计算机动态取证系统的研究与实现-计算机科学与技术专业论文.docxVIP

承诺书 本人声明所呈交的硕士学位论文是本人在导师指导下进 行的研究工作及取得的研究成果。除了文中特别加以标注和致 谢的地方外，论文中不包含其他人已经发表或撰写过的研究成 果，也不包含为获得南京航空航天大学或其他教育机构的学位 或证书而使用过的材料。 本人授权南京航空航天大学可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 （保密的学位论文在解密后适用本承诺书） 作者签名： 日 期： 南京航空航天大学硕士学位论文 南京航空航天大学硕士学位论文 计算机动态取证系统的研究与实现 计算机动态取证系统的研究与实现 i i PAGE PAGE iv 摘 要 随着计算机与信息技术的快速发展，特别是互联网的普及，电子邮件、博客、即时通信等 网络服务给人们带来了便捷的信息交流平台。但是网络给人们提供便利的同时，也为犯罪活动 提供了新的作案平台，发生在计算机领域中的各种犯罪在逐年剧增。尽管计算机网络安全技术 为防范计算机犯罪活动起了一定的作用，但在犯罪手段越发高明的情况下，只依靠传统的网络 安全技术已经不可能从根本上解决问题，只有通过法律手段将之绳之以法，才能打击威慑犯罪 分子。正是在这种形势下，计算机取证学应运而生，作为计算机科学、刑事侦查学和法学的交 叉学科，已成为了当今一个研究热点。 本文回顾了计算机取证的国内外研究现状，指出了计算机取证的发展趋势；深入研究了计 算机取证的相关理论和技术，结合电子证据的特点，论述了计算机取证的原则和一般步骤；分 析了目前常用的计算机动态取证系统模型，并指出了目前动态取证系统存在的一些不足和面临 的挑战。针对目前一些动态取证系统的不足，在分布式网络取证模型的基础上设计了一个基于 Windows 平台的动态取证系统。该系统在设计上同时兼顾计算机作为作案目标和作案工具双重 角色时的取证，重点突出证据实时获取效率高、取证过程隐秘、取证分析智能等特点。根据设 计要求，研究了构建该系统的关键技术，并给出了具体的技术实现方案。在证据获取方面，研 究了日志文件、注册表、文件监控、现场证据等数据源的实时获取方法，并设计了一个基于 IDS 规则库的证据获取策略；在取证过程隐秘方面，分别从进程自动加载、进程隐藏、文件隐藏和 进程防杀四个方面来解决；在证据分析方面，引入了一个快速的关联规则挖掘算法。最后对整 个系统进行了实现，并通过模拟测试和性能分析，表明该系统在 Windows 系统的网络中实现取 证的有效性。 关键词：计算机动态取证，获取技术，隐秘技术，数据挖掘 ABSTRACT With the rapid growth in computer and information technology, especially the increasing popularization of Internet, Internet services such as e-mail, blog, IM has become convenient means for information communication. As the network provides convenience to people, it is also used as a new platform for committing the crime, and all kinds of crime occurred in the computer field is dramatically increasing year by year. Although the network security technology to prevent criminal activity played a role, it does not solve the problem fundamentally in the case of the criminal means more and more sophisticated. Only through legal means to bring criminals to justice can we strike and deter criminals. In this situation, computer forensics science was born at the right moment. Furthermore, as a cross-disciplinary subject of computer science, criminal investigation and law, it has become a hot topi