摘要
第一章 绪论
1.1 研究背景
1.2 课题研究意义
1.2.1 反删除取证的意义
1.2.2 反删除取证技术与数据恢复技术的关系
1.2.3 UEFI在计算机取证中的优势
1.3 国内外研究现状
1.4 论文主要工作
1.5 论文组织结构
第二章 相关技术介绍
2.1 UEFI架构概述
2.1.1 UEFI系统组成
2.1.2 UEFI Protocol
2.1.3 UEFI系统表
2.2 GPT分区格式及NTFS结构
2.2.1 GPT分区格式介绍
2.2.2 NTFS文件系统结构总览
2.2.3 NTFS文件记录结构
2.2.4 B+树索引结构
2.2.5 文件内容定位
2.3 注册表文件结构解析
2.3.1 注册表文件逻辑结构
2.3.2 注册表文件内部结构
2.4 本章小结
第三章 基于UEFI的取证工具结构设计
3.1 计算机取证一般过程
3.2 取证工具总体结构
3.3 GPT/NTFS分析模块
3.3.1 识别GPT磁盘并定位NTFS
3.3.2 分析NTFS并提供接口
3.4 取证模块
3.5 取证工具的运行流程
3.6 本章小结
第四章 文件反删除取证研究
4.1 文件删除机制
4.2 基于空闲文件记录的文件反删除取证方案
4.2.1 文件记录预处理模块
4.2.2 信息提取模块
4.3 基于索引的文件反删除取证方案
4.3.1 索引项位于文件记录的情形
4.3.2 索引项位于叶节点索引缓冲区情形
4.3.3 索引项位于中间节点索引缓冲区情形
4.4 两种方案对比
4.5 实验验证
4.5.1 Index.dat文件介绍
4.5.2 试验环境
4.5.3 使用基于UEFI的取证工具进行文件反删除取证
4.5.4 实验总结
4.6 本章小结
第五章 注册表项值反删除取证研究
5.1 注册表项值的删除机制
5.1.1 值的删除对关联记录的影响
5.1.2 项的删除对关联记录的影响
5.1.3 空闲记录的合并规则
5.2 注册表项值反删除取证方案
5.2.1 遍历空闲记录方案
5.2.2 父项分析方案
5.2.3 两种方案对比
5.3 实验验证
5.3.1 实验环境
5.3.2 实验过程
5.3.3 实验总结
5.4 本章小结
总结与展望
参考文献
攻读学位期间发表的论文
声明
致谢
附录
广东工业大学;