計算機技術(shù)極大地促進了人類社會的進步,同時也帶來了計算機犯罪問題。計算機取證（Computer Forensics）是打擊計算機犯罪所使用的主要技術(shù)手段,一般分為離線方式和在線方式。離線方式是在關(guān)閉計算機或電子設(shè)備后,再對相關(guān)數(shù)據(jù)進行取證的方式,是以往主流的取證方式。然而,隨著云計算、移動互聯(lián)網(wǎng)等新信息技術(shù)的飛速發(fā)展以及電子數(shù)據(jù)存儲量快速增長,這種以磁盤復(fù)制為主要特征的取證方式受到越來越大的挑戰(zhàn)。為了應(yīng)對這種挑戰(zhàn),學者們提出了在線取證（Live Forensics）,并逐漸受到了人們的重視。在線取證的核心任務(wù)就是要獲取計算機上的系統(tǒng)進程信息、加載的驅(qū)動程序、網(wǎng)絡(luò)連接狀況、當前打開的文件以及其他系統(tǒng)操作痕跡等易失性數(shù)據(jù)（volatile data）。這些信息是信息安全事件追查和入侵取證分析的關(guān)鍵要素,它們都駐留在計算機物理內(nèi)存中,然而隨著宕機或系統(tǒng)重啟,這些信息將丟失。特別是在某些情況下,從內(nèi)存中獲取證據(jù)是取證的唯一方式。由于研究時間較短,作為一項新技術(shù),當前的在線取證技術(shù)還存在著很多不足之處,影響了它的有效性和權(quán)威性,主要表現(xiàn)在如下幾個方面：（1）需要采用新方法,來提高在線證據(jù)的可信性... 

【文章來源】：山東大學山東省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：158 頁

【學位級別】：博士

【部分圖文】：

基于物理內(nèi)存分析的在線取證模型

統(tǒng)需要識別該硬件，并加載相應(yīng)的驅(qū)動程序，也會改變目標系統(tǒng)的內(nèi)存內(nèi)容和狀態(tài)。對目標系統(tǒng)內(nèi)存產(chǎn)生的影響主要包括兩個方面(示意圖見圖3.1):一方面，黑客入侵的痕跡可能遺留在未分配內(nèi)存塊中，而系統(tǒng)加載時會覆蓋部分未分配內(nèi)存，這樣就存在覆蓋關(guān)鍵痕跡的可能性，需要計算這種可能性；另一方面，程序的加載會影響內(nèi)存中的內(nèi)容，需要確定其在獲取的內(nèi)存鏡像文件中的影響區(qū)域，并評估其對系統(tǒng)狀態(tài)和其他程序造成的影響，避免混淆有效證據(jù)數(shù)據(jù)。,?.廠 V--擬丨 的擬內(nèi)存 AVM Iipaiturilc.“. )sys> \'M ； I廠“—- 1 ( 換入換1? ye+j-ntfl'j I ‘ 丁-? APMO .?一. I 一一免mj ^ pgg"""""""APM j 丨 ,加 UAl>M丨-數(shù)據(jù)被換入[義^ - 用樣丨節(jié)- i 加 iJiW 序 C 存獲収工 A),UAPMO— ?分{?3作】數(shù)供被ma ... ^木-V成的 i i 二"pi \圏、:畫^例巧 IIAPMI 丨： -.丄： 職動程序LIAPM UAPMI I I (從遍加找前的^？制數(shù)擬：■圖3.1取證系統(tǒng)加載時對目標系統(tǒng)內(nèi)存的影響因此需要研宄操作系統(tǒng)在加載應(yīng)用程序和驅(qū)動時內(nèi)存的變化規(guī)律，評—

間一般在幾十秒鐘左右），在這個過程中，目標機器的內(nèi)存信息在不斷地改變，如圖3.2所示，這就需要對這些變化做出評估，判讀其對提取在線信息的影響程度，進而通過計算影響程度來評估其對取證技術(shù)或取證數(shù)據(jù)的可信性的影響。1^1時刻運行內(nèi) ‘/^2時刻獲取牧I 獲取工具」 理內(nèi)存鏡像j10011100 ]0011100取^ 010001 iii I 00100011loonioi 10011101T1時刻 … ^ … I T2時刻物理內(nèi)存、 … … 物理內(nèi)存數(shù)0圓酬. 0001 1001 數(shù)據(jù)[OJOIIOIJJ 讀取~01010001|bioojo'i 1 0100101110001101 1000110101001001 01001001 I 圖3.2獲取過程中,內(nèi)存在不斷變化3.2以測量理論的相關(guān)方法進行在線證據(jù)的可信性評估由于基于物理內(nèi)存分析的取證方法，假設(shè)了內(nèi)存鏡像文件可近似代表計算機當時的運行狀態(tài)，因此需要評估當時實際的運行狀態(tài)與內(nèi)存鏡像文件表示的狀態(tài)之間的差別，以及這些差別帶來的影響。如果沒有這一步的工作，明顯是不嚴謹?shù)模膊豢茖W。從己有文獻的實驗結(jié)果可以看出，內(nèi)存獲取工具在內(nèi)存獲取過程中使內(nèi)存的變化率都超過15%

【參考文獻】：
期刊論文
[1]基于KPCR結(jié)構(gòu)的Windows物理內(nèi)存分析方法[J]. 郭牧,王連海.  計算機工程與應(yīng)用. 2009(18)
[2]計算機取證的相關(guān)法律技術(shù)問題研究[J]. 丁麗萍,王永吉.  軟件學報. 2005(02)
[3]TRDM——具有時限的基于角色的轉(zhuǎn)授權(quán)模型[J]. 孫波,趙慶松,孫玉芳.  計算機研究與發(fā)展. 2004(07)
[4]計算機取證技術(shù)及其發(fā)展趨勢[J]. 王玲,錢華林.  軟件學報. 2003(09)
[5]計算機取證概述[J]. 許榕生,吳海燕,劉寶旭.  計算機工程與應(yīng)用. 2001(21)



本文編號：2963493