本文關(guān)鍵詞：基于硬件虛擬化的輕量級(jí)內(nèi)存實(shí)時(shí)取證技術(shù)研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著計(jì)算機(jī)技術(shù)的普及和高速發(fā)展,針對(duì)計(jì)算機(jī)的攻擊行為也日益頻繁,由于商業(yè)個(gè)人信息的電子化和相關(guān)法律的不斷完善,其攻擊目的也從單純的破壞行為轉(zhuǎn)為更加隱蔽的信息竊取和資源控制。攻擊者傾向于獲取珍貴的個(gè)人隱私和商業(yè)機(jī)密,或控制目標(biāo)機(jī)器來實(shí)現(xiàn)更大規(guī)模的網(wǎng)絡(luò)攻擊,同時(shí)設(shè)法逃離法律的制裁,這導(dǎo)致了隱藏技術(shù)的普及,讓罪犯得以延長對(duì)目標(biāo)機(jī)器的入侵時(shí)間獲得最大的利益。為了將犯罪者繩之以法,現(xiàn)有的內(nèi)存取證技術(shù)往往需要事先獲取目標(biāo)電腦的內(nèi)存鏡像,并對(duì)鏡像進(jìn)行分析來得到證據(jù)。這種事后取證的方法不但費(fèi)時(shí)費(fèi)力,而且往往獲取不到完整的證據(jù)。直接對(duì)目標(biāo)機(jī)器進(jìn)行證據(jù)獲取能較好地解決問題,但是現(xiàn)有的技術(shù)和方法大多與攻擊者處于同一個(gè)權(quán)限級(jí)別,極容易被偵測(cè)和防范,導(dǎo)致獲得不可信的證據(jù)。雖然已有基于虛擬化的方法,但其主要用于對(duì)已獲取的樣本進(jìn)行分析,無法直接對(duì)目標(biāo)系統(tǒng)進(jìn)行取證,靈活度顯然不夠。本文提出了一個(gè)基于硬件虛擬化的輕量化內(nèi)存實(shí)時(shí)取證框架,其原理是在運(yùn)行時(shí)動(dòng)態(tài)遷移目標(biāo)操作系統(tǒng)至虛擬機(jī)中,無需停機(jī)時(shí)間,即可使用虛擬機(jī)監(jiān)視器對(duì)目標(biāo)操作系統(tǒng)進(jìn)行取證。本文基于取證框架還提出了兩種取證技術(shù),其目的分別是：1)獲得準(zhǔn)確而有效的內(nèi)存數(shù)據(jù),即在目標(biāo)系統(tǒng)內(nèi)外兩個(gè)視角進(jìn)行聯(lián)合取證；2)對(duì)進(jìn)程行為進(jìn)行分析,即使用了一種半同步式的監(jiān)視方法。所有實(shí)現(xiàn)完全基于硬件虛擬化事件,無需修改任何操作系統(tǒng)代碼和數(shù)據(jù),在使用后也能夠完全卸載。這在保護(hù)了犯罪現(xiàn)場的同時(shí),也保證了目標(biāo)系統(tǒng)的持續(xù)可用性。為了防止取證過程被攻擊者發(fā)現(xiàn)和干擾,操作系統(tǒng)的內(nèi)存空間被完全隔離,并通過加密的控制接口和數(shù)據(jù)訪問接口實(shí)現(xiàn)透明的命令控制和證據(jù)獲取。通過兩個(gè)具體的取證實(shí)驗(yàn),我們證明了使用該技術(shù)的取證方法能夠在最新的64位多核操作系統(tǒng)中獲得可信和完整的證據(jù),同時(shí)具有優(yōu)秀的性能和極低的內(nèi)存占用。
【關(guān)鍵詞】：證據(jù) 實(shí)時(shí)遷移 內(nèi)存取證框架 數(shù)據(jù)分析 行為分析 硬件虛擬化
【學(xué)位授予單位】：南京大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP309;TP333.1
【目錄】：

• 摘要5-6
• Abstract6-10
• 第一章 緒論10-17
• 1.1 研究背景及意義10-11
• 1.2 內(nèi)存實(shí)時(shí)取證的現(xiàn)狀11-13
• 1.3 內(nèi)存實(shí)時(shí)取證面臨的挑戰(zhàn)13-14
• 1.4 本文主要工作14-15
• 1.5 組織結(jié)構(gòu)15-17
• 第二章 內(nèi)存取證技術(shù)研究現(xiàn)狀17-24
• 2.1 基于操作系統(tǒng)內(nèi)核的內(nèi)存取證技術(shù)17-18
• 2.2 基于外部硬件的內(nèi)存取證技術(shù)18
• 2.3 基于獨(dú)立內(nèi)核的內(nèi)存取證技術(shù)18-19
• 2.4 基于系統(tǒng)管理模式的內(nèi)存取證技術(shù)19
• 2.5 基于軟件虛擬化的內(nèi)存取證技術(shù)19-20
• 2.6 基于硬件虛擬化的內(nèi)存取證技術(shù)20-21
• 2.7 不同取證技術(shù)的分析與對(duì)比21-23
• 2.8 本章小結(jié)23-24
• 第三章 基于硬件虛擬化的輕量級(jí)內(nèi)存實(shí)時(shí)取證框架24-37
• 3.1 Intel-VT硬件虛擬化技術(shù)簡介24-25
• 3.2 輕量級(jí)內(nèi)存實(shí)時(shí)取證框架的總體設(shè)計(jì)25-27
• 3.3 框架各模塊的設(shè)計(jì)和實(shí)現(xiàn)27-32
• 3.3.1 事件處理模塊的設(shè)計(jì)和實(shí)現(xiàn)27-29
• 3.3.2 內(nèi)存虛擬化模塊的設(shè)計(jì)和實(shí)現(xiàn)29-30
• 3.3.3 控制模塊的設(shè)計(jì)和實(shí)現(xiàn)30-31
• 3.3.4 證據(jù)導(dǎo)出模塊的設(shè)計(jì)和實(shí)現(xiàn)31-32
• 3.4 輕量級(jí)內(nèi)存實(shí)時(shí)取證框架的特性實(shí)現(xiàn)32-35
• 3.4.1 基于實(shí)時(shí)遷移技術(shù)的啟動(dòng)過程32-33
• 3.4.2 取證框架隔離與隱藏特性的實(shí)現(xiàn)33-35
• 3.5 本章小結(jié)35-37
• 第四章 基于多視角印證的進(jìn)程信息取證技術(shù)37-50
• 4.1 多視角印證技術(shù)的意義37-39
• 4.2 基于多視角印證的取證技術(shù)的設(shè)計(jì)39
• 4.3 基于多視角印證的取證技術(shù)的實(shí)現(xiàn)39-45
• 4.3.1 核心方法實(shí)現(xiàn)40-43
• 4.3.2 與取證框架相關(guān)的實(shí)現(xiàn)43-45
• 4.4 基于多視角印證的取證技術(shù)的實(shí)驗(yàn)和分析45-49
• 4.4.1 進(jìn)程信息取證實(shí)驗(yàn)45-48
• 4.4.2 性能分析48-49
• 4.5 本章小結(jié)49-50
• 第五章 半同步式的內(nèi)存行為取證技術(shù)50-72
• 5.1 半同步式的內(nèi)存行為取證技術(shù)意義50-51
• 5.2 半同步式的內(nèi)存行為取證技術(shù)設(shè)計(jì)51-54
• 5.2.1 半同步式的內(nèi)存行為監(jiān)視原理51-53
• 5.2.2 半同步式的內(nèi)存行為監(jiān)視技術(shù)的總體設(shè)計(jì)53-54
• 5.3 半同步式的內(nèi)存行為取證技術(shù)實(shí)現(xiàn)54-64
• 5.3.1 監(jiān)視單元的實(shí)現(xiàn)54-60
• 5.3.2 對(duì)具有對(duì)稱多處理結(jié)構(gòu)系統(tǒng)的支持60-61
• 5.3.3 證據(jù)的收集、處理和獲取61-63
• 5.3.4 與取證框架相關(guān)的實(shí)現(xiàn)63-64
• 5.4 半同步式的內(nèi)存行為取證技術(shù)實(shí)驗(yàn)和分析64-70
• 5.4.1 惡意進(jìn)程行為取證實(shí)驗(yàn)64-68
• 5.4.2 性能分析68-70
• 5.5 本章小結(jié)70-72
• 第六章 總結(jié)與展望72-74
• 6.1 論文總結(jié)72-73
• 6.2 進(jìn)一步工作展望73-74
• 參考文獻(xiàn)74-79
• 致謝79-80
• 攻讀碩士學(xué)位期間成果列表80-82

【共引文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 向濤;茍木理;;Windows 8下基于鏡像文件的內(nèi)存取證研究[J];計(jì)算機(jī)工程與應(yīng)用;2013年19期

2 HOWDEN Chris;LIU Lu;LI ZhiYuan;LI JianXin;ANTONOPOULOS Nick;;Virtual vignettes: the acquisition,analysis,and presentation of social network data[J];Science China(Information Sciences);2014年03期

3 季雨辰;伏曉;石進(jìn);駱斌;趙志宏;;計(jì)算機(jī)入侵取證中的入侵事件重構(gòu)技術(shù)研究[J];計(jì)算機(jī)工程;2014年01期

4 錢勤;董步云;唐哲;伏曉;茅兵;;面向Windows操作系統(tǒng)的內(nèi)存取證技術(shù)研究[J];計(jì)算機(jī)工程;2014年08期

5 Lian-Hai Wang;Qiu-Liang Xu;;Primary Exploration of Reliability Evaluation of Computer Live Forensics Model on Physical Memory Analysis[J];Journal of Harbin Institute of Technology;2014年04期

6 Ya-Dong Li;Dong-Hui Hu;Yu-Qi Fan;Xin-Dong Wu;;Web Page Forensics:A Web Spider Based Approach[J];Journal of Harbin Institute of Technology;2014年06期

7 Jingsha He;Gongzheng Liu;Bin Zhao;Xuejiao Wan;Na Huang;;Ensuring the Authenticity and Non-Misuse of Data Evidence in Digital Forensics[J];Journal of Harbin Institute of Technology;2015年01期

8 丁勇;呂海峰;余小龍;桂豐;李新國;;一種基于智能終端的遠(yuǎn)程證明方案[J];密碼學(xué)報(bào);2015年02期

9 楊澤明;劉寶旭;許榕生;;數(shù)字取證研究現(xiàn)狀與發(fā)展態(tài)勢(shì)[J];科研信息化技術(shù)與應(yīng)用;2015年01期

10 韓宗達(dá);李炳龍;;基于證據(jù)庫的數(shù)字證據(jù)轉(zhuǎn)換模型[J];計(jì)算機(jī)應(yīng)用研究;2015年07期

中國博士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 王連海;基于物理內(nèi)存分析的在線取證模型與方法的研究[D];山東大學(xué);2014年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前6條

1 陳濤;一種安全高效的虛擬網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)[D];北京交通大學(xué);2014年

2 孔飛;面向內(nèi)存的Web郵件取證技術(shù)研究與系統(tǒng)實(shí)現(xiàn)[D];杭州電子科技大學(xué);2013年

3 季濤;基于虛擬機(jī)的云計(jì)算可信安全技術(shù)研究[D];江蘇科技大學(xué);2013年

4 杜煒;KVM客戶機(jī)主動(dòng)共享的內(nèi)存超量使用策略研究[D];杭州電子科技大學(xué);2014年

5 李傳龍;云計(jì)算系統(tǒng)IaaS層安全性評(píng)估模型的研究[D];內(nèi)蒙古農(nóng)業(yè)大學(xué);2014年

6 況衛(wèi)國;基于虛擬化技術(shù)的高校軟件實(shí)驗(yàn)平臺(tái)的研究與實(shí)現(xiàn)[D];南昌大學(xué);2014年

  本文關(guān)鍵詞：基于硬件虛擬化的輕量級(jí)內(nèi)存實(shí)時(shí)取證技術(shù)研究，，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：482251