Windows平台基于数据关联的内存取证分析技术研究
本文关键词:Windows平台基于数据关联的内存取证分析技术研究
更多相关文章: 计算机犯罪 计算机取证 取证分析 内存取证 数据关联
【摘要】:随着计算机和网络的快速发展,越来越多的计算机犯罪出现,给社会带来了严重的危害,因此计算机取证变得越来越重要。计算机取证主要分为对磁盘的取证和内存的取证。由于计算机技术的迅速发展,计算机磁盘容量的增大以及磁盘加密技术的发展,单独对磁盘的取证往往不能获取犯罪证据。内存取证是计算机取证的一个新兴方向,主要针对计算机内存中的易失性信息进行取证。因此现在的取证分析技术需要将磁盘的取证与内存的取证关联起来,结合分析获取犯罪证据。目前的取证分析方法都是单独地进行磁盘取证或者内存取证,没有一种结合磁盘与内存的关联数据的取证分析方法。并且在内存取证中分析数据时仅仅针对一类内存数据进行分析,比如文件、注册表、网络包等。因此取证分析结果比较单一,无法将各种分析数据结合起来,需要人工判断。本文提出了一种基于数据关联的取证分析技术,通过对磁盘中的数据和内存中的数据进行分析并根据它们之间各种各样的关系进行相互关联起来,形成数据关联图。本文的方法与目前的取证分析方法相比创新之处在于本方法重点对进程,文件,用户,动态链接库等内存信息以关联方式进行分析,并创新地将内存与磁盘进行关联,使得取证分析工作能结合内存与磁盘上的信息。本文最后通过几个受到攻击的计算机的应用场景出发,使用这些关联方法进行分析,最终形成多种信息之间的关联图,不仅能友好地展示最终分析结果,还能从关联图中推断出犯罪场景,帮助取证工作进行事件重构。
【学位授予单位】:南京大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:TP333.3;TP316.7
【共引文献】
中国期刊全文数据库 前4条
1 向涛;苟木理;;Windows 8下基于镜像文件的内存取证研究[J];计算机工程与应用;2013年19期
2 季雨辰;伏晓;石进;骆斌;赵志宏;;计算机入侵取证中的入侵事件重构技术研究[J];计算机工程;2014年01期
3 钱勤;董步云;唐哲;伏晓;茅兵;;面向Windows操作系统的内存取证技术研究[J];计算机工程;2014年08期
4 张瑜;刘庆中;李涛;吴丽华;石春;;内存取证研究与进展[J];软件学报;2015年05期
中国博士学位论文全文数据库 前1条
1 王连海;基于物理内存分析的在线取证模型与方法的研究[D];山东大学;2014年
中国硕士学位论文全文数据库 前7条
1 贾宝安;内存取证技术的研究及应用[D];电子科技大学;2013年
2 苟木理;面向Windows 8物理内存镜像文件的内存取证技术研究[D];重庆大学;2013年
3 孔飞;面向内存的Web邮件取证技术研究与系统实现[D];杭州电子科技大学;2013年
4 孟祥宇;基于内存取证技术的关联性分析研究[D];吉林大学;2014年
5 屈亚鑫;反木马系统中程序行为分析关键技术研究与实现[D];北京邮电大学;2014年
6 林水宾;基于NTFS文件创建的技术研究[D];广东工业大学;2015年
7 肖涛;基于内核对象链接关系的内存取证研究[D];杭州电子科技大学;2015年
,本文编号:1219246
本文链接:https://www.wllwen.com/kejilunwen/jisuanjikexuelunwen/1219246.html
