本文關(guān)鍵詞：面向內(nèi)存的Web郵件取證技術(shù)研究與系統(tǒng)實(shí)現(xiàn)

  更多相關(guān)文章： web郵件取證 物理內(nèi)存鏡像 內(nèi)存取證

【摘要】：計(jì)算機(jī)與網(wǎng)絡(luò)已融入到社會(huì)生產(chǎn)和個(gè)人生活的方方面面，極大地提高了生產(chǎn)效率和生活質(zhì)量，同時(shí)也帶來(lái)了一些傳統(tǒng)手段無(wú)法應(yīng)對(duì)的新型犯罪活動(dòng)。作為打擊這類犯罪的重要手段之一，計(jì)算機(jī)取證技術(shù)成為當(dāng)前計(jì)算機(jī)界和法學(xué)界研究和關(guān)注的一個(gè)重點(diǎn)和熱點(diǎn)問(wèn)題。本文主要研究了內(nèi)存web郵件取證技術(shù)，并實(shí)現(xiàn)了一個(gè)WinWebMail取證系統(tǒng)。 首先，提出了一種面向內(nèi)存的web郵件取證方法。在利用虛擬機(jī)技術(shù)獲取完整的內(nèi)存數(shù)據(jù)鏡像文件并進(jìn)行預(yù)處理的基礎(chǔ)之上，提出了基于字符串匹配的郵件頭完整性判定與定位方法；憑借特定Web郵件的html框架特征進(jìn)行郵件體的完整性判定與定位；并通過(guò)引入基于日期、Email地址和主題關(guān)鍵關(guān)鍵詞的郵件頭與郵件主體匹配算法進(jìn)行的web郵件的恢復(fù)。提出的Web郵件恢復(fù)方法可以在不依賴于操作系統(tǒng)的內(nèi)核、進(jìn)程和內(nèi)存的數(shù)據(jù)結(jié)構(gòu)先驗(yàn)知識(shí)的前提下，恢復(fù)內(nèi)存中的Web郵件。Windows Xp平臺(tái)上的實(shí)驗(yàn)結(jié)果表明文中所提出的方法可行且具備較高的正確率。 其次，在windows平臺(tái)下設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)WinWebMail取證系統(tǒng)。該系統(tǒng)設(shè)計(jì)為四個(gè)模塊：內(nèi)存鏡像獲取模塊、預(yù)處理模塊、恢復(fù)與分析模塊、結(jié)果顯示模塊。內(nèi)存鏡像獲取模塊采用內(nèi)核空間驅(qū)動(dòng)程序獲取內(nèi)存數(shù)據(jù)；預(yù)處理模塊采用zlib庫(kù)來(lái)對(duì)鏡像文件的gzip數(shù)據(jù)進(jìn)行解壓；恢復(fù)與分析模塊實(shí)現(xiàn)文中提出的算法，并將取證結(jié)果保存到數(shù)據(jù)庫(kù)；結(jié)果顯示模塊中負(fù)責(zé)將結(jié)果顯示給用戶。該系統(tǒng)能以較高的準(zhǔn)確率恢復(fù)內(nèi)存鏡像中的web郵件信息，，并將恢復(fù)的郵件頭內(nèi)容、郵件主體內(nèi)容以及兩者的匹配度顯示給用戶。 綜上所述，本文以計(jì)算機(jī)內(nèi)存取證和分析技術(shù)為基礎(chǔ)，針對(duì)內(nèi)存中web郵件取證提出了一種取證方法，并在windows平臺(tái)下設(shè)計(jì)并實(shí)現(xiàn)一個(gè)web郵件取證系統(tǒng)。
【關(guān)鍵詞】：web郵件取證 物理內(nèi)存鏡像 內(nèi)存取證
【學(xué)位授予單位】：杭州電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2013
【分類號(hào)】：D917;TP391.1
【目錄】：

• 摘要5-6
• ABSTRACT6-9
• 第一章 緒論9-14
• 1.1. 研究背景9-11
• 1.2. 國(guó)內(nèi)外研究現(xiàn)狀11-12
• 1.2.1. 國(guó)外研究與現(xiàn)狀11-12
• 1.2.2. 國(guó)內(nèi)研究與現(xiàn)狀12
• 1.3. 研究目的與意義12-13
• 1.4. 主要研究?jī)?nèi)容與組織結(jié)構(gòu)13-14
• 第二章 計(jì)算機(jī)內(nèi)存取證與分析技術(shù)研究14-24
• 2.1. 內(nèi)存數(shù)據(jù)的獲取14-17
• 2.1.1. 基于軟件的內(nèi)存數(shù)據(jù)獲取14-16
• 2.1.2. 基于硬件的內(nèi)存數(shù)據(jù)獲取16-17
• 2.1.3. 基于虛擬化的內(nèi)存數(shù)據(jù)獲取17
• 2.1.4. 基于冷啟動(dòng)的內(nèi)存數(shù)據(jù)獲取17
• 2.2. 內(nèi)存數(shù)據(jù)的分析17-22
• 2.2.1. 進(jìn)程信息分析17-18
• 2.2.2. 加密密鑰分析18-19
• 2.2.3. 系統(tǒng)注冊(cè)表分析19-20
• 2.2.4. 網(wǎng)絡(luò)信息分析20-21
• 2.2.5. 文件信息分析21-22
• 2.2.6. 系統(tǒng)狀態(tài)信息分析22
• 2.3. 內(nèi)存取證的操作標(biāo)準(zhǔn)22-23
• 2.4. 本章小結(jié)23-24
• 第三章 一種面向內(nèi)存的 Web 郵件取證方法24-43
• 3.1. 相關(guān)概念與定義24-25
• 3.2. 目前面臨的問(wèn)題25-26
• 3.3. 取證方法26-32
• 3.3.1. 取證步驟26-27
• 3.3.2. 相關(guān)算法27-32
• 3.4. 數(shù)據(jù)組織格式分析32-37
• 3.5. 實(shí)驗(yàn)37-42
• 3.6. 本章小結(jié)42-43
• 第四章 WinWebMail 取證系統(tǒng)實(shí)現(xiàn)43-56
• 4.1. 系統(tǒng)功能分析與設(shè)計(jì)43
• 4.2. 鏡像獲取模塊的設(shè)計(jì)與實(shí)現(xiàn)43-49
• 4.2.1. 物理內(nèi)存訪問(wèn)的方式43-48
• 4.2.2. 物理內(nèi)存鏡像獲取模塊的實(shí)現(xiàn)48-49
• 4.3. 預(yù)處理模塊的設(shè)計(jì)與實(shí)現(xiàn)49-51
• 4.3.1. 編譯和使用預(yù)處理模塊依賴的庫(kù)文件49-50
• 4.3.2. 預(yù)處理模塊實(shí)現(xiàn)代碼50-51
• 4.4. 恢復(fù)與分析模塊的實(shí)現(xiàn)51-54
• 4.5. 結(jié)果顯示模塊的實(shí)現(xiàn)54
• 4.6. 本章小結(jié)54-56
• 第五章 總結(jié)與展望56-57
• 致謝57-58
• 參考文獻(xiàn)58-61
• 附錄61-72
• 作者在讀期間發(fā)表的學(xué)術(shù)論文及參加的科研項(xiàng)目72

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前8條

1 曹記東;;基于Windows物理內(nèi)存的計(jì)算機(jī)取證技術(shù)的研究[J];電腦知識(shí)與技術(shù);2011年27期

2 劉凌;;淺談?dòng)?jì)算機(jī)靜態(tài)取證與計(jì)算機(jī)動(dòng)態(tài)取證[J];計(jì)算機(jī)安全;2009年08期

3 丁麗萍;論計(jì)算機(jī)取證的原則和步驟[J];中國(guó)人民公安大學(xué)學(xué)報(bào)(自然科學(xué)版);2005年01期

4 許榕生;;我國(guó)數(shù)字取證技術(shù)研究的十年回顧[J];計(jì)算機(jī)安全;2011年03期

5 廖根為;;數(shù)字證據(jù)概念與特點(diǎn)分析[J];江淮論壇;2010年03期

6 郭牧;王連海;;基于KPCR結(jié)構(gòu)的Windows物理內(nèi)存分析方法[J];計(jì)算機(jī)工程與應(yīng)用;2009年18期

7 錢(qián)桂瓊,楊澤明,許榕生;計(jì)算機(jī)取證的研究與設(shè)計(jì)[J];計(jì)算機(jī)工程;2002年06期

8 楊青;電子證據(jù)的若干問(wèn)題探析[J];政法論叢;2004年04期

本文編號(hào)：663053