论文部分内容阅读
随着电子计算机和网络技术的快速发展,极大地提高了现代社会的发展速度,但同时也带来了大量的计算机犯罪,并呈现出愈演愈烈的趋势。计算机取证技术已经成为还原计算机犯罪的重要的技术手段,可以给犯罪分子给予严厉的打击。然而,黑客技术的发展导致通过传统的离线分析方法很难得到有效的计算机犯罪证据,越来越多的恶意代码采用了各种方式来隐藏自己,甚至不会在硬盘中留下任何的有用数据,因此,对于易失性数据的取证变得越来越重要,内存取证技术也应运而生。现在的内存取证技术还不够成熟,没有一种特别有效的取证方法,包括从正在运行的操作系统中获取完整内存镜像的方法,以及得到内存镜像数据之后的证据提取方法。从内存镜像文件的海量数据中找到有用的证据是很困难的事,成功获取物理内存镜像文件之后,一般的处理流程是通过明文的关键字符串进行查找,目的是得到账户信息,文档数据等。虽然使用这种方法确实能得到一些信息,但是这种方法不能提供信息的上下文环境。无法知道匹配到的字符串来自哪个进程地址空间,而且这种方法对于经过加密或特定文件格式编码的内存数据来说是无效的。本文就是针对上述问题对内存取证技术开展了相关研究,取得成果如下:1.本文对内存取证技术中从内存镜像文件中提取内存概要数据的方法和针对单个进程的载入模块遍历方法进行了研究,对相应的进程内核结构进行了深入分析,通过采用内存映射文件技术,对现有的内存镜像文件中进程概要数据的提取方法进行了改进,极大地缩短了提取时间。然后对目前存在的进程隐藏技术进行了详细的分析,从物理内存数据变化的角度,对进程隐藏技术进行了分类并提出相应的隐藏进程检测方法。2.在提取到进程概要信息的基础上,本文深入分析了进程堆数据在内存中的组织方式,提出了针对单个进程的进程堆数据的提取方法。同时,为了保证进程内存数据的完整性,对NTFS文件系统的格式进行了研究,提出了页面文件的提取方法。3.本文研究了如何从进程内存数据中提取有用证据的方法,分析了未加密的内存数据、使用异或操作和base64加密之后的内存数据以及PDF文件在内存中的数据,提出了不同条件下的证据查找方法。4.总结前面几个部分得到的内存取证技术研究方法和验证结果,提出了内存取证技术在计算机取证过程中的应用场景,通过具体案例分析了直接内存取证过程和辅助恶意代码的检测过程。