基于物理内存分析的在线取证模型与方法的研究
发布时间:2021-01-07 23:57
计算机技术极大地促进了人类社会的进步,同时也带来了计算机犯罪问题。计算机取证(Computer Forensics)是打击计算机犯罪所使用的主要技术手段,一般分为离线方式和在线方式。离线方式是在关闭计算机或电子设备后,再对相关数据进行取证的方式,是以往主流的取证方式。然而,随着云计算、移动互联网等新信息技术的飞速发展以及电子数据存储量快速增长,这种以磁盘复制为主要特征的取证方式受到越来越大的挑战。为了应对这种挑战,学者们提出了在线取证(Live Forensics),并逐渐受到了人们的重视。在线取证的核心任务就是要获取计算机上的系统进程信息、加载的驱动程序、网络连接状况、当前打开的文件以及其他系统操作痕迹等易失性数据(volatile data)。这些信息是信息安全事件追查和入侵取证分析的关键要素,它们都驻留在计算机物理内存中,然而随着宕机或系统重启,这些信息将丢失。特别是在某些情况下,从内存中获取证据是取证的唯一方式。由于研究时间较短,作为一项新技术,当前的在线取证技术还存在着很多不足之处,影响了它的有效性和权威性,主要表现在如下几个方面:(1)需要采用新方法,来提高在线证据的可信性...
【文章来源】:山东大学山东省 211工程院校 985工程院校 教育部直属院校
【文章页数】:158 页
【学位级别】:博士
【部分图文】:
基于物理内存分析的在线取证模型
统需要识别该硬件,并加载相应的驱动程序,也会改变目标系统的内存内容和状态。对目标系统内存产生的影响主要包括两个方面(示意图见图3.1):一方面,黑客入侵的痕迹可能遗留在未分配内存块中,而系统加载时会覆盖部分未分配内存,这样就存在覆盖关键痕迹的可能性,需要计算这种可能性;另一方面,程序的加载会影响内存中的内容,需要确定其在获取的内存镜像文件中的影响区域,并评估其对系统状态和其他程序造成的影响,避免混淆有效证据数据。,?.厂 V--拟丨 的拟内存 AVM Iipaiturilc.“. )sys> \'M ; I厂“—- 1 ( 换入换1? ye+j-ntfl'j I ‘ 丁-? APMO .?一. I 一一免mj ^ pgg"""""""APM j 丨 ,加 UAl>M丨-数据被換入[义^ - 用样丨节- i 加 iJiW 序 C 存获収工 A),UAPMO— ?分{?3作】数供被ma ... ^木-V成的 i i 二"pi \圏、:画^例巧 IIAPMI 丨: -.丄: 职动程序LIAPM UAPMI I I (從遍加找前的^?制数拟:■图3.1取证系统加载时对目标系统内存的影响因此需要研宄操作系统在加载应用程序和驱动时内存的变化规律,评—
间一般在几十秒钟左右),在这个过程中,目标机器的内存信息在不断地改变,如图3.2所示,这就需要对这些变化做出评估,判读其对提取在线信息的影响程度,进而通过计算影响程度来评估其对取证技术或取证数据的可信性的影响。1^1时刻运行内 ‘/^2时刻获取牧I 获取工具」 理内存镜像j10011100 ]0011100取^ 010001 iii I 00100011loonioi 10011101T1时刻 … ^ … I T2时刻物理内存、 … … 物理内存数0圓酬. 0001 1001 数据[OJOIIOIJJ 读取~01010001|bioojo'i 1 0100101110001101 1000110101001001 01001001 I 图3.2获取过程中,内存在不断变化3.2以测量理论的相关方法进行在线证据的可信性评估由于基于物理内存分析的取证方法,假设了内存镜像文件可近似代表计算机当时的运行状态,因此需要评估当时实际的运行状态与内存镜像文件表示的状态之间的差别,以及这些差别带来的影响。如果没有这一步的工作,明显是不严谨的,也不科学。从己有文献的实验结果可以看出,内存获取工具在内存获取过程中使内存的变化率都超过15%
【参考文献】:
期刊论文
[1]基于KPCR结构的Windows物理内存分析方法[J]. 郭牧,王连海. 计算机工程与应用. 2009(18)
[2]计算机取证的相关法律技术问题研究[J]. 丁丽萍,王永吉. 软件学报. 2005(02)
[3]TRDM——具有时限的基于角色的转授权模型[J]. 孙波,赵庆松,孙玉芳. 计算机研究与发展. 2004(07)
[4]计算机取证技术及其发展趋势[J]. 王玲,钱华林. 软件学报. 2003(09)
[5]计算机取证概述[J]. 许榕生,吴海燕,刘宝旭. 计算机工程与应用. 2001(21)
本文编号:2963493
【文章来源】:山东大学山东省 211工程院校 985工程院校 教育部直属院校
【文章页数】:158 页
【学位级别】:博士
【部分图文】:
基于物理内存分析的在线取证模型
统需要识别该硬件,并加载相应的驱动程序,也会改变目标系统的内存内容和状态。对目标系统内存产生的影响主要包括两个方面(示意图见图3.1):一方面,黑客入侵的痕迹可能遗留在未分配内存块中,而系统加载时会覆盖部分未分配内存,这样就存在覆盖关键痕迹的可能性,需要计算这种可能性;另一方面,程序的加载会影响内存中的内容,需要确定其在获取的内存镜像文件中的影响区域,并评估其对系统状态和其他程序造成的影响,避免混淆有效证据数据。,?.厂 V--拟丨 的拟内存 AVM Iipaiturilc.“. )sys> \'M ; I厂“—- 1 ( 换入换1? ye+j-ntfl'j I ‘ 丁-? APMO .?一. I 一一免mj ^ pgg"""""""APM j 丨 ,加 UAl>M丨-数据被換入[义^ - 用样丨节- i 加 iJiW 序 C 存获収工 A),UAPMO— ?分{?3作】数供被ma ... ^木-V成的 i i 二"pi \圏、:画^例巧 IIAPMI 丨: -.丄: 职动程序LIAPM UAPMI I I (從遍加找前的^?制数拟:■图3.1取证系统加载时对目标系统内存的影响因此需要研宄操作系统在加载应用程序和驱动时内存的变化规律,评—
间一般在几十秒钟左右),在这个过程中,目标机器的内存信息在不断地改变,如图3.2所示,这就需要对这些变化做出评估,判读其对提取在线信息的影响程度,进而通过计算影响程度来评估其对取证技术或取证数据的可信性的影响。1^1时刻运行内 ‘/^2时刻获取牧I 获取工具」 理内存镜像j10011100 ]0011100取^ 010001 iii I 00100011loonioi 10011101T1时刻 … ^ … I T2时刻物理内存、 … … 物理内存数0圓酬. 0001 1001 数据[OJOIIOIJJ 读取~01010001|bioojo'i 1 0100101110001101 1000110101001001 01001001 I 图3.2获取过程中,内存在不断变化3.2以测量理论的相关方法进行在线证据的可信性评估由于基于物理内存分析的取证方法,假设了内存镜像文件可近似代表计算机当时的运行状态,因此需要评估当时实际的运行状态与内存镜像文件表示的状态之间的差别,以及这些差别带来的影响。如果没有这一步的工作,明显是不严谨的,也不科学。从己有文献的实验结果可以看出,内存获取工具在内存获取过程中使内存的变化率都超过15%
【参考文献】:
期刊论文
[1]基于KPCR结构的Windows物理内存分析方法[J]. 郭牧,王连海. 计算机工程与应用. 2009(18)
[2]计算机取证的相关法律技术问题研究[J]. 丁丽萍,王永吉. 软件学报. 2005(02)
[3]TRDM——具有时限的基于角色的转授权模型[J]. 孙波,赵庆松,孙玉芳. 计算机研究与发展. 2004(07)
[4]计算机取证技术及其发展趋势[J]. 王玲,钱华林. 软件学报. 2003(09)
[5]计算机取证概述[J]. 许榕生,吴海燕,刘宝旭. 计算机工程与应用. 2001(21)
本文编号:2963493
本文链接:https://www.wllwen.com/kejilunwen/jisuanjikexuelunwen/2963493.html