论文部分内容阅读
【摘要】 具体的敏感信息的获取始终是计算机取证工作最终的目的,能够从计算机中直接提取具体的信息是极好的。例如网页浏览历史记录、因此研究新型的敏感信息深度恢复功能,以抵御此盘格式化等清除操作就变得刻不容缓。
【关键字】 计算机取证 恢复技术
一、计算机取证概述
计算机取证就是获取可作为有效证据的信息。分析证据是其最关键的一环,使用计算机后,必然留下痕迹,提取或者恢复是获取有效证据的信息的重要方法。
二、AMCF算法
本文提出了“ AIgorithm of Minimum Content Feature ”。针对不同种类文件的数据结构,如固定开头、结尾,通过分析其数据构造,确定关键部分信息,再遍历整个磁盘或分区的细粒度,找到其中与目标数据格式一致的数据块,达到数据恢复。算法的大体步骤:(1) 确定和分析待恢复数据的文件和内容格式,得出结果。 (2) 从中确立关键特征信息,像数据头、数据块控制信息、数据尾等,找到它们之间的衔接关系;(3) 以特征信息为模式, 匹配搜索整个磁盘或者分区,提取出所需数据。
算法中的特征是直接标识信息区别于其他的特别的地方,并就近提取目标数据。而最小特征,单个网络记录特征的够标识。AMCF 算法将对象缩为单个信息记录,降低了数据恢复次复杂度。
三、上网记录深度恢复
3.1 i ndex. dat 文件结构分析
AMCF 算法能实现上网痕迹的深度恢复。
首先解析i ndex. dat文件结构。描述如下:
文件头,以十六进制表示文件版本和长度,包含了首个HASH表偏移地址等属性信息,index.dat的数据头部以NULL (OxOO)字符结尾。要找到index.dat 文件里的记录地址,可以用HASH 表的指针,从活动记录中可以获取类型、 大小、内容这几种信息。一种有URL、LEAK 、REDR、GUST 这四种类型。一下分条解析这几种活动记录:
(l) URL 条目。URL 条目正是通过浏览器访问过的某网络资源的记录, URL 条目包含访问地址和时间,其中时间是FILETIME格式的数据,它用的是 urc 标准时间,需要转化成本地时间其结构如表所示:该条URL 条目的长度是02H x Ox80 = 256 字节。在偏移68 H 处也能发现其访问过的网络资源的真正字符串形式的地址,它以NULL 作为结尾。该U RL 条目的最后修改时间位于偏移08H 处。最后访问时间紧随其后,位于偏移 1 0H 处,各占8 字节。
(2) LEAK条目。LEAK结构与URL一致,解析LEAK记录的方式方式也与URL 记录没有区别。然而,在HASH表中可以获取URL 记录的偏移地址, 这个偏移地址在HASH 表中数量极少,也是无法获取的。
(3) REDR 记录和 GUSTREDR 是redirect简写,REDR 记录和 GUST两者都没有直接有关上网记录有关的信息。
3.2 index . dat 文件最小内容特征分析
index. dat相当于一个"数据库, 根据最小内容特征的思想 ,关注URL和 LEAK 条目,无视数据头部与HASH 表,所有URL 条自有相同的小端序格式头. " 5552 4C 20,因为大多计算机的" URL "无用,所以还需要寻找其他明显特征点,URL 条目开头是固定标识串,之后是以1 2 8 字节为单位的条目长度,共有四个字节,以"? 000000"表示,所表示的长度范围是128 字节到32640 字节。综上结论,上网记录最小内容特征是"55 52 4C 20 ? 00 00 00 00"开头的字符串,55 52 4C 20为"URL ",00 00 00 00为"URL "长度。这个特征容易识别出来,能撇开其他众多无用数据。
四、上网痕迹信息深度恢复取证
有上网痕迹取证的产品不多,在Windows 7下,同步测试两款功能相似的检查工具,来验证AMCF 算法的有效性。内存: 3072MB DDR2。打开两款检查工具扫描上网历史痕迹,测试关系到时间、有效扫描数量、重复数量等,有效扫描数量指有信息含量的记录,非URL字符串、乱码,空串为无效记录。重复指此条URL与其他扫描结果相同。,显然扫描耗时短、有效结果数量越多、有效记录比例越大、重复记录越少,算法的性能越强。其一检查工具扫出1662 条上网记录,用时14 分54 秒,,其中有一条为无效记录。其二检查工具则1882 条记录,用了8 分24 秒,无效记录为24条。两款工具扫描结果比较软件名称扫描.n时结果总数有效结果数量。两款工具扫描结采的比较本文用的工具占优势。
五、结论
用户信息的挖据在计算机取证中,是十分重要的。当删除文件时,恢复数据就成了计算机取证重要手段数据恢复,就是按照非常规手段使丢失的文件可见,本文研究了index. dat工作原理与数据结构。设计了计算机取证的数据算法,以满足计算机取证的数据恢复需求。
参 考 文 献
[1] 郭建朝.计算机取证技术的应用研究[学位论文],兰州,兰州大学, 2007.
[2] 谭敏,胡晓龙,杨卫平.计算机取证概述问.网络安全技术与应用122006 ,12: 75-77.
[3] 魏豪.基于数据恢复的信息获取技术的研究[学位论文],郑州:解放军信息工程大学, 2007.
[4] 杨卫平.分布式计算机动态取证系统研究[学位论文],湖南中南大学, 2006.
【关键字】 计算机取证 恢复技术
一、计算机取证概述
计算机取证就是获取可作为有效证据的信息。分析证据是其最关键的一环,使用计算机后,必然留下痕迹,提取或者恢复是获取有效证据的信息的重要方法。
二、AMCF算法
本文提出了“ AIgorithm of Minimum Content Feature ”。针对不同种类文件的数据结构,如固定开头、结尾,通过分析其数据构造,确定关键部分信息,再遍历整个磁盘或分区的细粒度,找到其中与目标数据格式一致的数据块,达到数据恢复。算法的大体步骤:(1) 确定和分析待恢复数据的文件和内容格式,得出结果。 (2) 从中确立关键特征信息,像数据头、数据块控制信息、数据尾等,找到它们之间的衔接关系;(3) 以特征信息为模式, 匹配搜索整个磁盘或者分区,提取出所需数据。
算法中的特征是直接标识信息区别于其他的特别的地方,并就近提取目标数据。而最小特征,单个网络记录特征的够标识。AMCF 算法将对象缩为单个信息记录,降低了数据恢复次复杂度。
三、上网记录深度恢复
3.1 i ndex. dat 文件结构分析
AMCF 算法能实现上网痕迹的深度恢复。
首先解析i ndex. dat文件结构。描述如下:
文件头,以十六进制表示文件版本和长度,包含了首个HASH表偏移地址等属性信息,index.dat的数据头部以NULL (OxOO)字符结尾。要找到index.dat 文件里的记录地址,可以用HASH 表的指针,从活动记录中可以获取类型、 大小、内容这几种信息。一种有URL、LEAK 、REDR、GUST 这四种类型。一下分条解析这几种活动记录:
(l) URL 条目。URL 条目正是通过浏览器访问过的某网络资源的记录, URL 条目包含访问地址和时间,其中时间是FILETIME格式的数据,它用的是 urc 标准时间,需要转化成本地时间其结构如表所示:该条URL 条目的长度是02H x Ox80 = 256 字节。在偏移68 H 处也能发现其访问过的网络资源的真正字符串形式的地址,它以NULL 作为结尾。该U RL 条目的最后修改时间位于偏移08H 处。最后访问时间紧随其后,位于偏移 1 0H 处,各占8 字节。
(2) LEAK条目。LEAK结构与URL一致,解析LEAK记录的方式方式也与URL 记录没有区别。然而,在HASH表中可以获取URL 记录的偏移地址, 这个偏移地址在HASH 表中数量极少,也是无法获取的。
(3) REDR 记录和 GUSTREDR 是redirect简写,REDR 记录和 GUST两者都没有直接有关上网记录有关的信息。
3.2 index . dat 文件最小内容特征分析
index. dat相当于一个"数据库, 根据最小内容特征的思想 ,关注URL和 LEAK 条目,无视数据头部与HASH 表,所有URL 条自有相同的小端序格式头. " 5552 4C 20,因为大多计算机的" URL "无用,所以还需要寻找其他明显特征点,URL 条目开头是固定标识串,之后是以1 2 8 字节为单位的条目长度,共有四个字节,以"? 000000"表示,所表示的长度范围是128 字节到32640 字节。综上结论,上网记录最小内容特征是"55 52 4C 20 ? 00 00 00 00"开头的字符串,55 52 4C 20为"URL ",00 00 00 00为"URL "长度。这个特征容易识别出来,能撇开其他众多无用数据。
四、上网痕迹信息深度恢复取证
有上网痕迹取证的产品不多,在Windows 7下,同步测试两款功能相似的检查工具,来验证AMCF 算法的有效性。内存: 3072MB DDR2。打开两款检查工具扫描上网历史痕迹,测试关系到时间、有效扫描数量、重复数量等,有效扫描数量指有信息含量的记录,非URL字符串、乱码,空串为无效记录。重复指此条URL与其他扫描结果相同。,显然扫描耗时短、有效结果数量越多、有效记录比例越大、重复记录越少,算法的性能越强。其一检查工具扫出1662 条上网记录,用时14 分54 秒,,其中有一条为无效记录。其二检查工具则1882 条记录,用了8 分24 秒,无效记录为24条。两款工具扫描结果比较软件名称扫描.n时结果总数有效结果数量。两款工具扫描结采的比较本文用的工具占优势。
五、结论
用户信息的挖据在计算机取证中,是十分重要的。当删除文件时,恢复数据就成了计算机取证重要手段数据恢复,就是按照非常规手段使丢失的文件可见,本文研究了index. dat工作原理与数据结构。设计了计算机取证的数据算法,以满足计算机取证的数据恢复需求。
参 考 文 献
[1] 郭建朝.计算机取证技术的应用研究[学位论文],兰州,兰州大学, 2007.
[2] 谭敏,胡晓龙,杨卫平.计算机取证概述问.网络安全技术与应用122006 ,12: 75-77.
[3] 魏豪.基于数据恢复的信息获取技术的研究[学位论文],郑州:解放军信息工程大学, 2007.
[4] 杨卫平.分布式计算机动态取证系统研究[学位论文],湖南中南大学, 2006.