论文部分内容阅读
随着计算机技术和互联网技术的不断发展,个人电脑和信息化办公越来越普及。但是与此同时,涉及到计算机的违法犯罪行为越来越多。在这种背景下,近年来计算机取证技术作为一种新型取证技术取得了巨大的发展。它是一门融合了计算机技术和法学的数字取证学科,它主要研究如何科学合法的从计算机及其外设中获取到有效的、可被法院采纳的计算机证据。本文依据实际项目需求,在前人研究的基础上,研究并设计了一种面向Windows的计算机取证系统,并实现了数据分析取证子系统,重点阐述了子系统中的三个关键技术。论文主要内容包括:首先,从计算机取证的研究现状和发展趋势角度出发,分析了国内外计算机取证研究的成果和差异。其次介绍了计算机取证的定义,总结了计算机取证的原则、基本步骤以及基本框架。然后依据实际需要,参照已有的研究现状,提出一种面向Windows的计算机取证系统总体框架,设计了数据分析取证子系统,并对相关功能模块进行概要说明。接着对本系统中的三个关键技术:快速文件内容搜索技术、系统多维度痕迹提取技术、基于文件存储格式特征匹配的深度痕迹提取技术进行了详细阐述。最后,对原型系统中的三个关键技术模块进行了详细的测试与分析。本文的主要贡献在于:1.设计并实现了一种高效的文件内容快速搜索方法,支持TXT、PDF、Office03系列、Office07系列等文件类型以及常见图片文件。2.针对操作系统、浏览器的不断发展,完成注册表痕迹提取技术对Windows64位系统的兼容;设计并实现了常见浏览器(Chrome、Firefox)的上网痕迹提取方法;针对Windows7出现的新的系统痕迹—跳转列表文件记录提出新的提取方法。3.通过对Hive文件、Index.dat文件存储格式的逆向与研究,提出Index.dat上网痕迹和USB设备使用痕迹的特征匹配方式,实现了一种快速的基于特征匹配的痕迹深度提取方法,提高了系统痕迹深度提取的速度。本文研究并实现的计算机取证的三个关键技术性能良好,对已有的取证技术进行了一定的改进,并对新出现的取证问题,提出了解决方法。对面向Windows的计算机取证技术的发展有一定的推动作用。