基于磁盘的映像获取及取证分析技术研究

摘要

磁盘取证是计算机取证中一种重要的取证手段。然而，磁盘存储系统的大容量、文件组织结构复杂性以及文件类型的多样性为磁盘取证带来了映像存储难、痕迹分析难、证据提取难等新的取证挑战，要求取证过程具备高效率和准确性。为此本文针对磁盘数据环境下的磁盘映像获取、痕迹分析以及证据提取等问题进行深入研究，主要工作如下：
　　1．设计了一种基于磁盘映像的新型证据存储容器。针对映像速率低的问题，首先设计了基于GPU的并行磁盘数据映像获取方法，有效的利用目标计算机资源完成取证映像；其次，针对映像类型多、映像分析难等问题，通过分析典型的AFF等证据容器，设计了基于AFF的证据转换算法，具有较好的转换效率；最后，鉴于磁盘证据数据量大、数目多以及现有证据容器存在信息泄露等问题，设计了新型数字证据存储容器，利用证据索引目录存储多类型证据，理论上证明了该容器在加密状态下不泄露任何信息。实验表明，与当前典型取证工具相比，本文映像获取速度提高2-7MB，大容量证据的转换效率提高一个数量级。
　　2．提出了一种基于磁盘元数据的信息盗取行为取证分析方法。针对盗取痕迹发现难的问题，提出了基于k-low的数据盗取取证分析算法，实现了未知文件系统下盗取痕迹的快速检测。针对盗取取证检测难、开销大等问题，提出基于差分矩阵的数据盗取行为取证分析算法，能够完成盗取行为的自动判断。针对回收站内特定元数据，设计了一种基于回收站的删除行为取证分析方法，该方法有效地提取与盗取行为相关的删除文件，为盗取行为的确定提供支持。实验表明，本文方法能够将典型文件系统过去一个月内的拷贝行为有效地检测出来，时间开销是同比方法的60％。
　　3．提出了一种基于文件特征可视化的隐藏证据识别与提取方法。针对批量文件中隐藏文件取证检测难、耗时长的问题，本文提出了基于二级二维主成分分析（2-Dimension Double Principal Component Analysis，2DDPCA）的可视化隐藏文件类型识别算法，改进了原有可视化检测方法的不足，较好地实现了批量文件数据下隐藏证据的识别与提取，针对六种常用文件类型，平均达到78%以上的正确率。针对 SQL文件字节频率特征不明显、SQL文件片段重组困难的问题，提出了基于文件特征可视化的SQL数据库文件雕刻算法，有效地解决了数据库证据文件的恢复问题，能够达到60%以上的回复率。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究背景

1.2 研究内容

1.3 结构安排

第二章 基于磁盘的计算机取证技术研究现状综述

2.1 磁盘取证的相关概念

2.2 基于磁盘映像的数字证据存储技术

2.3 基于磁盘元数据的取证分析技术

2.4 基于文件数据的隐藏文件识别与提取技术

2.5 存在的问题及解决思路

2.6 小结

第三章 基于磁盘映像的新型数字证据存储容器

3.1 引言

3.2 基于GPU的并行磁盘数据映像获取方法

3.3 基于模型的数字证据快速转换算法

3.4 新型数字证据容器NDFC

3.5 小结

第四章 基于磁盘元数据的信息盗取行为取证分析方法

4.1 引言

4.2 术语定义

4.3 基于k-low的数据盗取抽样检测算法

4.4 基于差分矩阵的数据盗取行为取证分析算法

4.5 基于Windows回收站的异常文件发现

4.6 小结

第五章 基于文件特征可视化的隐藏证据识别与提取方法

5.1 引言

5.2 隐藏文件类型检测方案

5.3 基于2DDPCA的隐藏文件类型识别算法

5.4 基于文件特征可视化的SQL mdf文件雕刻算法

5.5 小节

第六章 论文总结与展望

6.1 本文总结

6.2 有待进一步研究的问题

致谢

参考文献

作者简历