朗威计算机保密检查取证工具用户手册

朗威计算机保密检查取证工具用户手册LtD计算机保密检查取证工具用户手册计算机保密检查取证工具用户手册哈尔滨朗威电子技术开发目录TOC\o"1-5"\h\z\uHYPERLINK\l"_Toc290293602"第一章计算机保密检查取证工具简介PAGEREF_Toc290293602\h1HYPERLINK\l"_Toc290293603"1.概述PAGEREF_Toc290293603\h1HYPERLINK\l"_Toc290293604"2.主要功能PAGEREF_Toc290293604\h1HYPERLINK\l"_Toc290293605"3.主要特点PAGEREF_Toc290293605\h2HYPERLINK\l"_Toc290293606"第二章检查工具使用向导PAGEREF_Toc290293606\h3HYPERLINK\l"_Toc290293607"第三章检查工具使用方法PAGEREF_Toc290293607\h4HYPERLINK\l"_Toc290293608"1.检查工具使用方法PAGEREF_Toc290293608\h4HYPERLINK\l"_Toc290293609"1.1检查功能PAGEREF_Toc290293609\h4HYPERLINK\l"_Toc290293610"1.2其他功能PAGEREF_Toc290293610\h8HYPERLINK\l"_Toc290293611"1.2.1文件恢复PAGEREF_Toc290293611\h8HYPERLINK\l"_Toc290293612"1.2.2隐藏文件检索PAGEREF_Toc290293612\h14HYPERLINK\l"_Toc290293613"1.2.3搜索文件PAGEREF_Toc290293613\h14HYPERLINK\l"_Toc290293614"保存结果PAGEREF_Toc290293614\h16HYPERLINK\l"_Toc290293615"2.涉密版和非涉密版区别PAGEREF_Toc290293615\h16公司简介哈尔滨朗威电子技术开发成立于1999年11月5日，注册资金300万元，注册地址在哈尔滨市南岗区学府路36-2号朗威大厦。哈尔滨朗威电子技术开发是国家商用密码产品生产定点单位，具有涉及国家秘密的计算机信息系统集成资质，全面致力于“信息平安保密产品〞、“信息平安应用产品〞的研制，并且是“平安效劳〞提供商。朗威公司目前已经形成了多项拥有自主知识产权的信息平安类产品，分别通过保密局、公安部、信息产业部等权威部门认证，并为用户提供专家级的咨询和平安效劳。朗威电子签章系统作为中间件在中央政府采购工程中中标，标志着朗威电子签章技术在政府公文传输系统中获得认可，并得到广泛推广。多年来，哈尔滨朗威电子技术开发专注保密市场，专心于保密 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的研究，专门制作符合保密单项要求的产品，在产品的研发、生产和销售各个环节完全符合国家相关政策的 规定 关于下班后关闭电源的规定党章中关于入党时间的规定公务员考核规定下载规定办法文件下载宁波关于闷顶的规定 。公司拥有自己的研发队伍。哈尔滨朗威电子技术开发现有平安产品：朗威桌面平安管理系统、朗威USB移动存储介质使用管理系统、朗威涉密信息实时监管系统、朗威电子签章系统和朗威公文传输系统等。朗威公司凭借专业的行业背景、先进的软件产品、成熟的技术优势、高素质的技术人才、优越的研发环境为用户提供了完善的解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 和专业的技术支持，广泛效劳于政府、企业、教育、金融、电信等领域，为全国各级涉密部门提供平安保障，为全国许多军工单位的军工资质认证和系统评测提供咨询及技术效劳，受到了市场的普遍欢送。朗威公司充分意识到保密工作的严肃性和重要性，研制出的平安产品严格执行国家相关标准、政策，得到了国家保密局、各地保密局和军工集团保密办的肯定。其中，桌面平安管理系统率先通过国家认证，涉密信息实时监管系统作为全国的优秀模式得到推广，而涉密介质管理系统那么是目前唯一能做到对涉密移动存储介质的外联进行监管的产品，居全国领先地位。哈尔滨朗威电子技术开发立足龙江，效劳全国，提供本地化的平安效劳，以“管理严格、操作标准、功夫到家〞的司训，“诚信、进取、团队、创新〞的企业精神，“以效劳赢得客户，以创新求得开展〞的经营理念和“做一项工程，树一座丰碑〞的效劳理念，不断提升公司的技术研发实力，立志使公司产品成为全国同类产品最优，效劳社会，构建完善的信息平安平台。PAGE\*MERGEFORMAT4计算机保密检查取证工具1计算机保密检查取证工具简介概述计算机保密检查取证工具〔以下简称“检查工具〞〕主要针对各级保密局、政府机关、军工单位、科研院所等各类机关企事业单位保密管理工作机构使用，进行为保密部门对本单位计算机系统的保密检查工作提供强有力的检查手段，检查涉密网及非涉密网在运行中是否发生违规操作及不符合保密要求的操作行为。该产品可以准确、全面、快捷、方便地提供被检查计算机的相关违规信息等，重点检查涉密计算机是否违规上互联网、使用非合理的存储介质和非涉密计算机是否违规处理涉密信息等，并提供数据恢复的深入检查功能，提供当前系统用户、共享、开放端口等相关信息。主要功能1、系统信息检查主机名、硬盘序列号、硬盘型号、IP地址、MAC地址、操作系统名称、操作系统安装时间、用户账号情况、多操作系统信息、补丁安装情况、硬盘分区情况、系统驱动信息。2、违规外联检查历史上网记录信息、Cookies目录下遗留的上网记录信息、系统临时目录下上网记录信息、收藏夹下网络信息、注册表上网记录、系统内是否安装无线网卡、常用网络工具、系统是否安装蓝牙设备、是否连接网络、拨号信息、设备、深度上网记录。3、违规接入检查常规移动介质记录、深度移动介质记录、设备、打印机安装信息、导入USB介质信任列表。4、涉密隐患检查端口信息、平安策略、多操作系统系统、其他软件信息、进程信息、效劳信息、杀毒软件信息、常规系统日志信息、共享信息、深度系统日志信息。5、文件信息检查历史文件操作记录、其它文件操作记录、最近操作的文档信息、系统数据库中的文件操作信息、深度文件操作信息、常规文件信息、深度文件信息、删除文件恢复。主要特点1、能够准确的检查涉密计算机的上网记录，并进行数据取证，即使通过专业清理工具对上网信息进行了去除处理、格式化硬盘或重新安装操作系统，本系统仍能够获得准确的上网信息。2、支持内容检索功能，通过对文件信息检索技术，可以对不同的磁盘分区内的所有DOC、XLS、TXT、WPS等格式文件进行内容搜索。即使用户把存在磁盘的涉密文件或处理过的涉密文件的操作记录去除掉，本系统也会应用数据恢复技术，把其恢复出来，并进行检查取证。3、系统使用简便，操作界面友好，本系统被存储在专用介质中，无需安装，可直接在被检查计算机上自动运行，检查人员仅需输入必要的检测配置既可自动进行检测，检测整个过程无须用户干预，检测结束后自动生成检测报告供用户进行检查取证。4、自主知识产权，系统内部 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 采用可扩充框架结构，实现检测模块化处理，方便满足用户个性化二次开发需求。5、能够准确检查移动介质的插拔记录，并在取证报告中显示移动介质的设备名称、序列号、第一次使用时间、最后一次使用时间，PID&VID等信息详尽。6、界面简洁美观，检查结果清晰醒目。检查工具使用向导本向导会详细地讲解检查工具的各项功能，请您仔细查看使用向导，按照使用向导的讲解，相信您会很快便能掌握检查工具的使用方法及其微妙所在！检查工具总共分为了两个版本，一个是涉密专用版，一个是非涉密专用版。检查工具提供五大方面的检查功能：违规外联检查、涉密隐患检查、违规接入检查、文件信息检查、系统根本信息检查。违规外联检查针对十二个方面进行检查，其中包括：历史上网记录信息、Cookies目录下遗留的上网记录信息、系统临时目录下上网记录信息、收藏夹下网络信息、注册表上网记录、系统内是否安装无线网卡、常用网络工具、系统是否安装蓝牙设备、是否连接网络、拨号信息、设备、深度上网记录；涉密隐患检查针对十个方面进行检查，其中包括：端口信息、平安策略、多操作系统系统、其他软件信息、进程信息、效劳信息、杀毒软件信息、常规系统日志信息、共享信息、深度系统日志信息；违规接入检查针对六个方面进行检查，其中包括：常规移动介质记录、深度移动介质记录、设备、打印机安装信息、导入USB介质信任列表；文件信息检查针对七个方面进行检查，其中包括：历史文件操作记录、其它文件操作记录、最近操作的文档信息、系统数据库中的文件操作信息、深度文件操作信息、常规文件信息、深度文件信息、删除文件恢复；系统根本信息针对十二个方面进行检查，其中包括：主机名、硬盘序列号、硬盘型号、IP地址、MAC地址、操作系统名称、操作系统安装时间、用户账号情况、多操作系统信息、补丁安装情况、硬盘分区情况、系统驱动信息。下一章我们将为您讲解检查工具各个功能的具体使用方法。第三章检查工具使用方法检查工具使用方法检查工具主要是对涉密电脑进行全面并且综合的检查，检查计算机当前是否与互联网相连接，是否存在违规上网记录和痕迹，检查涉密计算机是否曾经拨号上互联网，使用非合理的存储介质等，并提供数据恢复的深入检查〔信息检索〕、文件检索等功能，提供当前系统用户、共享、开放端口等相关信息等。1.1检查功能将计算机保密检查取证工具〔光盘〕插入被检查计算机中，双击其中的检查工具，启动检查工具.当用户按照使用简介进入检查工具后，可进入检查工具主界面，如：图1所示：图1检查工程包括五大项：违规外联检查、涉密隐患检查、违规接入检查、文件信息检查、系统根本信息检查。每一块又包括不同的分项，详细说明如下：系统根本信息检查：主机名、硬盘序列号、硬盘型号、IP地址、MAC地址、操作系统名称、操作系统安装时间、用户账号情况、多操作系统信息、补丁安装情况、硬盘分区情况、系统驱动信息。违规外联检查：历史上网记录信息、Cookies目录下遗留的上网记录信息、系统临时目录下上网记录信息、收藏夹下网络信息、注册表上网记录、系统内是否安装无线网卡、常用网络工具、系统是否安装蓝牙设备、是否连接网络、拨号信息、设备、深度上网记录。涉密隐患检查：端口信息、平安策略、多操作系统系统、其他软件信息、进程信息、效劳信息、杀毒软件信息、常规系统日志信息、共享信息、深度系统日志信息。违规接入检查：常规移动介质记录、深度移动介质记录、设备、MP3设备、打印机安装信息、导入USB介质信任列表。文件信息检查：历史文件操作记录、其它文件操作记录、最近操作的文档信息、系统数据库中的文件操作信息、深度文件操作信息、常规文件信息、深度文件信息、删除文件恢复。用户可通过两种方式对被检查计算机进行一系列检查操作，具体操作如下：方式一：通过点击“快速开始〞菜单下的“检查常规信息〞，弹出如下对话框：图2用户可通过对想要检查的工程进行选择，选择确认后，点击“开始〞按钮，既可对选择的工程进行检查。如用户选择检查全部的工程，那么检查结束后，可以在主窗口中查看相关检查结果。方式二：通过直接点击工具栏中的“常规检查〞〔功能与方式一相同〕。常规检查是全面检查功能，如果想进行局部检查可点击：“根本信息检查〞、“违规外联检查〞、“违规接入检查〞、“涉密隐患检查〞、“文件信息检查〞按钮，可对一个或多个工程进行检查以及查看检查结果信息。例如点击“根本信息〞工具栏按钮，点击“开始〞，可通过主窗口对检查结果进行查看，如图3所示：图3如果要检查“根本信息〞中的一个或者多个项有两种方法，具体操作如下：1〕直接点击工具栏中的“根本信息〞，然后选择其中想要检查的项，如图4所示：图42〕选择菜单栏中的“系统信息检查〞菜单下的单个选项进行检查，也可以在此勾选其他项。1.2其他功能文件恢复文件恢复，主要分为正常搜索与深度搜索。正常搜索主要检查用户机器中现有存在的文件，深度搜索主要实现对已经被完全删除文件的查询功能，辅助检查人员准确地对上网行为等进行检查取证。用户可通过点击如图1所示主界面中“文件恢复〞工具栏按钮，弹出“磁盘深度搜索检查工具〞界面，如图5所示：图5一、正常搜索正常搜索包括文件分类搜索、文件内容搜索。选择“文件搜索〞菜单下的“正常搜索〞项或单击工具栏中的“正常搜索〞按钮，出现“正常检查〞界面，如图6所示：图6〔1〕文件分类搜索〔普通选项〕：对指定的路径，根据文件或文件夹名、扩展名、日期进行搜索。在“搜索范围〞处选择搜索路径，在“要搜索的文件或文件夹名为〞处输入要搜的文件或文件夹名称，在“日期〞处选择要搜索的日期，“扩展名〞处输入要搜索的扩展名，在“高级选项〞处用户可以设置是否搜索子文件夹和搜索目录级别。设置完搜索条件后，点击“开始〞进行文件分类搜索。〔2〕文件内容搜索〔关键字选项〕：对文件正文内容进行搜索，支持txt、word、excel、wps、ppt等文件格式。在“搜索范围〞处选择搜索路径，选中“启动关键字搜索〞，输入关键字，选择搜索的格式，在“高级选项〞处用户可以设置是否搜索子文件夹和搜索目录级别。设置完搜索条件后，点击“开始〞进行文件内容搜索。在搜索PDF、压缩文件和图片时需要选择暂存盘。可以对搜索到的文件进行以下操作：翻开文件、粉碎文件、查看文件属性、导出报表。翻开文件：在要翻开的文件或文件夹上点击鼠标右键，在出现的菜单上选择“翻开文件〞，即可将该文件翻开或将文件夹目录翻开。粉碎文件：在要粉碎的文件或文件夹上点击鼠标右键，在出现的菜单上选择“粉碎文件〞或“文件夹粉碎〞，即可将该文件或文件夹删除。文件属性：在要查看文件属性的文件上点击鼠标右键，在出现的菜单上选择“文件属性〞，出现“文件属性〞界面，如图7所示：图7文件属性中包括文件名、所在目录、大小、占用空间、创立时间、修改时间、访问时间和属性。导出报表：在搜索到的文件上点击鼠标右键，在出现的菜单上选择“导出报表〞，出现“保存〞对话框，如图8所示：图8在弹出的对话框中，输入用户设定的文件名及选择保存路径后，点击“保存〞按钮，既可将搜索到的详细记录以HTML形式的报 表格 关于规范使用各类表格的通知入职表格免费下载关于主播时间做一个表格详细英语字母大小写表格下载简历表格模板下载 式导出，用于查看取证。二、深度搜索深度搜索包括文件分类搜索、文件内容搜索、文件恢复。选择“文件搜索〞菜单下的“深度搜索〞或单击工具栏中的“深度搜索〞按钮，翻开“深度检查〞界面，如图9所示：图9〔1〕文件分类搜索〔普通选项〕：对指定的路径，根据文件或文件夹名、扩展名、日期进行搜索。在“搜索范围〞处选择搜索路径，在“要搜索的文件或文件夹名为〞处输入要搜的文件或文件夹名称，在“日期〞处选择要搜索的日期，“扩展名〞处输入要搜索的扩展名，在“高级选项〞处用户可以设置是否搜索子文件夹和搜索目录级别。设置完搜索条件后，点击“开始〞进行文件分类搜索。〔2〕文件内容搜索〔关键字选项〕：对文件正文内容进行搜索，支持txt、word、excel、wps、ppt等文件格式。在“搜索范围〞处选择搜索路径，选中“启动关键字搜索〞，输入关键字，选择搜索的格式，在“高级选项〞处用户可以设置是否搜索子文件夹和搜索目录级别。设置完搜索条件后，点击“开始〞进行文件内容搜索。在搜索PDF、压缩文件和图片时需要选择暂存盘。〔3〕文件恢复：将深度搜索查询到的文件进行恢复。进行文件搜索，对搜索到的已删除文件可以进行一个或多个文件恢复操作，在要恢复的文件上点击鼠标右键，在出现的菜单上选择“恢复〞，出现“文件恢复〞界面，如图10所示，图10文件默认恢复保存到C盘，选择保存路径以及要恢复的一个或多个文件后，注意请不要选择与要恢复文件的磁盘相同的路径，选择完路径后，点击“开始〞既可成功恢复被删除的文件。还可以对搜索到的已删除文件进行以下操作：查看文件属性、导出报表。文件属性：在要查看文件属性的文件上点击鼠标右键，在出现的菜单上选择“文件属性〞，出现“文件属性〞界面，如图8所示。其中文件属性中包括文件名、所在目录、大小、占用空间、创立时间、修改时间、访问时间和属性。导出报表：在搜索到的文件上点击鼠标右键，在出现的菜单上选择“导出报表〞，出现“保存〞对话框，如图9所示。在弹出的对话框中，输入用户设定的文件名及选择保存路径后，点击“保存〞按钮，既可将搜索到的详细记录以HTML形式的报表格式导出，用于查看取证。无论在正常搜索还是深度搜索过程中，都可以停止文件搜索，选择“文件搜索〞菜单下的“停止搜索〞或单击工具栏中的红色停止按钮即可。特别提醒：无论正常检查还是深度检查对话框中，都有“重新翻开磁盘〞功能，该功能是当用户在翻开“信息检索〞功能后，对磁盘进行新建或删除文件操作后，必须先选择此项功能，再进行正常检查或深度检查，才可搜索到将翻开“信息检索〞功能后对磁盘进行的新建或删除操作的文件信息记录。隐藏文件检索隐藏文件检索功能主要用于查看当前用户磁盘中所有的文件以及被用户隐藏的文件。用户可通过点击如图1所示工具栏中“隐藏文件〞按钮，弹出“隐藏文件检查〞界面，如图11所示：图11用户可双击想要查看的磁盘，进行所有文件的查看其中包括被隐藏的文件，单击窗口中左侧的“文件夹〞图标，既可显示出树形的磁盘结构图，用户也可通过点击此处来查看相应磁盘中的文件及隐藏文件。搜索文件点击菜单中“搜索文件〞，弹出窗口，如图12所示：图12按文件名、关键字、时间、类型等选项搜索：对文件进行搜索，搜索结果如图13所示：图13右键点击搜索到的记录，可翻开文件。保存结果用户可使用此项功能，将检查工程的相关日志记录以HTM格式的报表导出以用于检查之后的审计取证。点击菜单中“保存结果〞，弹出对话框，如图14所示：图14在弹出的对话框中，选择保存路径，单击“确定〞按钮。涉密版和非涉密版区别违规外联检查属涉密版功能，非涉密版不可使用.用户使用涉密KEY进入涉密版检查工具，使用非涉密KEY进入非涉密版检查工具。