论文部分内容阅读
随着计算机与信息技术的快速发展,特别是互联网的普及,电子邮件、博客、即时通信等网络服务给人们带来了便捷的信息交流平台。但是网络给人们提供便利的同时,也为犯罪活动提供了新的作案平台,发生在计算机领域中的各种犯罪在逐年剧增。尽管计算机网络安全技术为防范计算机犯罪活动起了一定的作用,但在犯罪手段越发高明的情况下,只依靠传统的网络安全技术已经不可能从根本上解决问题,只有通过法律手段将之绳之以法,才能打击威慑犯罪分子。正是在这种形势下,计算机取证学应运而生,作为计算机科学、刑事侦查学和法学的交叉学科,已成为了当今一个研究热点。本文回顾了计算机取证的国内外研究现状,指出了计算机取证的发展趋势;深入研究了计算机取证的相关理论和技术,结合电子证据的特点,论述了计算机取证的原则和一般步骤;分析了目前常用的计算机动态取证系统模型,并指出了目前动态取证系统存在的一些不足和面临的挑战。针对目前一些动态取证系统的不足,在分布式网络取证模型的基础上设计了一个基于Windows平台的动态取证系统。该系统在设计上同时兼顾计算机作为作案目标和作案工具双重角色时的取证,重点突出证据实时获取效率高、取证过程隐秘、取证分析智能等特点。根据设计要求,研究了构建该系统的关键技术,并给出了具体的技术实现方案。在证据获取方面,研究了日志文件、注册表、文件监控、现场证据等数据源的实时获取方法,并设计了一个基于IDS规则库的证据获取策略;在取证过程隐秘方面,分别从进程自动加载、进程隐藏、文件隐藏和进程防杀四个方面来解决;在证据分析方面,引入了一个快速的关联规则挖掘算法。最后对整个系统进行了实现,并通过模拟测试和性能分析,表明该系统在Windows系统的网络中实现取证的有效性。