磁盤上。注意：使用此方式時移動磁盤必須有大于要復制的存儲媒介的容量。磁盤數據復制的結果文件可以以文件虛擬磁盤（分區(qū)、邏輯磁盤復制） 、文件虛擬設備（物理磁盤復制）訪問其中的內容；也可以