本文選題：計算機取證 + 在線取證　； 參考：《上海交通大學(xué)》2013年碩士論文

【摘要】：隨著信息技術(shù)的飛速發(fā)展，計算機和互聯(lián)網(wǎng)逐漸成為了社會生活各個領(lǐng)域的重要組成部分。一方面它們的出現(xiàn)極大地便利了人們的生活和工作，另一方面，它們也越來越多地被不法分子用于從事非法活動。而計算機取證技術(shù)作為打擊計算機犯罪的重要手段之一，應(yīng)該做到與時俱進(jìn)，以充分發(fā)揮打擊犯罪的作用。 計算機在線取證是計算機司法取證的一個重要組成部分，在很多方面都有著不可替代的地位,而計算機內(nèi)存取證作為在線取證的最重要環(huán)節(jié)，也是當(dāng)今的電子取證研究的熱點之一。本文從物理內(nèi)存和虛擬內(nèi)存兩個方面，研究并提出了計算機內(nèi)存取證活動中系統(tǒng)內(nèi)存的信息獲取技術(shù)和方法，開發(fā)出了兩個實用、有效的內(nèi)存取證工具。本文研究工作包括以下兩個方面： 1）研究提出了基于進(jìn)程凍結(jié)的物理內(nèi)存取證方法，開發(fā)了相應(yīng)的工具。很多現(xiàn)有的物理內(nèi)存獲取的研究都是基于通過在用戶態(tài)下直接打開內(nèi)核對象來訪問并獲取物理內(nèi)存，然而在新版本的Windows操作系統(tǒng)都無法直接訪問內(nèi)核對象。而且現(xiàn)有的工具多數(shù)并不是專門為取證活動而開發(fā)，因而在一定程度上使用獲取到的內(nèi)核鏡像文件缺乏證據(jù)力。本文在分析Windows內(nèi)核驅(qū)動程序訪問物理內(nèi)存的基本原理的基礎(chǔ)上，綜合考慮計算機取證活動的特殊需求，提出了基于進(jìn)程凍結(jié)的物理內(nèi)存取證方法，并開發(fā)了PhyMmDumper工具。與win32dd和DumpIt工具的比對實驗表明，，該工具在性能上具有一定的優(yōu)勢。 2）研究提出了基于卷影復(fù)制服務(wù)的虛擬內(nèi)存取證方法，開發(fā)了相應(yīng)的工具�，F(xiàn)有的取證工具中都只關(guān)注系統(tǒng)物理內(nèi)存的獲取和分析，而忽略了頁交換文件的重要作用。本文分析了Windows操作系統(tǒng)內(nèi)存管理機制以及現(xiàn)有的獲取頁交換文件的原理和流程，研究并提出了一種新的基于卷影復(fù)制服務(wù)的虛擬內(nèi)存取證方法。這種方法最大的特點在于服務(wù)本身是由微軟提供的，在可信度上比其它工具所采用的基于強制復(fù)制的方法要高很多，而且在原理上也符合取證活動中的要求。在此基礎(chǔ)上開發(fā)了PagefileCopy工具。實驗表明，工具能夠在開機的狀態(tài)下快速地獲取系統(tǒng)交換文件。 目前，上述兩個內(nèi)存取證工具已在公安部第三研究所開始試用，獲得了良好的用戶反饋。
[Abstract]:With the rapid development of information technology, computers and the Internet have gradually become an important part of all fields of social life. On the one hand, their appearance greatly facilitates people's life and work, on the other hand, they are increasingly used by illegal elements to engage in illegal activities. As one of the important means to crack down on computer crime, computer forensics should keep pace with the times so as to give full play to the role of cracking down on crime. Computer online forensics is an important part of computer judicial forensics. It has an irreplaceable position in many aspects, and computer memory forensics is the most important link in online forensics. It is also one of the hotspots of electronic forensics research. From two aspects of physical memory and virtual memory, this paper studies and puts forward the information acquisition technology and method of system memory in computer memory forensics, and develops two practical and effective memory forensics tools. The research work of this paper includes the following two aspects: 1) the physical memory forensics method based on process freezing is proposed, and the corresponding tools are developed. Many existing researches on physical memory acquisition are based on accessing and acquiring physical memory by directly opening kernel objects in user state. However, in the new version of Windows operating system, kernel objects can not be accessed directly. Moreover, most of the existing tools are not specially developed for the purpose of obtaining evidence, so there is a lack of evidence to use the obtained kernel image files to some extent. On the basis of analyzing the basic principle of accessing physical memory by Windows kernel driver and considering the special requirement of computer forensics, this paper puts forward a method of physical memory forensics based on process freezing, and develops a PhyMmDumper tool. The comparison with win32dd and DumpIt tools shows that the tool has some advantages in performance. 2) the virtual memory forensics method based on volume shadow copy service is proposed and the corresponding tools are developed. The existing forensics tools only focus on the acquisition and analysis of system physical memory, while ignoring the important role of page exchange files. This paper analyzes the memory management mechanism of Windows operating system and the principle and flow of obtaining page exchange files, and proposes a new virtual memory forensics method based on volume shadow replication service. The biggest feature of this approach is that the service itself is provided by Microsoft, which is much more reliable than the mandatory replication-based approach used by other tools, and in principle conforms to the requirements of forensics. On this basis, the PagefileCopy tool is developed. Experiments show that the tool can quickly obtain the system exchange files in the state of boot. At present, the above two memory forensics tools have been tested in the third Institute of the Ministry of Public Security, and good user feedback has been obtained.
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2013
【分類號】：TP393.08;D918.2

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 鐘秀玉;計算機取證問題分析與對策[J];電腦開發(fā)與應(yīng)用;2005年03期

2 楊澤明,錢桂瓊,許榕生,徐嘉陵;計算機取證技術(shù)研究[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2003年10期

3 ;第三屆全國計算機取證技術(shù)研討會征文啟事[J];犯罪研究;2010年04期

4 齊瑩素,佟暉;淺談計算機取證技術(shù)[J];北京人民警察學(xué)院學(xué)報;2005年01期

5 邢鈞;淺談計算機取證技術(shù)及存在的困難[J];中國人民公安大學(xué)學(xué)報(自然科學(xué)版);2003年06期

6 趙小敏,陳慶章;打擊計算機犯罪新課題——計算機取證技術(shù)[J];信息網(wǎng)絡(luò)安全;2002年09期

7 丁麗萍,王永吉;多維計算機取證模型研究[J];信息網(wǎng)絡(luò)安全;2005年10期

8 ;我院《計算機取證研究》獲國家社會科學(xué)基金項目立項[J];湖北警官學(xué)院學(xué)報;2007年05期

9 魏士靖;;計算機取證理論聚焦[J];內(nèi)蒙古電大學(xué)刊;2009年03期

10 胡曉荷;;計算機取證在法律中的重要地位[J];信息安全與通信保密;2010年07期

相關(guān)會議論文 前10條

1 秦燕峰;劉亞軍;;基于多文檔和動態(tài)鏈接庫技術(shù)的軟件開發(fā)方法研究與實現(xiàn)[A];第十八屆全國數(shù)據(jù)庫學(xué)術(shù)會議論文集（技術(shù)報告篇）[C];2001年

2 齊智平;;具有開放式體系結(jié)構(gòu)的數(shù)控系統(tǒng)軟件平臺的研究與實現(xiàn)[A];西部大開發(fā) 科教先行與可持續(xù)發(fā)展——中國科協(xié)2000年學(xué)術(shù)年會文集[C];2000年

3 童小華;張錦;田根;;基于PDA的嵌入式GIS研究與實現(xiàn)[A];中國地理信息系統(tǒng)協(xié)會第三次代表大會暨第七屆年會論文集[C];2003年

4 唐揚;熊偉;趙鋒銳;景寧;;數(shù)據(jù)庫功能擴展技術(shù)研究與實現(xiàn)[A];第二十一屆中國數(shù)據(jù)庫學(xué)術(shù)會議論文集（技術(shù)報告篇）[C];2004年

5 張鵬;李昭原;;基于組件技術(shù)的事務(wù)處理研究與實現(xiàn)[A];第十九屆全國數(shù)據(jù)庫學(xué)術(shù)會議論文集（技術(shù)報告篇）[C];2002年

6 王靖宇;李素梅;汪清;;基于PIC的USB通信板的研究與實現(xiàn)[A];2010年通信理論與信號處理學(xué)術(shù)年會論文集[C];2010年

7 林琦;王麗娜;董曉梅;于戈;申德榮;;MPEG視頻信息中的數(shù)字水印研究與實現(xiàn)[A];第十九屆全國數(shù)據(jù)庫學(xué)術(shù)會議論文集（技術(shù)報告篇）[C];2002年

8 黃立平;馮玉才;肖偉器;;一種多媒體數(shù)據(jù)庫數(shù)據(jù)模型的研究與實現(xiàn)[A];第十屆全國數(shù)據(jù)庫學(xué)術(shù)會議論文集[C];1992年

9 馬繼峰;彭曉源;馮勤;;基于微機的圖形圖象系統(tǒng)的研究與實現(xiàn)[A];二○○一年中國系統(tǒng)仿真學(xué)會學(xué)術(shù)年會論文集[C];2001年

10 楊林;張?zhí)镂?柴旭東;;基于協(xié)同仿真平臺COSIM集成仿真軟件工具M(jìn)ATLAB的研究與實現(xiàn)[A];2003年全國系統(tǒng)仿真學(xué)術(shù)年會論文集[C];2003年

相關(guān)重要報紙文章 前10條

1 ;win386.swp是什么文件[N];電腦報;2002年

2 ;內(nèi)存管理[N];網(wǎng)絡(luò)世界;2001年

3 湖北警官學(xué)院信息技術(shù)系 劉志軍 王寧 麥永浩;取證技術(shù)的三大方向[N];計算機世界;2004年

4 本報記者 朱文利;計算機取證的新難題[N];電腦報;2011年

5 四川·靳敘;電腦軟升級實踐[N];電子報;2001年

6 苗得雨;Windows 98全方位優(yōu)化[N];中國電腦教育報;2003年

7 引火蟲;PC助推器——CPR 2000[N];電腦報;2001年

8 張琦;網(wǎng)絡(luò)入侵證據(jù)的收集分析[N];中國計算機報;2005年

9 高嵐;計算機取證有效遏制網(wǎng)絡(luò)犯罪[N];中國計算機報;2002年

10 記者 魏東　通訊員 吳小羽;“計算機在線取證系統(tǒng)”獲突破[N];科技日報;2009年

相關(guān)博士學(xué)位論文 前10條

1 陳龍;計算機取證的安全性及取證推理研究[D];西南交通大學(xué);2009年

2 孫波;計算機取證方法關(guān)鍵問題研究[D];中國科學(xué)院研究生院（軟件研究所）;2004年

3 樓向雄;Mass-Storage SOC片上集成系統(tǒng)研究與實現(xiàn)[D];浙江大學(xué);2004年

4 劉棣華;網(wǎng)絡(luò)入侵檢測系統(tǒng)及其自適應(yīng)性的研究與實現(xiàn)[D];東華大學(xué);2009年

5 李洪寧;萬維網(wǎng)地理信息系統(tǒng)分布式理論體系研究與實現(xiàn)[D];中國地質(zhì)大學(xué)（北京）;2003年

6 郭杰;融合網(wǎng)絡(luò)中面向最終用戶的服務(wù)按需生成的研究與實現(xiàn)[D];北京郵電大學(xué);2009年

7 范勝林;GPS姿態(tài)及定向系統(tǒng)的研究與實現(xiàn)[D];南京航空航天大學(xué);2001年

8 傅游;稀薄氣體Monte Carlo數(shù)值仿真并行化技術(shù)研究與實現(xiàn)[D];西北工業(yè)大學(xué);2002年

9 王辰;多媒體融合分析技術(shù)的研究與實現(xiàn)[D];中國人民解放軍國防科學(xué)技術(shù)大學(xué);2002年

10 彭京;基于生物啟發(fā)計算的知識發(fā)現(xiàn)關(guān)鍵技術(shù)研究與實現(xiàn)[D];四川大學(xué);2006年

相關(guān)碩士學(xué)位論文 前10條

1 桑廳;內(nèi)存取證工具的研究與實現(xiàn)[D];上海交通大學(xué);2013年

2 楊錦濤;電力系統(tǒng)環(huán)境下的網(wǎng)絡(luò)時間同步系統(tǒng)的研究與實現(xiàn)[D];湖南大學(xué);2011年

3 張靜偉;網(wǎng)絡(luò)能耗監(jiān)測系統(tǒng)管理端的研究與實現(xiàn)[D];北京郵電大學(xué);2012年

4 劉軍;基于SIP協(xié)議的可視終端與服務(wù)器的研究與實現(xiàn)[D];北京郵電大學(xué);2012年

5 程林;面向用戶體驗的無線網(wǎng)優(yōu)指標(biāo)展現(xiàn)模塊的研究與實現(xiàn)[D];北京郵電大學(xué);2012年

6 馬少兵;數(shù)字圖書館私有云基礎(chǔ)設(shè)施的構(gòu)建和應(yīng)用研究與實現(xiàn)[D];北京郵電大學(xué);2012年

7 魏斌;農(nóng)村信息化中虹終端交互設(shè)備的研究與實現(xiàn)[D];山東大學(xué);2011年

8 王楠;Openflow網(wǎng)絡(luò)中路由機制的研究與實現(xiàn)[D];北京郵電大學(xué);2012年

9 孫繼宇;基于移動微技平臺的電信Web業(yè)務(wù)混搭研究與實現(xiàn)[D];北京郵電大學(xué);2011年

10 周建魁;SaaS應(yīng)用構(gòu)建方法的研究與實現(xiàn)[D];鄭州大學(xué);2011年

本文編號：1876961