面向Windows的计算机取证系统关键技术研究与实现-计算机技术专业毕业论文.docxVIP

万方数据 万方数据 RESEARCH AND IMPLEMENTATION OF KEY TECHNOLOGIES OF WINDOWS-ORIENTED COMPUTER FORENSICS SYSTEM A Master Thesis Submitted to University of Electronic Science and Technology of China Major: Computer Technology Author: Deng Jincheng Advisor: Associate Professor Liu Dan School : Research Institute Electronic Science and Technology 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 作者签名： 日期： 年 月 日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 （保密的学位论文在解密后应遵守此规定） 作者签名： 导师签名： 日期： 年 月 日 摘 要 摘 要 随着计算机技术和互联网技术的不断发展，个人电脑和信息化办公越来越普 及。但是与此同时，涉及到计算机的违法犯罪行为越来越多。在这种背景下，近 年来计算机取证技术作为一种新型取证技术取得了巨大的发展。它是一门融合了 计算机技术和法学的数字取证学科，它主要研究如何科学合法的从计算机及其外 设中获取到有效的、可被法院采纳的计算机证据。 本文依据实际项目需 求，在前人研究的基 础上 ，研究并设计了 一种面向 Windows 的计算机取证系统，并实现了数据分析取证子系统，重点阐述了子系统 中的三个关键技术。论文主要内容包括： 首先，从计算机取证的研究现状和发展趋势角度出发，分析了国内外计算机 取证研究的成果和差异。其次介绍了计算机取证的定义，总结了计算机取证的原 则、基本步骤以及基本框架。然后依据实际需要，参照已有的研究现状，提出一 种面向 Windows 的计算机取证系统总体框架，设计了数据分析取证子系统, 并对 相关功能模块进行概要说明。接着对本系统中的三个关键技术：快速文件内容搜 索技术、系统多维度痕迹提取技术、基于文件存储格式特征匹配的深度痕迹提取 技术进行了详细阐述。最后，对原型系统中的三个关键技术模块进行了详细的测 试与分析。 本文的主要贡献在于： 1. 设计并实现了一种高效的文件内容快速搜索方法，支持 TXT、PDF、Office 03 系列、Office 07 系列等文件类型以及常见图片文件。 2. 针对操作系统、浏览器的不断发展，完成注册表痕迹提取技术对 Windows 64 位系统的兼容；设计并实现了常见浏览器（Chrome、Firefox）的上网痕 迹提取方法；针对 Windows 7 出现的新的系统痕迹—跳转列表文件记录提 出新的提取方法。 3. 通过对 Hive 文件、Index.dat 文件存储格式的逆向与研究，提出 Index.dat 上网痕迹和 USB 设备使用痕迹的特征匹配方式，实现了一种快速的基于特 征匹配的痕迹深度提取方法，提高了系统痕迹深度提取的速度。 本文研究并实现的计算机取证的三个关键技术性能良好，对已有的取证技术 进行了一定的改进，并对新出现的取证问题，提出了解决方法。对面向 Windows 摘 要 的计算机取证技术的发展有一定的推动作用。 关键词：计算机取证、内容搜索、模式匹配、跳转列表、深度提取 II ABSTRACT ABSTRACT With the rapid development of computer technology and Internet technology, personal computers and information technology office have become more and more popular. But at the same time, more and more criminals related to