WINDOWS易失性内存取证关键技术探究.doc

WINDOWS易失性内存取证关键技术探究 　　【摘要】易失性内存取证是计算机取证研究的热点，现有的Windows易失性内存取证方法和技术只能分析单个内存镜像文件，不具备分析的智能性，难以形成推理关系的证据链，因此本文针对内存数据的特点，设计了实用的取证模型，充分发挥了Windows易失性内存电子证据的法律效力，严厉打击计算机犯罪。 【关键词】计算机取证：易失性：内存取证；关联性分析： 【中图分类号】TP333 【文献标识码】A 【文章编号】1672-5158（2013）04-0026-01 1.引言 打击犯罪的关键在于获得充分、可靠和强有力的证据，取证涉及到法律和技术两个方面。一般犯罪证据的提取目前已经有很多较为成熟的技术，例如，指纹提取和识别、法医鉴定、DNA鉴定等等。随着计算机技术的发展和网络的普及，利用或以计算机为目标的犯罪事件频繁发生。由于计算机证据具有与一般犯罪证据不同的特点，所以对其获取和可靠性的保证一直是计算机犯罪案件和其他与计算机有关的犯罪案件侦破工作的难点。因此，计算机取证（computer forensics）技术的研究变得越来越迫切。计算机取证作为计算机科学和法学的交叉学科应运而生。 2.计算机取证综述 计算机取证，可以定义为对依靠计算机实施的犯罪行为利用计算机软硬件技术，按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。亦即是将存于计算机及相关外围设备中的电子数据转化固定为实质的证据，以及鉴定这些电子证据属性的过程。从计算机取证的概念可以看出，电子证据是计算机取证的核心。电子证据，是指以数字形式保存于计算机主存储器或外部存储介质中，能够证明案件真实情况的数据和信息。从广义上讲，电子证据泛指一切用以证明案件事实的电子化信息资料和数据；从狭义上讲，电子证据仅指以数字形式存在于计算机系统中的能够证明案件事实的数据，包括计算机产生、传输、储存、记录以及打印的证据。其表现形式可能为文档、图形、图像、声音等形式。 当前计算机取证研究的一个比较活跃的领域是获取操作系统的易失性数据。易失性数据可以定义为当计算机系统失去电源以后不再存在的数据，而这些易失性信息通常保存在内存或硬盘的临时文件中。RFC3227文档给出了各种类型的信息按照易失性的程度的排序，依次为： ①寄存器，高速缓存 ②路由表，ARP高速缓存，进程表，内核统计和内存 ③临时文件系统 ④硬盘 ⑤远程登录和监控数据 ⑥物理配置和网络拓扑 ⑦归档媒体 其中内存取证研究处于易失性数据取证领域的前沿，是当前的研究热点。内存取证是指获取和分析正在运行的主机的物理内存的内容。 3.windows易失性内存取证技术 当前获取Windows操作系统易失性内存数据的技术主要包括两类：基于软件的和基于硬件的。可以通过操作的基本原理进行区分：软件技术依赖于Windows操作系统获取内存的镜像，而硬件技术则独立于具体的操作系统，直接访问计算机系统的内存。基于硬件的技术主要包括基于DMA（DMA：Direct MemoryAccess）的PCI卡、Firewire设备和虚拟机（如VMWare）等，这些方法虽然具有一定的研究价值，但大都存在固有的缺陷：如受限于实际的应用场景；又比如受内存映射IO（MMIO：Memory Mapped Io）特性的影响，导致获取的内存镜像与实际不符，因此还没有得到广泛应用。 原始Windows内存镜像是纯二进制比特信息，不能直接作为电子证据高级分析技术和工具的数据源，需要根据Windows内存组织和运行方式提取其中有价值的结构化数据（如进程和线程信息），已经有一些商用和研究的工具和技术支持物理内存的取证分析。所有成果中Volatility Framework除了具备大多数内存分析工具的功能以外，还具有以下特性：首先，它可以自动识别标准c语言的底层二进制数据流，并将它们映射到高层的标准c语言的数据结构类型，这样就可以使取证分析工作人员在高级语言层面分析内存中代码结构；其次，VolatilityFramework还可以通过内存镜像的物理地址信息，构建出内存的逻辑地址空间，使分析人员可以使用每个进程自己的虚拟地址空间分析问题，而不用考虑其真实的物理地址究竟映射在内存的什么地方。而且对c语言的指针可以直接访问到其指向的数据，不用过多考虑逻辑地址到物理地址空间映射的问题；另外，VolatilityFramework具有较好的可扩展性，支持通过编写插件等进一步对分析功能进行扩展。 总之，现有的Windows易失性内存取证方法和技术只能分析单个Windows内存镜像文件，并没有利用计算机技术智能分析相同性质案件所共有的典型特征，还不能自动地利用已