论文部分内容阅读
在当今计算机安全形式日益严峻的情况下,计算机取证技术对于打击计算机犯罪具有重要的作用和意义。计算机犯罪行为都会在计算机中留下历史记录,并存储在文件系统中。这些历史记录将作为重要证据将犯罪人员绳之以法。狡猾的犯罪分子会不惜一切代价删除这些记录,掩盖犯罪事实。然而计算机反删除取证技术可以从删除痕迹中提取有价值的证据信息,作为呈堂证供,起诉犯罪分子。传统的取证工具大多基于操作系统本身,然而运行中的操作系统会频繁读写硬盘,有可能覆盖犯罪行为留下的痕迹。基于UEFI (Unified Extensible Firmware Interface,统一可扩展固件接口)的取证工具完全独立于操作系统运行,不改写硬盘的内容,避免犯罪痕迹被二次覆盖。因此,本文针对基于UEFI的取证工具进行了如下研究工作:(1)设计基于UEFI取证工具的总体结构,并描述了该取证工具的工作流程。其中GPT/NTFS分析模块与取证模块为该结构的核心模块。GPT/NTFS分析模块拿到磁盘的控制权,识别GPT分区格式以及NTFS文件系统,初始化NTFS系统的各项参数,并提供文件读取、恢复以及删除痕迹提取等接口给取证模块使用。取证模块位于该系统的业务层,根据取证的类型划分为多个子模块实现,其中,取证模块中的反删除取证子模块的实现是本文重点研究内容。(2)提出文件反删除取证技术的两种实现方案,实现上述工具中的文件反删除取证模块。探讨NTFS文件的删除机制,得出文件删除过程中NTFS的变化规律,提出了两种文件反删除取证方案:遍历空闲文件记录(未分配文件记录)方案以及索引分析方案。遍历空闲文件记录方案通过分析被删除的文件记录,提取有取证价值的信息,并恢复文件内容。索引分析方案将文件记录或索引缓冲区中的残留数据划分为多个残留块,并识别残留块中的残留索引项,提取有取证价值的信息。并从提取的被删文件数量与文件信息的完整度上对两种方案进行了对比分析。最后通过实验验证上述方案的可行性。(3)提出注册表项值反删除取证技术的两种实现方案,实现上述工具中的注册表项值反删除取证模块。探讨注册表项值的删除机制,得出注册表项值删除后注册表文件内部的变化规律,并提出注册表项值反删除取证的两种方案,分别遍历空闲记录(未分配记录)方案与父项分析方案。遍历空闲记录方案通过识别并分析被删除的项记录与值记录以及它们的关联记录,提取被删除的项值信息。父项分析方案在剖析项值删除操作细节的基础上,尝试进行删除操作的逆操作来提取被删的项值信息。并从提取到的被删项值的数量与信息的完整度上对两种方案进行了对比分析。最后通过实验验证上述方案的可行性。