基于Windows的计算机取证技术研究与实现

论文摘要

随着Internet爆炸式的增长,网络上出现的攻击现象越来越多,而且攻击的技术手段也是随着安全防御措施的加固而千变万化,黑客们采用的攻击技术已不仅仅是ARP欺骗、脚本攻击、木马注入等,如超级蠕虫、隐蔽攻击等高级攻击技术也开始涌现,这使得网络安全问题日益凸显。在网络安全问题的研究过程中,出现了一系列的安防产品,如防火墙、入侵检测系统、VPN等,但这些产品的应用大多只是一种被动的防御,无法真正有效地打击恶意攻击者。因而计算机取证技术的研究就显得十分重要,通过电子取证技术主动获取非法黑客的攻击行为并完整重建,可以准确有效地打击非法黑客。计算机取证技术分为系统取证与网络取证。本文主要论述系统取证技术,结合当前的各种取证技术热点及其中英文相关文献,提出了一个系统取证总体框架模型。本文重点分析了三个子模块分别为:数据恢复技术模块、注册表取证分析模块和网络事件行为模块。在数据恢复模块中,设计出了基于FAT文件系统的连续与离散数据恢复算法,NTFS文件系统的数据恢复算法、已删除目录完整重构算法;针对注册表取证分析中,本文结合注册表的特点,给出了所有可能隐含证据的注册表键值,准确获取这些键值中存在的所有电子数据;在网络事件行为分析模块中,本文重点论述了受系统保护的缓存文件Index.dat,深入的分析此文件的结构,挖掘出了此文件包含的所有网络事件活动记录。测试表明,本系统是可行的,能够准确地再现发生在目标机中的各种行为。

论文目录

中文摘要

ABSTRACT

第一章绪论

1.1 研究背景

1.2 国内外研究现状与未来发展方向

1.2.1 国外研究现状

1.2.2 国内研究现状

1.2.3 取证技术未来的发展方向

1.3 论文的主要特色、相关工作及组织结构

1.3.1 论文的主要特色

1.3.2 组织结构

第二章计算机取证技术及相关概念

2.1 计算机取证相关概念

2.1.1 计算机取证定义

2.1.2 计算机证据的特点

2.2 计算机取证的一般原则与步骤

2.2.1 计算机取证基本原则

2.2.2 计算机取证的一般步骤

2.3 计算机取证框架

2.3.1 单机系统取证技术

2.3.2 网络取证技术

2.4 计算机取证新技术

2.4.1 分布式自治型计算机取证系统

2.4.2 基于数字图像边缘特性滤波的取证技术

2.4.3 基于Agent 的自适应动态取证系统

2.4.4 基于入侵容忍的蜜罐网络取证系统

2.5 本章小结

第三章系统取证总体设计

3.1 系统取证总体框架

3.2 系统各子模块的功能说明

3.3 结构模型特点

3.4 本章小结

第四章基于FAT 文件系统的计算机取证

4.1 FAT 文件系统内部结构原理

4.1.1 引导扇区BPB 结构

4.1.2 FAT 数据结构

4.1.3 FAT 目录项结构

4.2 FAT 已删除文件可恢复性原理

4.3 FAT 数据恢复程序设计与实现

4.3.1 目录树的构建原理

4.3.2 重构已删除文件的目录树

4.3.3 已删除文件连续存储的数据恢复算法

4.3.4 已删除文件离散存储的数据恢复算法

4.3.5 笔者研发的软件与EasyRecovery 软件的对比测试

4.4 本章小结

第五章基于NTFS 文件系统的计算机取证

5.1 NTFS 文件系统内部结构原理

5.1.1 NTFS 总体结构与引导扇区

5.1.2 MFT 结构分析

5.1.3 NTFS 的树型目录结构

5.2 NTFS 已删除文件可恢复性原理

5.3 NTFS 数据恢复程序设计与实现

5.3.1 已删除文件的目录树构建原理

5.3.2 已删除文件目录树重构算法

5.3.3 已删除文件及目录的规则二叉树构建算法

5.3.4 NTFS 已删除文件数据恢复算法

5.3.5 NTFS 与FAT 下的数据恢复对比分析

5.3.6 软件测试分析

5.4 本章小结

第六章计算机系统中关键数据分析与挖掘

6.1 注册表的取证分析技术

6.1.1 注册表结构分析

6.1.2 与取证相关联的键值分析

6.2 互联网活动记录（INDEX.DAT）调查分析

6.2.1 index.dat（因特网临时文件夹）

6.2.2 index.dat（历史文档）

6.2.3 index.dat（Cookies 文件）

6.3 本章小结

第七章结论与展望

致谢

参考文献

攻硕期间取得的研究成果

基于Windows的计算机取证技术研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢