论文部分内容阅读
计算机技术极大地促进了人类社会的进步,同时也带来了计算机犯罪问题。计算机取证(Computer Forensics)是打击计算机犯罪所使用的主要技术手段,一般分为离线方式和在线方式。离线方式是在关闭计算机或电子设备后,再对相关数据进行取证的方式,是以往主流的取证方式。然而,随着云计算、移动互联网等新信息技术的飞速发展以及电子数据存储量快速增长,这种以磁盘复制为主要特征的取证方式受到越来越大的挑战。为了应对这种挑战,学者们提出了在线取证(Live Forensics),并逐渐受到了人们的重视。在线取证的核心任务就是要获取计算机上的系统进程信息、加载的驱动程序、网络连接状况、当前打开的文件以及其他系统操作痕迹等易失性数据(volatile data)。这些信息是信息安全事件追查和入侵取证分析的关键要素,它们都驻留在计算机物理内存中,然而随着宕机或系统重启,这些信息将丢失。特别是在某些情况下,从内存中获取证据是取证的唯一方式。由于研究时间较短,作为一项新技术,当前的在线取证技术还存在着很多不足之处,影响了它的有效性和权威性,主要表现在如下几个方面:(1)需要采用新方法,来提高在线证据的可信性电子证据的可信性是计算机取证研究中的关键问题。传统的在线取证方法在证据收集阶段不严谨,即使取得了一些证据,其完整性(integrity)和真实性(fidelity)也很难得到证明。(2)需要根据技术发展,建立并完善在线取证模型计算机取证的技术模型,决定了取证方法、技术及相关研究工作的整体方案设计思路。当前的模型均基于传统的在线取证方式。因为其取证过程中数据的收集、保存和分析等活动交叉进行,所以很难清晰界定取证活动特定阶段的界面、活动要素。由于在线取证活动是在目标机器上进行的,这必然会在一定程度上改变系统的原始状态和少量数据,从而影响“证据”与系统数据原始状态的一致性,严谨的取证活动需要对这样的“影响”进行评估。(3)需要以新的技术和思路,来解决实际取证过程中出现的一些技术难题取证实践中尚有一些技术难题,例如屏保状态的取证问题;Webmail密码破解问题;硬盘保护密码、BIOS密码破解问题、软件加密硬盘的破解问题、即时通讯软件的取证和密码破解问题。这些难题需要研究新的技术和思路来攻克。针对上述问题,本论文从完善计算机取证理论基础的角度出发,从物理内存信息获取和分析入手,研究并提出了基于物理内存分析的计算机在线取证方法和模型。为了使基于物理内存分析的在线取证方法具有实践意义,本文紧密围绕两个问题展开研究:一是内存镜像文件与内存获取时计算机实际内存内容的差别计算问题,以及如何评估这些差别对在线证据可信性的影响;二是物理内存的可信获取和分析问题(主要包括Windows和Mac OS物理内存分析)。这两个问题都是基于物理内存分析的在线取证方法可行的前提条件。如果前一个问题不解决,那么由此方法获得的证据将面临着不被认可的局面;同样,如果不解决后一个问题,就不能有效从内存镜像提取各类在线证据,从而使得所提的取证方法毫无意义。具体的,本文主要的工作和创新如下:(1)提出了基于物理内存分析的计算机在线取证的新思路,该思路使得对计算在线证据的可信性进行评估成为可能。传统的在线取证需要在目标系统上运行各种取证软件,导致了在线获取的电子证据可信性非常差。本文以物理内存分析为突破口,将在线证据的可信性问题聚焦于内存获取这一点,从而使得评估在线证据的可信性成为可能。在此基础上,展开在线证据的可信性研究,可有效提高在线证据的可信性和证明力,有助于引导计算机在线取证技术研究向规范化、科学化前进,推动计算机取证的整体发展。(2)提出了基于物理内存分析的计算机在线取证模型,该模型比传统在线取证方式更符合传统物证技术的要求。传统的取证模型难以有效区分在线取证的各个阶段,而本文提出的基于物理内存分析的在线取证模型能够自然地区分在线取证各个阶段。由于调查和分析都依赖于所获得的物理内存映像文件,该模型易于验证分析调查工作的正确性,因而比传统的在线取证方式更符合物证技术的要求。(3)提出的基于物理内存分析的计算机在线取证方法,有利于最大限度地减少对目标系统的影响。因为专用的内存获取工具可以在较短的时间内完成内存获取工作,所以该方法对目标系统造成的影响很小。同时由于仅在内存获取阶段对目标系统造成影响,该方法有效地降低了对目标系统的影响。(4)为验证新方法的可行性,提出了基于KPCR结构的物理内存分析方法,解决了不同版本的Windows操作系统对内存分析方法的限制;研发了基于1394接口和PCIE接口的内存读写器,并应用这些技术解决了几个取证实战中的难题。(5)研究了内存获取过程中内存数据的变化情况以及其可信性评估问题,提出了把内存获取过程看作一次对内存数据的测量、把其过程中内存的变化看作误差的研究思路,参照了测量系统的方法给出了内存获取的误差等相关定义。总结了如何减少实验误差的原则。给出了系统误差的计算方法,以及系统进程误差的计算方法。这些分析表明了由基于物理内存分析的在线取证方法获得的证据是可信的。