發(fā)布時(shí)間：2021-01-07 23:57

　　計(jì)算機(jī)技術(shù)極大地促進(jìn)了人類社會(huì)的進(jìn)步,同時(shí)也帶來了計(jì)算機(jī)犯罪問題。計(jì)算機(jī)取證（Computer Forensics）是打擊計(jì)算機(jī)犯罪所使用的主要技術(shù)手段,一般分為離線方式和在線方式。離線方式是在關(guān)閉計(jì)算機(jī)或電子設(shè)備后,再對(duì)相關(guān)數(shù)據(jù)進(jìn)行取證的方式,是以往主流的取證方式。然而,隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新信息技術(shù)的飛速發(fā)展以及電子數(shù)據(jù)存儲(chǔ)量快速增長(zhǎng),這種以磁盤復(fù)制為主要特征的取證方式受到越來越大的挑戰(zhàn)。為了應(yīng)對(duì)這種挑戰(zhàn),學(xué)者們提出了在線取證（Live Forensics）,并逐漸受到了人們的重視。在線取證的核心任務(wù)就是要獲取計(jì)算機(jī)上的系統(tǒng)進(jìn)程信息、加載的驅(qū)動(dòng)程序、網(wǎng)絡(luò)連接狀況、當(dāng)前打開的文件以及其他系統(tǒng)操作痕跡等易失性數(shù)據(jù)（volatile data）。這些信息是信息安全事件追查和入侵取證分析的關(guān)鍵要素,它們都駐留在計(jì)算機(jī)物理內(nèi)存中,然而隨著宕機(jī)或系統(tǒng)重啟,這些信息將丟失。特別是在某些情況下,從內(nèi)存中獲取證據(jù)是取證的唯一方式。由于研究時(shí)間較短,作為一項(xiàng)新技術(shù),當(dāng)前的在線取證技術(shù)還存在著很多不足之處,影響了它的有效性和權(quán)威性,主要表現(xiàn)在如下幾個(gè)方面：（1）需要采用新方法,來提高在線證據(jù)的可信性... 

【文章來源】：山東大學(xué)山東省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：158 頁

【學(xué)位級(jí)別】：博士

【部分圖文】：

基于物理內(nèi)存分析的在線取證模型

統(tǒng)需要識(shí)別該硬件，并加載相應(yīng)的驅(qū)動(dòng)程序，也會(huì)改變目標(biāo)系統(tǒng)的內(nèi)存內(nèi)容和狀態(tài)。對(duì)目標(biāo)系統(tǒng)內(nèi)存產(chǎn)生的影響主要包括兩個(gè)方面(示意圖見圖3.1):一方面，黑客入侵的痕跡可能遺留在未分配內(nèi)存塊中，而系統(tǒng)加載時(shí)會(huì)覆蓋部分未分配內(nèi)存，這樣就存在覆蓋關(guān)鍵痕跡的可能性，需要計(jì)算這種可能性；另一方面，程序的加載會(huì)影響內(nèi)存中的內(nèi)容，需要確定其在獲取的內(nèi)存鏡像文件中的影響區(qū)域，并評(píng)估其對(duì)系統(tǒng)狀態(tài)和其他程序造成的影響，避免混淆有效證據(jù)數(shù)據(jù)。,?.廠 V--擬丨 的擬內(nèi)存 AVM Iipaiturilc.“. )sys> \'M ； I廠“—- 1 ( 換入換1? ye+j-ntfl'j I ‘ 丁-? APMO .?一. I 一一免mj ^ pgg"""""""APM j 丨 ,加 UAl>M丨-數(shù)據(jù)被換入[義^ - 用樣丨節(jié)- i 加 iJiW 序 C 存獲収工 A),UAPMO— ?分{?3作】數(shù)供被ma ... ^木-V成的 i i 二"pi \圏、:畫^例巧 IIAPMI 丨： -.丄： 職動(dòng)程序LIAPM UAPMI I I (從遍加找前的^？制數(shù)擬：■圖3.1取證系統(tǒng)加載時(shí)對(duì)目標(biāo)系統(tǒng)內(nèi)存的影響因此需要研宄操作系統(tǒng)在加載應(yīng)用程序和驅(qū)動(dòng)時(shí)內(nèi)存的變化規(guī)律，評(píng)—

間一般在幾十秒鐘左右），在這個(gè)過程中，目標(biāo)機(jī)器的內(nèi)存信息在不斷地改變，如圖3.2所示，這就需要對(duì)這些變化做出評(píng)估，判讀其對(duì)提取在線信息的影響程度，進(jìn)而通過計(jì)算影響程度來評(píng)估其對(duì)取證技術(shù)或取證數(shù)據(jù)的可信性的影響。1^1時(shí)刻運(yùn)行內(nèi) ‘/^2時(shí)刻獲取牧I 獲取工具」 理內(nèi)存鏡像j10011100 ]0011100取^ 010001 iii I 00100011loonioi 10011101T1時(shí)刻 … ^ … I T2時(shí)刻物理內(nèi)存、 … … 物理內(nèi)存數(shù)0圓酬. 0001 1001 數(shù)據(jù)[OJOIIOIJJ 讀取~01010001|bioojo'i 1 0100101110001101 1000110101001001 01001001 I 圖3.2獲取過程中,內(nèi)存在不斷變化3.2以測(cè)量理論的相關(guān)方法進(jìn)行在線證據(jù)的可信性評(píng)估由于基于物理內(nèi)存分析的取證方法，假設(shè)了內(nèi)存鏡像文件可近似代表計(jì)算機(jī)當(dāng)時(shí)的運(yùn)行狀態(tài)，因此需要評(píng)估當(dāng)時(shí)實(shí)際的運(yùn)行狀態(tài)與內(nèi)存鏡像文件表示的狀態(tài)之間的差別，以及這些差別帶來的影響。如果沒有這一步的工作，明顯是不嚴(yán)謹(jǐn)?shù)�，也不科學(xué)。從己有文獻(xiàn)的實(shí)驗(yàn)結(jié)果可以看出，內(nèi)存獲取工具在內(nèi)存獲取過程中使內(nèi)存的變化率都超過15%

【參考文獻(xiàn)】：
期刊論文
[1]基于KPCR結(jié)構(gòu)的Windows物理內(nèi)存分析方法[J]. 郭牧,王連海.  計(jì)算機(jī)工程與應(yīng)用. 2009(18)
[2]計(jì)算機(jī)取證的相關(guān)法律技術(shù)問題研究[J]. 丁麗萍,王永吉.  軟件學(xué)報(bào). 2005(02)
[3]TRDM——具有時(shí)限的基于角色的轉(zhuǎn)授權(quán)模型[J]. 孫波,趙慶松,孫玉芳.  計(jì)算機(jī)研究與發(fā)展. 2004(07)
[4]計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J]. 王玲,錢華林.  軟件學(xué)報(bào). 2003(09)
[5]計(jì)算機(jī)取證概述[J]. 許榕生,吳海燕,劉寶旭.  計(jì)算機(jī)工程與應(yīng)用. 2001(21)



本文編號(hào)：2963493