發(fā)布時間：2021-09-18 11:47

　　隨著計算機的普及,網(wǎng)絡(luò)犯罪和利用計算機的犯罪的規(guī)模和數(shù)量迅速增加,然而計算機取證學(xué)卻因為立法滯后、缺乏專業(yè)性知識而發(fā)展緩慢。早期的計算機取證聚焦于對硬盤的取證,通過斷電獲取硬盤之后使用各種硬盤恢復(fù)手段嘗試恢復(fù)硬盤內(nèi)加密或者被抹除的數(shù)據(jù)。但是斷電的操作往往會直接造成內(nèi)存數(shù)據(jù)的丟失,而內(nèi)存狀態(tài)保存著計算機最真實的信息。然而當前的內(nèi)存取證方式往往是基于簽名的內(nèi)存映像掃描,通過分析相同類型數(shù)據(jù)的不同實例,嘗試尋找出其中相同的屬性,用以在內(nèi)存中掃描和提取調(diào)查人員感興趣的數(shù)據(jù)結(jié)構(gòu)的實例。但是一個無法回避的問題是,即便非常了解數(shù)據(jù)結(jié)構(gòu)的語法和語義,相關(guān)分析人員也可能無法解釋數(shù)據(jù)結(jié)構(gòu)包含的具體信息,特別是對于具有特定應(yīng)用編碼的數(shù)據(jù)結(jié)構(gòu)（例如圖像、表格、賬號密碼和格式化文件的數(shù)據(jù)結(jié)構(gòu)）這種情形非常常見,即使調(diào)查人員可能知道緩沖區(qū)正在保存照片圖像,但仍然無法渲染和理解圖像的內(nèi)容。本文系統(tǒng)的設(shè)計理念基于這樣一種觀察:定義數(shù)據(jù)結(jié)構(gòu)的應(yīng)用程序通常自身包含解釋和渲染邏輯,以便為該數(shù)據(jù)結(jié)構(gòu)生成易于理解的輸出。因此,通過識別并重用程序二進制文件中的這種邏輯,創(chuàng)建一個掃描和渲染的工具,便可用于在內(nèi)存映像中還原數(shù)據(jù)結(jié)構(gòu)的... 

【文章來源】：湖南大學(xué)湖南省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：66 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖４．５樣例文件的數(shù)據(jù)結(jié)構(gòu)地址信息??然后通過分析內(nèi)存映像獲得程序的動態(tài)切片，如圖４．６是ＩｍａｇｅＭａｇｉｃｋ的動??

０ｘ６５３ａ２０．??ｄａｔａ??圖４．８二進制模塊產(chǎn)生的所有輸出??４．５．４掃描內(nèi)存??通過使用上一節(jié)篩選過后的指令，將可以構(gòu)造一個掃描器。從圖４．９可以看??出，掃描器從內(nèi)存映像的起始地址逐步增加，對每一個字節(jié)嘗試生成出一個輸出，??這些地址記錄在文件內(nèi)，而對于一些地址，進程將崩潰，于是該地址將不會記錄??到曰志中，掃描器將跳過該地址而從下一個地址繼續(xù)執(zhí)行，直到執(zhí)行到內(nèi)存映像??的末端。??３８??

ｓａｍｐｌｅｌ．ｐｎｇ?ｓａｍｐｌｅ２．ｐｎｇ??圖４．７二進制程序執(zhí)行使用的兩個文件??ｓａｍｐｌｅｌ．ｐｎｇ為執(zhí)行二進制文件所用的參數(shù)文件，ｓａｍｐｌｅ２．ｐｎｇ為獲取內(nèi)存映??像時使用的輸入文件。??Ｓｈｅｌｌ程序?qū)槍γ恳粋�候選出口指令構(gòu)建一個掃描器，對示例文件２（ｓａ??ｍｐｌｅ２．ｐｎｇ）的內(nèi)存映像進行掃描，由于事先知道內(nèi)存中的原始文件，通過首先排??除不產(chǎn)生輸出的指令（僅留下１０，１１，１７，１９，２１號三個候選出口指令），再排??除產(chǎn)生錯誤輸出文件的指令（１７未產(chǎn)生圖像文件，１０和１１產(chǎn)生了?ｓａｍｐｌｅｌ的圖??像文件，說明這兩個指令在并未成功替換指針的值），最后確認有效的出口點??（１９和２１），構(gòu)造最后使用的掃描器。??？？??ｍ?ｍ?ｍ??Ｓ＿１０＿０ｘ６３ｄ１７０．?Ｓ＿１１＿０ｘ６３ｄ１７０．?Ｓ＿１７＿０ｘ６４０７３０．?Ｓ＿１９＿０ｘ６３９ｆ８０．ｄｄｔａ??ｄａｔａ?ｄａｔａ?ｄａｔａ??ｓ??Ｓ＿２１＿０ｘ６５３ａ２０．??ｄａｔａ??圖４．８二進制模塊產(chǎn)生的所有輸出??４．５．４掃描內(nèi)存??通過使用上一節(jié)篩選過后的指令

【參考文獻】：
期刊論文
[1]內(nèi)存取證研究與進展[J]. 張瑜,劉慶中,李濤,吳麗華,石春.  軟件學(xué)報. 2015(05)
[2]基于EPROCESS特征的物理內(nèi)存查找方法[J]. 陳龍,敬凱,董振興,田慶宜.  重慶郵電大學(xué)學(xué)報(自然科學(xué)版). 2013(01)
[3]基于KPCR結(jié)構(gòu)的Windows物理內(nèi)存分析方法[J]. 郭牧,王連海.  計算機工程與應(yīng)用. 2009(18)

碩士論文
[1]內(nèi)存取證工具的研究與實現(xiàn)[D]. 桑廳.上海交通大學(xué) 2013
[2]基于Windows的易失性內(nèi)存數(shù)據(jù)取證分析方法研究[D]. 王峰.吉林大學(xué) 2012
[3]基于Windows平臺的內(nèi)存數(shù)據(jù)獲取和取證技術(shù)研究[D]. 劉洋.電子科技大學(xué) 2012



本文編號：3400081