計算機取證的工作內容

計算機取證的工作內容步驟：

1. 在取證檢查過程中，避免目標計算機系統發生任何的改變、損害、數據破壞或病毒感染。

2. 使用數據恢復軟件對該系統進行全面的數據恢復并備份所以數據。同時，保留一份未作分析的原始系統以留作后期證書使用。

3. 搜索日標系統中的所有與木馬相關的文件，以及現存的正常文件、已經被刪除但仍存在于磁盤上的文件、隱藏文件、收到密碼保護的文件和加密文件。

4. 最大程度地顯示操作系統或應用程序使用的隱藏文件、臨時文件和交換文件的內容。

5. 查看被保護或加密文件的內容。

6. 檢查IE歷史記錄是否有相關網頁地址記錄。

7. 用注冊表整理工具整理注冊表，并檢查注冊表中是否存在相關木馬和網頁的鍵值。

8. 檢查系統是否為代理服務器。

9. 查看相應的日志文件，包括系統日志文件、應用日志文件、DNS日志文件、安全日志文件、防火墻日志、HIDS志、NIDS日志。

10. 檢查帳戶安全:服務器被入侵之后，通常會表項在系統的用戶帳戶上。

11. 監視打開的端口。

回答所涉及的環境：聯想天逸510S、Windows 10。