学位论文 > 优秀研究生学位论文题录展示

计算机在线取证工具的测试和分析

作 者: 吴俊丽
导 师: 王连海
学 校: 山东轻工业学院
专 业: 计算机应用技术
关键词: 计算机取证 计算机在线取证 Rootkit木马 测试
分类号: TP399-C2
类 型: 硕士论文
年 份: 2010年
下 载: 117次
引 用: 3次
阅 读: 论文下载
 

内容摘要


计算机在线取证技术是打击计算机犯罪的有效手段,在线取证工具的优劣会直接影响到证据的有效性,对案件的侦破产生极大的影响。针对这种情况,本文对现阶段流行的计算机在线取证工具进行了测试和分析。本文首先介绍了计算机取证的发展现状和现阶段流行的四款在线取证工具的基本情况,指出了在线取证调查面临的困难和测试计算机在线取证工具的必要性。由于基于内核态木马(Rootkit)或病毒的出现以及其他数据隐藏技术的发展,目前在线取证工具获取的数据有可能是经过木马等恶意程序篡改过的,本文详细分析了Rootkit木马的各种隐藏技术,为测试工作的进行和测试结果的分析奠定了基础。同时在线取证调查中的取证流程将会对取证结果产生很大的影响。在调查过程中很可能会由于不同的设计逻辑和取证操作,导致取证结果出现很大的偏差。本文总结了在线取证调查过程中应该遵守的基本原则和调查人员应该具备的良好职业习惯,在结合电子证据易失性的基础上提出了计算机在线取证调查的一般流程,以此作为衡量取证工具执行顺序正确与否的标准。取证工具执行前后是否对内存产生了影响是必须要进行测试的部分,然而现在流行的基于字符串分析的方法在很多情况下存在问题。本文设计和开发了基于KPCR的内存分析工具,它可以从Windows系统的内存镜像文件中获取进程信息、线程信息、进程调用的DLL、打开的文件信息、驱动信息等。同时为了验证EnCase的硬盘字符串搜索功能的正确性,本文设计和开发了硬盘字符串搜索工具,它可以在NTFS和FAT32文件系统下对硬盘进行任意字符串的搜索工作,支持Unicode、GB2312、Big5三种字符集,同时还可以进行简单的数据恢复工作。在计算机在线取证调查的基本原则和一般流程的基础上,本文提出了在线取证工具的测试指标,从工具的执行顺序、自定义性、时间要求、全面性、完整性、冗余性和正确性、对内存的保护程度、对网络状态的保护程度、易用性、可移植性、各种操作的记录情况十个方面对FRED、IRCR和WFT三款在线取证工具进行了测试。测试是在VMware-workstation虚拟机的Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP2、Windows vista SP1四个版本的操作系统上进行。测试中使用了6种公开可用的Rootkit木马来检验取证工具获取结果的正确性;用内存分析工具分析了取证工具对内存状态的影响。对各指标所得的结果进行了对比研究,指出了各个工具的优缺点,形成了测试结论。同时也对EnCase工具的硬盘字符串搜索功能进行了测试,验证了它在不同文件系统和不同字符集下的字符串搜索的正确性。本文最后分析了造成在线取证工具出现一系列问题的原因,提出了一种新的在线取证的思路。

全文目录


摘要  7-9
ABSTRACT  9-11
第1章 绪论  11-17
  1.1 计算机取证的发展现状  12-13
  1.2 计算机在线取证工具的介绍  13-16
    1.2.1 Incident Response Collection Report  14
    1.2.2 First responders evidence disk  14
    1.2.3 Windows Forensics Toolchest  14-15
    1.2.4 EnCase  15-16
  1.3 计算机在线取证工具测试的重要性  16-17
第2章 Rootkit 木马技术  17-23
  2.1 Windows 内核  17-18
  2.2 Rootkit 隐藏技术  18-23
    2.2.1 更改程序的执行路径  18-21
    2.2.2 DKOM 方法  21-23
第3章 计算机在线取证调查的流程  23-27
  3.1 计算机在线取证调查的原则  23-24
  3.2 计算机在线取证调查的良好习惯  24
  3.3 计算机在线取证的一般流程  24-27
第4章 测试工具的设计和开发  27-41
  4.1 基于KPCR 的内存镜像分析工具的设计和开发  27-34
    4.1.1 物理内存镜像分析的现状  27-28
    4.1.2 基于字符串查找的内存分析方法的缺点  28
    4.1.3 基于KPCR 的内存分析工具的设计和开发  28-34
  4.2 硬盘搜索工具的开发  34-41
    4.2.1 FAT32 和NTFS 文件系统的主要数据结构  34-37
    4.2.2 硬盘字符串搜索工具的设计和开发  37-41
第5章 计算机在线取证工具的测试和分析  41-60
  5.1 计算机在线取证工具的测试指标  41-42
  5.2 测试平台的搭建  42-43
  5.3 测试中使用的Rootkit 木马  43-44
    5.3.1 Rootkit 种类和兼容性问题  43-44
    5.3.2 Rootkit 的安装  44
  5.4 测试过程和结果  44-56
  5.5 EnCase 硬盘字符串搜索的正确性测试  56-60
第6章 测试结果分析  60-67
  6.1 测试结论  60-61
  6.2 测试结果分析  61-67
    6.2.1 Rootkit 对取证结果正确性的影响分析  61-64
    6.2.2 取证工具对内存影响的分析  64-65
    6.2.3 其它取证结果的分析  65-66
    6.2.4 一种计算机在线取证的新思路  66-67
第7章 总结  67-68
参考文献  68-72
致谢  72-73
在学期间主要科研成果  73
  一、发表学术论文  73
  二、其它科研成果  73

相似论文

  1. 半球谐振陀螺误差分析与测试方法设计,V241.5
  2. 基于无线通信的弹载计算机系统BIT设计,TJ414
  3. 基于无线传感器网络的电动汽车电池组综合测试技术研究,U469.72
  4. 测量微波材料介电常数的新方法研究,O441.6
  5. 电子产品质量监控测试设备设计,TN06
  6. 面向对象分层测试的方法研究,TP311.53
  7. 基于windows日志的计算机取证模型设计,D918.2
  8. 用户权限管理系统可靠性测试的研究与应用,TP311.53
  9. 基于注意网络测试任务的酒精摄入对注意功能的影响,B841
  10. 温压炸药爆炸温度场存储测试技术研究,TQ560.7
  11. 青海油田测试公司专业化经营管理模式研究,F426.22
  12. 腰椎经椎弓根动态固定系统的研制及力学测试,R687.3
  13. 汽车发动机惯性参数识别的试验研究,U467.2
  14. 基于中国电信闪铃系统与平台项目的软件测试,TP311.53
  15. HART现场故障诊断仪的研究与实现,TP277
  16. 基于DM368的高清IPCamera的硬件系统设计与实现,TN948.41
  17. 计算机证据材料污染问题及相关对策,D915.13
  18. 专用电路测试方法的研究与实现,TN707
  19. 基于模型的安全相关系统仿真方法的研究与应用,TP391.9
  20. 多极少槽永磁同步电机的电抗参数计算与研究,TM341
  21. FPGA远程动态重构系统的设计与实现,TN791

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 在其他方面的应用
© 2012 www.xueweilunwen.com