基于UEFI的Windows系统反删除取证技术研究

摘要

在当今计算机安全形式日益严峻的情况下，计算机取证技术对于打击计算机犯罪具有重要的作用和意义。计算机犯罪行为都会在计算机中留下历史记录，并存储在文件系统中。这些历史记录将作为重要证据将犯罪人员绳之以法。狡猾的犯罪分子会不惜一切代价删除这些记录，掩盖犯罪事实。然而计算机反删除取证技术可以从删除痕迹中提取有价值的证据信息，作为呈堂证供，起诉犯罪分子。
　　传统的取证工具大多基于操作系统本身，然而运行中的操作系统会频繁读写硬盘，有可能覆盖犯罪行为留下的痕迹。基于UEFI（Unified Extensible Firmware Interface，统一可扩展固件接口）的取证工具完全独立于操作系统运行，不改写硬盘的内容，避免犯罪痕迹被二次覆盖。因此，本文针对基于UEFI的取证工具进行了如下研究工作:
　　(1)设计基于UEFI取证工具的总体结构，并描述了该取证工具的工作流程。其中GPT/NTFS分析模块与取证模块为该结构的核心模块。GPT/NTFS分析模块拿到磁盘的控制权，识别GPT分区格式以及NTFS文件系统，初始化NTFS系统的各项参数，并提供文件读取、恢复以及删除痕迹提取等接口给取证模块使用。取证模块位于该系统的业务层，根据取证的类型划分为多个子模块实现，其中，取证模块中的反删除取证子模块的实现是本文重点研究内容。
　　(2)提出文件反删除取证技术的两种实现方案，实现上述工具中的文件反删除取证模块。探讨NTFS文件的删除机制，得出文件删除过程中NTFS的变化规律，提出了两种文件反删除取证方案:遍历空闲文件记录（未分配文件记录）方案以及索引分析方案。遍历空闲文件记录方案通过分析被删除的文件记录，提取有取证价值的信息，并恢复文件内容。索引分析方案将文件记录或索引缓冲区中的残留数据划分为多个残留块，并识别残留块中的残留索引项，提取有取证价值的信息。并从提取的被删文件数量与文件信息的完整度上对两种方案进行了对比分析。最后通过实验验证上述方案的可行性。
　　(3)提出注册表项值反删除取证技术的两种实现方案，实现上述工具中的注册表项值反删除取证模块。探讨注册表项值的删除机制，得出注册表项值删除后注册表文件内部的变化规律，并提出注册表项值反删除取证的两种方案，分别遍历空闲记录（未分配记录）方案与父项分析方案。遍历空闲记录方案通过识别并分析被删除的项记录与值记录以及它们的关联记录，提取被删除的项值信息。父项分析方案在剖析项值删除操作细节的基础上，尝试进行删除操作的逆操作来提取被删的项值信息。并从提取到的被删项值的数量与信息的完整度上对两种方案进行了对比分析。最后通过实验验证上述方案的可行性。

目录

摘要

第一章 绪论

1．1 研究背景

1．2 课题研究意义

1．2．1 反删除取证的意义

1．2．2 反删除取证技术与数据恢复技术的关系

1．2．3 UEFI在计算机取证中的优势

1．3 国内外研究现状

1．4 论文主要工作

1．5 论文组织结构

第二章 相关技术介绍

2．1 UEFI架构概述

2．1．1 UEFI系统组成

2．1．2 UEFI Protocol

2．1．3 UEFI系统表

2．2 GPT分区格式及NTFS结构

2．2．1 GPT分区格式介绍

2．2．2 NTFS文件系统结构总览

2．2．3 NTFS文件记录结构

2．2．4 B+树索引结构

2．2．5 文件内容定位

2．3 注册表文件结构解析

2．3．1 注册表文件逻辑结构

2．3．2 注册表文件内部结构

2．4 本章小结

第三章 基于UEFI的取证工具结构设计

3．1 计算机取证一般过程

3．2 取证工具总体结构

3．3 GPT／NTFS分析模块

3．3．1 识别GPT磁盘并定位NTFS

3．3．2 分析NTFS并提供接口

3．4 取证模块

3．5 取证工具的运行流程

3．6 本章小结

第四章 文件反删除取证研究

4．1 文件删除机制

4．2 基于空闲文件记录的文件反删除取证方案

4．2．1 文件记录预处理模块

4．2．2 信息提取模块

4．3 基于索引的文件反删除取证方案

4．3．1 索引项位于文件记录的情形

4．3．2 索引项位于叶节点索引缓冲区情形

4．3．3 索引项位于中间节点索引缓冲区情形

4．4 两种方案对比

4．5 实验验证

4．5．1 Index．dat文件介绍

4．5．2 试验环境

4．5．3 使用基于UEFI的取证工具进行文件反删除取证

4．5．4 实验总结

4．6 本章小结

第五章 注册表项值反删除取证研究

5．1 注册表项值的删除机制

5．1．1 值的删除对关联记录的影响

5．1．2 项的删除对关联记录的影响

5．1．3 空闲记录的合并规则

5．2 注册表项值反删除取证方案

5．2．1 遍历空闲记录方案

5．2．2 父项分析方案

5．2．3 两种方案对比

5．3 实验验证

5．3．1 实验环境

5．3．2 实验过程

5．3．3 实验总结

5．4 本章小结

总结与展望

参考文献

攻读学位期间发表的论文

声明

致谢

附录