内存取证工具的研究与实现
本文选题:计算机取证 + 在线取证 ; 参考:《上海交通大学》2013年硕士论文
【摘要】:随着信息技术的飞速发展,计算机和互联网逐渐成为了社会生活各个领域的重要组成部分。一方面它们的出现极大地便利了人们的生活和工作,另一方面,它们也越来越多地被不法分子用于从事非法活动。而计算机取证技术作为打击计算机犯罪的重要手段之一,应该做到与时俱进,以充分发挥打击犯罪的作用。 计算机在线取证是计算机司法取证的一个重要组成部分,在很多方面都有着不可替代的地位,而计算机内存取证作为在线取证的最重要环节,也是当今的电子取证研究的热点之一。本文从物理内存和虚拟内存两个方面,研究并提出了计算机内存取证活动中系统内存的信息获取技术和方法,开发出了两个实用、有效的内存取证工具。本文研究工作包括以下两个方面: 1)研究提出了基于进程冻结的物理内存取证方法,开发了相应的工具。很多现有的物理内存获取的研究都是基于通过在用户态下直接打开内核对象来访问并获取物理内存,然而在新版本的Windows操作系统都无法直接访问内核对象。而且现有的工具多数并不是专门为取证活动而开发,因而在一定程度上使用获取到的内核镜像文件缺乏证据力。本文在分析Windows内核驱动程序访问物理内存的基本原理的基础上,综合考虑计算机取证活动的特殊需求,提出了基于进程冻结的物理内存取证方法,并开发了PhyMmDumper工具。与win32dd和DumpIt工具的比对实验表明,,该工具在性能上具有一定的优势。 2)研究提出了基于卷影复制服务的虚拟内存取证方法,开发了相应的工具。现有的取证工具中都只关注系统物理内存的获取和分析,而忽略了页交换文件的重要作用。本文分析了Windows操作系统内存管理机制以及现有的获取页交换文件的原理和流程,研究并提出了一种新的基于卷影复制服务的虚拟内存取证方法。这种方法最大的特点在于服务本身是由微软提供的,在可信度上比其它工具所采用的基于强制复制的方法要高很多,而且在原理上也符合取证活动中的要求。在此基础上开发了PagefileCopy工具。实验表明,工具能够在开机的状态下快速地获取系统交换文件。 目前,上述两个内存取证工具已在公安部第三研究所开始试用,获得了良好的用户反馈。
[Abstract]:With the rapid development of information technology, computers and the Internet have gradually become an important part of all fields of social life. On the one hand, their appearance greatly facilitates people's life and work, on the other hand, they are increasingly used by illegal elements to engage in illegal activities. As one of the important means to crack down on computer crime, computer forensics should keep pace with the times so as to give full play to the role of cracking down on crime. Computer online forensics is an important part of computer judicial forensics. It has an irreplaceable position in many aspects, and computer memory forensics is the most important link in online forensics. It is also one of the hotspots of electronic forensics research. From two aspects of physical memory and virtual memory, this paper studies and puts forward the information acquisition technology and method of system memory in computer memory forensics, and develops two practical and effective memory forensics tools. The research work of this paper includes the following two aspects: 1) the physical memory forensics method based on process freezing is proposed, and the corresponding tools are developed. Many existing researches on physical memory acquisition are based on accessing and acquiring physical memory by directly opening kernel objects in user state. However, in the new version of Windows operating system, kernel objects can not be accessed directly. Moreover, most of the existing tools are not specially developed for the purpose of obtaining evidence, so there is a lack of evidence to use the obtained kernel image files to some extent. On the basis of analyzing the basic principle of accessing physical memory by Windows kernel driver and considering the special requirement of computer forensics, this paper puts forward a method of physical memory forensics based on process freezing, and develops a PhyMmDumper tool. The comparison with win32dd and DumpIt tools shows that the tool has some advantages in performance. 2) the virtual memory forensics method based on volume shadow copy service is proposed and the corresponding tools are developed. The existing forensics tools only focus on the acquisition and analysis of system physical memory, while ignoring the important role of page exchange files. This paper analyzes the memory management mechanism of Windows operating system and the principle and flow of obtaining page exchange files, and proposes a new virtual memory forensics method based on volume shadow replication service. The biggest feature of this approach is that the service itself is provided by Microsoft, which is much more reliable than the mandatory replication-based approach used by other tools, and in principle conforms to the requirements of forensics. On this basis, the PagefileCopy tool is developed. Experiments show that the tool can quickly obtain the system exchange files in the state of boot. At present, the above two memory forensics tools have been tested in the third Institute of the Ministry of Public Security, and good user feedback has been obtained.
【学位授予单位】:上海交通大学
【学位级别】:硕士
【学位授予年份】:2013
【分类号】:TP393.08;D918.2
【相似文献】
相关期刊论文 前10条
1 钟秀玉;计算机取证问题分析与对策[J];电脑开发与应用;2005年03期
2 杨泽明,钱桂琼,许榕生,徐嘉陵;计算机取证技术研究[J];网络安全技术与应用;2003年10期
3 ;第三届全国计算机取证技术研讨会征文启事[J];犯罪研究;2010年04期
4 齐莹素,佟晖;浅谈计算机取证技术[J];北京人民警察学院学报;2005年01期
5 邢钧;浅谈计算机取证技术及存在的困难[J];中国人民公安大学学报(自然科学版);2003年06期
6 赵小敏,陈庆章;打击计算机犯罪新课题——计算机取证技术[J];信息网络安全;2002年09期
7 丁丽萍,王永吉;多维计算机取证模型研究[J];信息网络安全;2005年10期
8 ;我院《计算机取证研究》获国家社会科学基金项目立项[J];湖北警官学院学报;2007年05期
9 魏士靖;;计算机取证理论聚焦[J];内蒙古电大学刊;2009年03期
10 胡晓荷;;计算机取证在法律中的重要地位[J];信息安全与通信保密;2010年07期
相关会议论文 前10条
1 秦燕峰;刘亚军;;基于多文档和动态链接库技术的软件开发方法研究与实现[A];第十八届全国数据库学术会议论文集(技术报告篇)[C];2001年
2 齐智平;;具有开放式体系结构的数控系统软件平台的研究与实现[A];西部大开发 科教先行与可持续发展——中国科协2000年学术年会文集[C];2000年
3 童小华;张锦;田根;;基于PDA的嵌入式GIS研究与实现[A];中国地理信息系统协会第三次代表大会暨第七届年会论文集[C];2003年
4 唐扬;熊伟;赵锋锐;景宁;;数据库功能扩展技术研究与实现[A];第二十一届中国数据库学术会议论文集(技术报告篇)[C];2004年
5 张鹏;李昭原;;基于组件技术的事务处理研究与实现[A];第十九届全国数据库学术会议论文集(技术报告篇)[C];2002年
6 王靖宇;李素梅;汪清;;基于PIC的USB通信板的研究与实现[A];2010年通信理论与信号处理学术年会论文集[C];2010年
7 林琦;王丽娜;董晓梅;于戈;申德荣;;MPEG视频信息中的数字水印研究与实现[A];第十九届全国数据库学术会议论文集(技术报告篇)[C];2002年
8 黄立平;冯玉才;肖伟器;;一种多媒体数据库数据模型的研究与实现[A];第十届全国数据库学术会议论文集[C];1992年
9 马继峰;彭晓源;冯勤;;基于微机的图形图象系统的研究与实现[A];二○○一年中国系统仿真学会学术年会论文集[C];2001年
10 杨林;张田文;柴旭东;;基于协同仿真平台COSIM集成仿真软件工具MATLAB的研究与实现[A];2003年全国系统仿真学术年会论文集[C];2003年
相关重要报纸文章 前10条
1 ;win386.swp是什么文件[N];电脑报;2002年
2 ;内存管理[N];网络世界;2001年
3 湖北警官学院信息技术系 刘志军 王宁 麦永浩;取证技术的三大方向[N];计算机世界;2004年
4 本报记者 朱文利;计算机取证的新难题[N];电脑报;2011年
5 四川·靳叙;电脑软升级实践[N];电子报;2001年
6 苗得雨;Windows 98全方位优化[N];中国电脑教育报;2003年
7 引火虫;PC助推器——CPR 2000[N];电脑报;2001年
8 张琦;网络入侵证据的收集分析[N];中国计算机报;2005年
9 高岚;计算机取证有效遏制网络犯罪[N];中国计算机报;2002年
10 记者 魏东 通讯员 吴小羽;“计算机在线取证系统”获突破[N];科技日报;2009年
相关博士学位论文 前10条
1 陈龙;计算机取证的安全性及取证推理研究[D];西南交通大学;2009年
2 孙波;计算机取证方法关键问题研究[D];中国科学院研究生院(软件研究所);2004年
3 楼向雄;Mass-Storage SOC片上集成系统研究与实现[D];浙江大学;2004年
4 刘棣华;网络入侵检测系统及其自适应性的研究与实现[D];东华大学;2009年
5 李洪宁;万维网地理信息系统分布式理论体系研究与实现[D];中国地质大学(北京);2003年
6 郭杰;融合网络中面向最终用户的服务按需生成的研究与实现[D];北京邮电大学;2009年
7 范胜林;GPS姿态及定向系统的研究与实现[D];南京航空航天大学;2001年
8 傅游;稀薄气体Monte Carlo数值仿真并行化技术研究与实现[D];西北工业大学;2002年
9 王辰;多媒体融合分析技术的研究与实现[D];中国人民解放军国防科学技术大学;2002年
10 彭京;基于生物启发计算的知识发现关键技术研究与实现[D];四川大学;2006年
相关硕士学位论文 前10条
1 桑厅;内存取证工具的研究与实现[D];上海交通大学;2013年
2 杨锦涛;电力系统环境下的网络时间同步系统的研究与实现[D];湖南大学;2011年
3 张静伟;网络能耗监测系统管理端的研究与实现[D];北京邮电大学;2012年
4 刘军;基于SIP协议的可视终端与服务器的研究与实现[D];北京邮电大学;2012年
5 程林;面向用户体验的无线网优指标展现模块的研究与实现[D];北京邮电大学;2012年
6 马少兵;数字图书馆私有云基础设施的构建和应用研究与实现[D];北京邮电大学;2012年
7 魏斌;农村信息化中虹终端交互设备的研究与实现[D];山东大学;2011年
8 王楠;Openflow网络中路由机制的研究与实现[D];北京邮电大学;2012年
9 孙继宇;基于移动微技平台的电信Web业务混搭研究与实现[D];北京邮电大学;2011年
10 周建魁;SaaS应用构建方法的研究与实现[D];郑州大学;2011年
本文编号:1876961
本文链接:https://www.wllwen.com/shekelunwen/gongan/1876961.html
