- 1、本文档共14页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
?
?
面向取证应用的PC版微信的内存分析方法
?
?
李 威 廖 健 曾剑平
1(浙江中烟工业有限责任公司信息中心 浙江 杭州 310001) 2(复旦大学计算机科学技术学院 上海 200433)
0 引 言
微信作为一款免费即时通信软件,因其方便快捷的特性,迅速成为了人们沟通交流所普遍使用的工具。微信的崛起是一把双刃剑,在给公众带来便利的同时,也让不法分子有了可乘之机。由于微信本身是一个信息传递平台,并且拥有数量庞大的非实名制用户群体,在鱼龙混杂的用户环境下,利用微信进行的犯罪活动日益猖獗。微信犯罪已经成为了一种新的犯罪形式,正在不断引起社会的广泛关注,而许多微信犯罪案件的侦破工作都需要相应的取证分析技术,所以对微信信息的分析技术的研究就有了重大意义[1]。
不法分子在作案时经常出现的情况是通过微信聊天对受害者进行诱导或是诈骗。通常情况下,不法分子会具备一定的反侦查能力,会下意识的减少或是掩盖自己的犯罪证据。因此在此类案件中经常会发生的情况是不法分子在发送完一些证据信息之后狡猾地选择撤回这些消息,从而干扰警方的取证工作。
由于微信应用本身没有提供还原撤回信息的功能,消息一经撤回就难以还原,而目前微信取证分析技术领域对于怎样还原这些具有证明案件事实能力的信息也没有系统的方法。因此,本文针对PC版微信软件,进行了内存结构分析,特别对文本、表情等信息撤回的特征进行了分析,给出了一种分析方法和流程。
1 研究现状
在计算机取证技术的研究方向中,有两个研究方向占据了主要地位,一个是磁盘取证,一个是内存取证[2]。其中磁盘取证是早年使用得很多的一种取证手段,但由于目前磁盘容量扩大,磁盘加密等技术的风行,从磁盘中提取证据在某些情况下就变得更加困难了,因此,现阶段内存取证也成为计算机取证技术的一种重要手段。
内存证据分析技术也分为两部分,其一是内存数据获取,研究怎样从计算机上获得完整的内存数据,实现方法主要是通过收集内存镜像;其二是内存分析,研究怎样对获取的内存进行分析,从而提取相关的数据[2]。
目前主流的内存分析方法共有4种,分别为:字符串搜索法、内存扫描法、基于数据结构特征法、基于操作系统关键数据结构法[3]。字符串搜索法是指在内存中对已知的敏感信息进行搜索,例如“银行账户”、“密码”等词汇,锁定内存中的证据内容。但是,基于字符串搜索的方法所得到的结果准确度得不到保证,因为没有其他搜索条件的辅助存在,只要包括搜索内容的字段都会作为结果返回,导致的问题就是搜索结果过于粗糙。基于数据结构特征法是指通过数据结构或者已知字段的一些特征,对内存进行扫描。由于在这种方法中会使用一系列的语言对特征进行精确描述,所以分析结果准确性较高,但相应的问题是,这种方法依赖于特征的存在,所以应用范围较为狭窄。基于操作系统关键数据结构法是指一种通过分析操作系统的关键数据结构来帮助取证的方法,由于操作系统中包含有很多关键数据结构,所以基于关键数据结构进行分析的方法就有很多种,通常对取证工作帮助最大的进程结构是EPROCESS[7-8]。
微信作为一种使用范围非常广泛的综合性工具,系统中的许多数据成为取证的重点,因此微信取证技术得到了越来越多的研究。
吴熙曦等[4]在基于KNN的Android智能手机微信取证方法中,提出了一种在大量微信聊天记录中快速锁定与案件有关内容的方法。他们利用同义词林计算微信聊天信息中的词语相似度,从中筛选最佳特征词,再通过向量表示会话,利用KNN算法对会话进行分类,从而实现较快速地从大量聊天会话内容中找到与案件相关的内容,提高微信取证的效率。汤帅等[5]提出了一种基于iOS平台进行微信取证的方法,利用iTunes对iPhone/iPad的备份文件进行提取,在备份文件中,可以还原出微信程序的信息文件,从而进行微信取证工作。马梦笔[6]在2015年对iOS平台下微信删除恢复的原理进行了研究及技术试验,针对基于iOS系统的取证研究工作,文中给出了恢复微信删除信息的若干种途径,所采用的方法与汤帅等的想法略同,也是通过取得iPad的备份文件,并通过越狱手段获得对备份文件的读写权限展开。王伟兵等[9]针对Android系统手机,对加密和解密进行了研究,提出了一系列新的取证方法,对存储在本地的加密信息提取微信中的通话记录和其他相关信息。姜华岩[10]对Android系统中SQLite数据进行了提取, 对百度地图、滴滴打车和携程三个应用程序的数据提取进行实验,发现最终得出的结果可以很好地提供嫌疑人的活动信息,为警方侦破案件提供很大便利。常亚翠[11]对Android中的SQLite数据库进行了解密分析,提出了一种Android手机远程数据提取的方法,实现Android手机未root时和root后两种情况下的数据获取。陈廷明[12]设计了一种And
您可能关注的文档
- 青藏高原草地存在价值研究-以玛曲为例.docx
- 青藏高原春季感热异常对中国北方雨季降水影响的数值研究.docx
- 青铜文化的传承-中国古代青铜器饕餮纹饰研究.docx
- 青金橘格瓦斯的加工工艺研究.docx
- 青龙古镇品牌文化提升策略研究.docx
- 靖边县农村土地整治项目与美丽乡村建设耦合关系研究.docx
- 静压桩贯入特性对比试验研究.docx
- 静力触探法检测水泥搅拌桩损伤机理研究.docx
- 静电屏蔽效应的理论与模拟研究.docx
- 静电场作用下煤体瓦斯解吸实验研究.docx
- 第十一章 电流和电路专题特训二 实物图与电路图的互画 教学设计 2024-2025学年鲁科版物理九年级上册.docx
- 人教版七年级上册信息技术6.3加工音频素材 教学设计.docx
- 5.1自然地理环境的整体性 说课教案 (1).docx
- 4.1 夯实法治基础 教学设计-2023-2024学年统编版九年级道德与法治上册.docx
- 3.1 光的色彩 颜色 电子教案 2023-2024学年苏科版为了八年级上学期.docx
- 小学体育与健康 四年级下册健康教育 教案.docx
- 2024-2025学年初中数学九年级下册北京课改版(2024)教学设计合集.docx
- 2024-2025学年初中科学七年级下册浙教版(2024)教学设计合集.docx
- 2024-2025学年小学信息技术(信息科技)六年级下册浙摄影版(2013)教学设计合集.docx
- 2024-2025学年小学美术二年级下册人美版(常锐伦、欧京海)教学设计合集.docx
最近下载
- 17J008 挡土墙(重力式、衡重式、悬臂式)(最新).pdf
- 造血干细胞移植的护理干预.pptx
- 布料车岗位安全规程.pptx
- YDT 5178-2017 通信管道人孔和手孔图集.docx VIP
- 精品解析:【区级联考】上海徐汇区2019届九年级学习能力诊断(二模)数学试题(解析版).pdf VIP
- 精品解析:广东省佛山市南海区,三水区2022-2023学年九年级上学期数学期末考试(原卷版).pdf VIP
- 一种护筒导向架结构.pdf VIP
- 老旧小区雨污分流改造要点与难点分析.docx VIP
- 鞍钢宪法及后福特主义.pdf
- 精品解析:广东省广州市2022-2023学年九年级上学期期末数学考前模拟试题(三)(解析版).pdf VIP
文档评论(0)