本文關(guān)鍵詞：Windows平臺基于數(shù)據(jù)關(guān)聯(lián)的內(nèi)存取證分析技術(shù)研究

  更多相關(guān)文章： 計算機犯罪 計算機取證 取證分析 內(nèi)存取證 數(shù)據(jù)關(guān)聯(lián)

【摘要】：隨著計算機和網(wǎng)絡的快速發(fā)展,越來越多的計算機犯罪出現(xiàn),給社會帶來了嚴重的危害,因此計算機取證變得越來越重要。計算機取證主要分為對磁盤的取證和內(nèi)存的取證。由于計算機技術(shù)的迅速發(fā)展,計算機磁盤容量的增大以及磁盤加密技術(shù)的發(fā)展,單獨對磁盤的取證往往不能獲取犯罪證據(jù)。內(nèi)存取證是計算機取證的一個新興方向,主要針對計算機內(nèi)存中的易失性信息進行取證。因此現(xiàn)在的取證分析技術(shù)需要將磁盤的取證與內(nèi)存的取證關(guān)聯(lián)起來,結(jié)合分析獲取犯罪證據(jù)。目前的取證分析方法都是單獨地進行磁盤取證或者內(nèi)存取證,沒有一種結(jié)合磁盤與內(nèi)存的關(guān)聯(lián)數(shù)據(jù)的取證分析方法。并且在內(nèi)存取證中分析數(shù)據(jù)時僅僅針對一類內(nèi)存數(shù)據(jù)進行分析,比如文件、注冊表、網(wǎng)絡包等。因此取證分析結(jié)果比較單一,無法將各種分析數(shù)據(jù)結(jié)合起來,需要人工判斷。本文提出了一種基于數(shù)據(jù)關(guān)聯(lián)的取證分析技術(shù),通過對磁盤中的數(shù)據(jù)和內(nèi)存中的數(shù)據(jù)進行分析并根據(jù)它們之間各種各樣的關(guān)系進行相互關(guān)聯(lián)起來,形成數(shù)據(jù)關(guān)聯(lián)圖。本文的方法與目前的取證分析方法相比創(chuàng)新之處在于本方法重點對進程,文件,用戶,動態(tài)鏈接庫等內(nèi)存信息以關(guān)聯(lián)方式進行分析,并創(chuàng)新地將內(nèi)存與磁盤進行關(guān)聯(lián),使得取證分析工作能結(jié)合內(nèi)存與磁盤上的信息。本文最后通過幾個受到攻擊的計算機的應用場景出發(fā),使用這些關(guān)聯(lián)方法進行分析,最終形成多種信息之間的關(guān)聯(lián)圖,不僅能友好地展示最終分析結(jié)果,還能從關(guān)聯(lián)圖中推斷出犯罪場景,幫助取證工作進行事件重構(gòu)。
【學位授予單位】：南京大學
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP333.3;TP316.7

【共引文獻】

中國期刊全文數(shù)據(jù)庫 前4條

1 向濤;茍木理;;Windows 8下基于鏡像文件的內(nèi)存取證研究[J];計算機工程與應用;2013年19期

2 季雨辰;伏曉;石進;駱斌;趙志宏;;計算機入侵取證中的入侵事件重構(gòu)技術(shù)研究[J];計算機工程;2014年01期

3 錢勤;董步云;唐哲;伏曉;茅兵;;面向Windows操作系統(tǒng)的內(nèi)存取證技術(shù)研究[J];計算機工程;2014年08期

4 張瑜;劉慶中;李濤;吳麗華;石春;;內(nèi)存取證研究與進展[J];軟件學報;2015年05期

中國博士學位論文全文數(shù)據(jù)庫 前1條

1 王連海;基于物理內(nèi)存分析的在線取證模型與方法的研究[D];山東大學;2014年

中國碩士學位論文全文數(shù)據(jù)庫 前7條

1 賈寶安;內(nèi)存取證技術(shù)的研究及應用[D];電子科技大學;2013年

2 茍木理;面向Windows 8物理內(nèi)存鏡像文件的內(nèi)存取證技術(shù)研究[D];重慶大學;2013年

3 孔飛;面向內(nèi)存的Web郵件取證技術(shù)研究與系統(tǒng)實現(xiàn)[D];杭州電子科技大學;2013年

4 孟祥宇;基于內(nèi)存取證技術(shù)的關(guān)聯(lián)性分析研究[D];吉林大學;2014年

5 屈亞鑫;反木馬系統(tǒng)中程序行為分析關(guān)鍵技術(shù)研究與實現(xiàn)[D];北京郵電大學;2014年

6 林水賓;基于NTFS文件創(chuàng)建的技術(shù)研究[D];廣東工業(yè)大學;2015年

7 肖濤;基于內(nèi)核對象鏈接關(guān)系的內(nèi)存取證研究[D];杭州電子科技大學;2015年

，

本文編號：1219246