本文關(guān)鍵詞：計算機取證中關(guān)鍵技術(shù)研究，，由筆耕文化傳播整理發(fā)布。

《上海交通大學》 2010年

計算機取證中關(guān)鍵技術(shù)研究

李巖  

【摘要】： 近年來,計算機犯罪帶來的問題日益嚴重。自“熊貓燒香”案發(fā)以來,社會對于計算機犯罪的關(guān)注度越來越高。與此同時,計算機取證技術(shù)作為打擊計算機犯罪的重要手段也逐漸成為業(yè)內(nèi)研究的熱點。其中中國計算機法證技術(shù)研究會的CCFC計算機取證技術(shù)峰會和高峰論壇自2005年來舉辦了三次大型活動,成為業(yè)內(nèi)技術(shù)人員交流的重要途徑。 本文從實際計算機取證的需求出發(fā),研究計算機取證中的如下幾項關(guān)鍵技術(shù)。 第一,數(shù)據(jù)恢復技術(shù)。數(shù)據(jù)恢復技術(shù)是計算機取證中使用頻率最高的技術(shù)之一。本文從FAT32和NTFS系統(tǒng)的結(jié)構(gòu)出發(fā),分析了在上述兩種文件系統(tǒng)下文件刪除以及磁盤格式化操作的原理,提出了文件數(shù)據(jù)恢復和格式化恢復的通用方法和流程。 第二,磁盤全文搜索技術(shù)。在現(xiàn)有工具不能很好滿足計算機取證需求的背景下,本文提出了一種通過磁盤全文搜索來進行取證的方法。同時,對該取證方法底層所采用的模式匹配算法進行了對比實驗分析并加以改進,找出高效取證的最佳環(huán)境。此方法與數(shù)據(jù)恢復相結(jié)合,可以實現(xiàn)按文件類型、文件名或者文件關(guān)鍵字等進行取證,有效提高了取證的效率。 第三,典型文件類型格式分析。針對計算機取證中經(jīng)常遇到的文件格式,如郵件(EML、DBX、PST、BOX等)、打印假脫機文件(SPL和SHD)等,本文進行了文件格式分析以及研究了提取其中數(shù)據(jù)元素的方法;針對接入系統(tǒng)的USB設(shè)備,給出具體的痕跡取證過程。 第四,計算機取證模型研究以及取證可信度的證明。本文針對以往的一些經(jīng)典計算機取證模型加以分析,提出了一種基于瀑布流模型的計算機取證過程模型;針對計算機取證流程抽象網(wǎng)絡的研究,提出了對取證結(jié)果進行可信度劃分的方法,并給出了概率論上的證明。

【關(guān)鍵詞】：
【學位授予單位】：上海交通大學
【學位級別】：碩士
【學位授予年份】：2010
【分類號】：TP399-C2
【目錄】：

摘要3-5

ABSTRACT5-10

第一章 緒論10-16

1.1 計算機犯罪與信息安全10-11

1.1.1 計算機犯罪發(fā)展及現(xiàn)狀10

1.1.2 計算機犯罪的定義及特點10-11

1.2 論文選題背景及意義11-15

1.2.1 計算機取證技術(shù)及其現(xiàn)狀11-14

1.2.2 計算機取證相關(guān)產(chǎn)品及其不足14-15

1.3 本文主要貢獻15

1.4 本章小結(jié)15-16

第二章 數(shù)據(jù)恢復技術(shù)16-34

2.1 磁盤數(shù)據(jù)組織方式16-18

2.1.1 硬盤內(nèi)部結(jié)構(gòu)16-17

2.1.2 硬盤的分區(qū)與引導17-18

2.1.3 硬盤的格式化18

2.2 FAT32 文件系統(tǒng)下的數(shù)據(jù)恢復18-25

2.2.1 FAT32 文件系統(tǒng)解析18-23

2.2.2 FAT32 文件系統(tǒng)下文件刪除與恢復23-24

2.2.3 FAT32 文件系統(tǒng)格式化后的數(shù)據(jù)恢復24-25

2.3 NTFS 文件系統(tǒng)下的數(shù)據(jù)恢復25-33

2.3.1 NTFS 文件系統(tǒng)解析25-30

2.3.2 NTFS 文件系統(tǒng)下文件刪除與恢復30-31

2.3.3 NTFS 文件系統(tǒng)格式化后的數(shù)據(jù)恢復31-33

2.4 本章小結(jié)33-34

第三章 改進的磁盤全文搜索取證技術(shù)34-43

3.1 硬盤扇區(qū)讀寫技術(shù)34-35

3.2 改進的硬盤扇區(qū)快速搜索算法35-38

3.2.1 常用模式匹配算法及其改進35-37

3.2.2 匹配算法比較實驗37-38

3.3 字符串編碼轉(zhuǎn)換38-39

3.4 硬盤全文搜索取證系統(tǒng)39-42

3.5 本章小結(jié)42-43

第四章 硬盤全文搜索取證的典型應用43-63

4.1 電子郵件取證43-50

4.1.1 電子郵件概述43-46

4.1.2 常用郵件軟件客戶端取證46-50

4.2 打印機脫機文件取證50-53

4.3 USB 大容量存儲設(shè)備使用痕跡分析53-61

4.3.1 USB 大容量存儲設(shè)備概述54-58

4.3.2 USB 存儲設(shè)備使用痕跡分析58-61

4.4 本章小結(jié)61-63

第五章 計算機取證模型及其可信度研究63-72

5.1 計算機取證模型概述63-66

5.1.1 基本過程模型63

5.1.2 事件響應過程模型63-64

5.1.3 法律執(zhí)行過程模型64

5.1.4 過程抽象模型64

5.1.5 綜合取證模型64-65

5.1.6 增強計算機取證模型65

5.1.7 其他過程模型65

5.1.8 基于瀑布流的改進過程模型65-66

5.2 計算機取證模型的可信度形式化證明66-71

5.2.1 取證模型可信度定義66-67

5.2.2 可信度相關(guān)理論準備67-68

5.2.3 取證過程的形式化抽象68-69

5.2.4 可信度的計算及證明69-71

5.3 本章小結(jié)71-72

第六章 全文總結(jié)72-73

6.1 課題完成情況72

6.2 下一步工作展望72-73

參考文獻73-76

符號與標記（附錄1）76-77

相關(guān)數(shù)據(jù)結(jié)構(gòu)與代碼（附錄2）77-83

1、磁盤扇區(qū)的讀取77-78

2、FAT32 分區(qū)數(shù)據(jù)結(jié)構(gòu)78-79

3、NTFS 分區(qū)數(shù)據(jù)結(jié)構(gòu)79-80

4、查找關(guān)鍵字所在扇區(qū)80-81

5、SHD 文件結(jié)構(gòu)81-83

致謝83-84

攻讀碩士學位期間已發(fā)表或已錄用的論文84-87

上海交通大學碩士學位論文答辯決議書87

下載全文 更多同類文獻

CAJ全文下載

(如何獲取全文？ 歡迎：購買知網(wǎng)充值卡、在線充值、在線咨詢)

CAJViewer閱讀器支持CAJ、PDF文件格式

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前2條

1 李雪瑩,劉寶旭,許榕生;字符串匹配技術(shù)研究[J];計算機工程;2004年22期

2 黃步根;;FAT系統(tǒng)文件操作痕跡特征分析[J];計算機工程與應用;2007年07期

中國碩士學位論文全文數(shù)據(jù)庫 前4條

1 王麗麗;局域網(wǎng)隱蔽取證系統(tǒng)的若干關(guān)鍵技術(shù)研究[D];上海交通大學;2007年

2 賈強;論計算機犯罪犯罪及其防治[D];山東大學;2006年

3 呂琳;閃存盤結(jié)構(gòu)分析及其擴展功能應用研究[D];大連海事大學;2004年

4 張校乾;基于Lucene的全文檢索系統(tǒng)的研究與應用[D];大連理工大學;2005年

【共引文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 蘇成;;計算機取證與反取證的較量[J];計算機安全;2006年01期

2 羅忠毅,李戎;當今主流漢字輸入法述評——兼談古籍整理適用的輸入法[J];電腦知識與技術(shù);2005年05期

3 張新剛;劉妍;;計算機取證技術(shù)研究[J];計算機安全;2007年01期

4 亞森·艾則孜;王斌君;;計算機取證中維文信息代碼的分析方法研究[J];中國人民公安大學學報(自然科學版);2007年02期

5 林果園;黃皓;;入侵檢測動態(tài)取證模型[J];計算機工程與應用;2006年27期

6 仰石,李濤,丁菊玲;基于Multi-agent的計算機動態(tài)取證[J];計算機工程;2005年01期

7 徐成;孫偉;戴爭輝;喻飛;;一種面向入侵檢測的BM模式匹配改進算法[J];計算機應用研究;2006年11期

8 馬永波;陳龍;王國胤;聶能;黎龍;;基于有限狀態(tài)機的一種事件重建算法[J];計算機應用研究;2007年06期

9 文立君;計算機犯罪淺析[J];科技與法律;2004年04期

10 劉愫衛(wèi);;數(shù)據(jù)恢復技術(shù)及其實踐研究[J];科技信息;2006年08期

中國重要會議論文全文數(shù)據(jù)庫 前2條

1 黃寧寧;蘇紅帆;;計算機取證系統(tǒng)核心技術(shù)分析[A];廣西計算機學會2006年年會論文集[C];2006年

2 白海濤;劉廣建;;基于網(wǎng)絡的數(shù)字取證現(xiàn)狀分析及發(fā)展研究[A];2006通信理論與技術(shù)新進展——第十一屆全國青年通信學術(shù)會議論文集[C];2006年

中國博士學位論文全文數(shù)據(jù)庫 前2條

1 王文奇;入侵檢測與安全防御協(xié)同控制研究[D];西北工業(yè)大學;2006年

2 王小鳳;基于內(nèi)容的音樂檢索關(guān)鍵技術(shù)研究[D];西北大學;2008年

中國碩士學位論文全文數(shù)據(jù)庫 前10條

1 夏琦;計算機取證技術(shù)研究及系統(tǒng)設(shè)計與實現(xiàn)[D];電子科技大學;2006年

2 郭建朝;計算機取證技術(shù)的應用研究[D];蘭州大學;2007年

3 方賢進;校園網(wǎng)環(huán)境下入侵檢測系統(tǒng)的研究與實現(xiàn)[D];安徽大學;2005年

4 徐少強;計算機取證技術(shù)研究[D];廣東工業(yè)大學;2005年

5 金可仲;數(shù)據(jù)挖掘在計算機取證分析中的應用研究及系統(tǒng)設(shè)計[D];浙江工業(yè)大學;2004年

6 賴靜;非法互聯(lián)網(wǎng)網(wǎng)站及服務實時監(jiān)管取證系統(tǒng)[D];四川大學;2004年

7 劉宇萍;網(wǎng)絡犯罪探析[D];中國政法大學;2001年

8 王曉昕;計算機犯罪略論[D];中國政法大學;2001年

9 沈亞萍;計算機犯罪的成因和防范[D];浙江師范大學;2002年

10 郝斌;論計算機網(wǎng)絡技術(shù)對犯罪心理學研究的影響[D];河南大學;2003年

【同被引文獻】

中國期刊全文數(shù)據(jù)庫 前7條

1 丁麗萍;論計算機取證的原則和步驟[J];中國人民公安大學學報(自然科學版);2005年01期

2 張明亮,張宗杰;淺析FAT32文件系統(tǒng)[J];計算機與數(shù)字工程;2005年01期

3 趙英男,張秉權(quán);MIME郵件結(jié)構(gòu)格式分析[J];兵工自動化;2001年02期

4 高獻偉;鄭捷文;楊澤明;許榕生;;智能網(wǎng)絡取證系統(tǒng)[J];計算機仿真;2006年03期

5 夏淑梅;邱國華;杜偉;;中文鍵盤輸入法探討[J];內(nèi)蒙古電大學刊;2007年10期

6 丁麗萍,王永吉;計算機取證的相關(guān)法律技術(shù)問題研究[J];軟件學報;2005年02期

7 石磊;趙慧然;;Hook函數(shù)在監(jiān)控記錄系統(tǒng)中的應用[J];微計算機信息;2006年21期

中國碩士學位論文全文數(shù)據(jù)庫 前10條

1 羅朝暉;計算機犯罪偵查取證技術(shù)——計算機證據(jù)研究[D];北京工業(yè)大學;2003年

2 蔣中云;基于多代理的網(wǎng)絡入侵動態(tài)取證的研究[D];江南大學;2006年

3 魏士靖;計算機網(wǎng)絡取證分析系統(tǒng)[D];江南大學;2006年

4 王蕊;Linux環(huán)境下日志分析系統(tǒng)的設(shè)計與實現(xiàn)[D];北京工業(yè)大學;2006年

5 江明華;數(shù)據(jù)挖掘技術(shù)在籃球技術(shù)動作中的應用研究[D];重慶大學;2007年

6 葉生華;遠程信息監(jiān)測技術(shù)研究[D];西安電子科技大學;2005年

7 單長虹;計算機遠程控制技術(shù)研究[D];武漢大學;2004年

8 蔣毅;E-mail事件痕跡搜索與線索綜合[D];同濟大學;2006年

9 劉曉華;計算機犯罪取證技術(shù)及其應用[D];蘭州大學;2006年

10 翁美華;計算機犯罪研究[D];華東政法學院;2005年

【二級參考文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 孫哲,張銘,唐世渭;基于Berkeley DB的文獻檢索設(shè)計與實現(xiàn)[J];計算機工程與應用;2003年13期

2 曹元大,賀海軍,涂哲明,王琴;全文檢索字索引技術(shù)的研究與實現(xiàn)[J];計算機工程;2002年06期

3 余海燕,張仲義;基于單漢字索引的全文檢索系統(tǒng)的優(yōu)化研究[J];中文信息學報;2001年04期

4 王蘭成,蔣丹,劉慶輝;全文數(shù)據(jù)庫建庫原理與應用技術(shù)[J];情報學報;1999年04期

5 龔義年;計算機犯罪及其對我國刑法的挑戰(zhàn)[J];安慶師范學院學報(社會科學版);2005年01期

6 劉作勛;對增加新條文懲治計算機犯罪的思考[J];重慶工學院學報;2004年04期

7 黃步根;;數(shù)據(jù)恢復與計算機取證[J];計算機安全;2006年06期

8 邵貝貝 ,馬偉;開發(fā)“嵌入式USB主機”擴展移動數(shù)據(jù)存儲和交換的應用領(lǐng)域[J];今日電子;2003年02期

9 林細妹;計算機犯罪立法及完善[J];福建政法管理干部學院學報;2005年01期

10 劉小晶;硬盤MBR的修復技巧[J];撫州師專學報;2000年04期

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 黃步根;;數(shù)據(jù)恢復與計算機取證[J];計算機安全;2006年06期

2 游春暉;劉乃琦;代立松;;數(shù)據(jù)恢復技術(shù)在計算機取證系統(tǒng)中的應用[J];成都大學學報(自然科學版);2008年02期

3 胡寧;;計算機取證技術(shù)探討[J];電腦知識與技術(shù)(學術(shù)交流);2007年10期

4 ;我國涉密數(shù)據(jù)信息安全水平躍居世界前列[J];信息系統(tǒng)工程;2009年08期

5 游君臣,彭尚源;基于數(shù)據(jù)恢復技術(shù)的計算機取證應用[J];甘肅科技;2005年09期

6 任雪飛;楊永川;;計算機取證技術(shù)綜述[J];信息網(wǎng)絡安全;2011年01期

7 薛琴;;基于FinalData的數(shù)據(jù)恢復技術(shù)在計算機取證中的應用[J];警察技術(shù);2008年04期

8 張其前;周國民;許正光;黃巍;;計算機取證設(shè)備發(fā)展綜述[J];警察技術(shù);2009年06期

9 黃寧寧;蘇紅帆;;計算機取證系統(tǒng)核心技術(shù)分析[J];廣西科學院學報;2006年04期

10 戴士劍;;數(shù)據(jù)恢復技術(shù)與方法探析[J];信息網(wǎng)絡安全;2009年06期

中國重要會議論文全文數(shù)據(jù)庫 前10條

1 劉學斌;蘭傳智;;計算機取證中數(shù)據(jù)恢復的特點、難點和解決方法[A];全國計算機安全學術(shù)交流會論文集·第二十五卷[C];2010年

2 尹丹;;計算機取證中的數(shù)據(jù)恢復技術(shù)研究[A];全國計算機安全學術(shù)交流會論文集·第二十五卷[C];2010年

3 郭久武;戴士劍;;數(shù)據(jù)恢復與信息安全[A];第二十次全國計算機安全學術(shù)交流會論文集[C];2005年

4 石青華;;淺談檢察機關(guān)自偵工作中的計算機取證[A];全國計算機安全學術(shù)交流會論文集·第二十五卷[C];2010年

5 丁麗萍;王永吉;;論計算機取證工具軟件及其檢測[A];中國信息協(xié)會信息安全專業(yè)委員會年會文集[C];2004年

6 王磊;鄔梓峰;;計算機取證中的取證軟件的聯(lián)合應用研究[A];2009全國計算機網(wǎng)絡與通信學術(shù)會議論文集[C];2009年

7 羅競;盧泉;;初探蘋果機下的數(shù)據(jù)恢復技術(shù)[A];全國第20屆計算機技術(shù)與應用學術(shù)會議(CACIS·2009)暨全國第1屆安全關(guān)鍵技術(shù)與應用學術(shù)會議論文集（下冊）[C];2009年

8 黃寧寧;蘇紅帆;;計算機取證系統(tǒng)核心技術(shù)分析[A];廣西計算機學會2006年年會論文集[C];2006年

9 唐玲;;網(wǎng)絡犯罪與計算機取證——信息安全專業(yè)課程設(shè)置的新亮點[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

10 趙志巖;王任華;邵翀;;計算機動態(tài)取證技術(shù)的挑戰(zhàn)[A];全國計算機安全學術(shù)交流會論文集·第二十五卷[C];2010年

中國重要報紙全文數(shù)據(jù)庫 前10條

1 高秀霞;[N];中國計算機報;2005年

2 ;[N];中國計算機報;2006年

3 信息產(chǎn)業(yè)部數(shù)據(jù)恢復職業(yè)資格認證專家顧問 戴士劍;[N];中國計算機報;2007年

4 戴士劍;[N];中國計算機報;2007年

5 dream;[N];中國電腦教育報;2004年

6 離子翼;[N];中國電腦教育報;2005年

7 傅紅;[N];中國信息報;2003年

8 方成亮;[N];中國計算機報;2006年

9 ;[N];科技日報;2001年

10 熊雄;[N];中國計算機報;2001年

中國博士學位論文全文數(shù)據(jù)庫 前10條

1 陳龍;計算機取證的安全性及取證推理研究[D];西南交通大學;2009年

2 孫波;計算機取證方法關(guān)鍵問題研究[D];中國科學院研究生院（軟件研究所）;2004年

3 于志宏;視頻安全與網(wǎng)絡安全若干問題研究[D];吉林大學;2009年

4 綦朝暉;計算機入侵取證關(guān)鍵技術(shù)研究[D];天津大學;2006年

5 吳姚睿;基于主動獲取的計算機取證方法及實現(xiàn)技術(shù)研究[D];吉林大學;2009年

6 夏洪濤;SSL VPN中非對稱隧道等若干關(guān)鍵技術(shù)的研究[D];華中科技大學;2007年

7 周剛;云計算環(huán)境中面向取證的現(xiàn)場遷移技術(shù)研究[D];華中科技大學;2011年

8 陳琳;自適應動態(tài)網(wǎng)絡取證方法研究[D];華中科技大學;2009年

9 張有東;網(wǎng)絡取證技術(shù)研究[D];南京航空航天大學;2007年

10 李旭;系統(tǒng)級數(shù)據(jù)保護技術(shù)研究[D];華中科技大學;2008年

中國碩士學位論文全文數(shù)據(jù)庫 前10條

1 郭博;基于數(shù)據(jù)恢復的遠程計算機取證系統(tǒng)的研究與實現(xiàn)[D];解放軍信息工程大學;2009年

2 李巖;計算機取證中關(guān)鍵技術(shù)研究[D];上海交通大學;2010年

3 沈樹強;電子證據(jù)鑒定視角下的數(shù)據(jù)恢復問題研究[D];中國政法大學;2010年

4 張志強;計算機取證協(xié)同分析系統(tǒng)設(shè)計與實現(xiàn)[D];上海交通大學;2012年

5 王納新;計算機證據(jù)獲取技術(shù)研究與應用[D];電子科技大學;2010年

6 易凌鷹;基于閃存數(shù)據(jù)恢復的計算機取證技術(shù)的研究與實現(xiàn)[D];北京郵電大學;2010年

7 錢穎麒;無密碼登錄計算機取證系統(tǒng)[D];復旦大學;2011年

8 陳志勇;計算機取證的信息收集與數(shù)據(jù)還原[D];上海交通大學;2009年

9 周志剛;數(shù)據(jù)挖掘技術(shù)在計算機取證的研究[D];大連交通大學;2010年

10 鐘何源;計算機取證管理系統(tǒng)的研究[D];華南理工大學;2012年

  本文關(guān)鍵詞：計算機取證中關(guān)鍵技術(shù)研究，由筆耕文化傳播整理發(fā)布。

本文編號：130313