Windows下计算机取证工具的研究与实现

摘要

计算机取证是电子取证研究中的一项非常重要的内容,也是当前国内电子取证研究中的核心内容。
　　本文针对Windows操作系统下的计算机取证问题,从取证途径、取证分析和抗反取证三个方面进行了深入研究,并在此基础上开发了一套专门的计算机取证工具。本文的研究工作如下:
　　针对Windows系统下的取证途径问题,本文首先分析了Windows操作系统的若干特性,并在此基础上给出了Windows系统中获取取证点的三个途径。然后解决在此基础上衍生出的权限限制问题和高权限限制下的秘密信息访问问题。
　　对于取证分析问题,本文着重分析了Webkit内核的代表Chrome浏览器,指出可以将反映待取证者的网络活动的信息加以搜集,并从文件系统上指出这些信息的组织方式,最终解决这些以SQLIte数据文件形式储存信息的解析问题。
　　在与反取证手段对抗方面,本文从文件系统的角度,提出了从文件系统的操作上解决反取证者的文件处理手段,进而分析Windows下常用的NTFS文件系统,解析各种处理手段对于文件系统的影响和应对方式。
　　最后,基于前述的研究工作,开发了一套取证软件,具有Windows下的完整取证功能,能够在一定程度上抗反取证手段,并生成可读性较高的检查报告,测试分析结果表明:该软件能够正常完成对于计算机的预期取证检查目标。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 论文研究背景和意义

1.2 国内外发展现状

1.3 论文的组织结构

第二章 Windows取证的研究

2.1 Windows取证概述

2.2 Windows的取证方法研究

2.3 取证信息的分析研究

2.4 文件系统的取证研究

第三章 Windows取证中的关键问题研究

3.1 Windows安全体系解析

3.2 SQLite数据库文件解析

3.3 NTFS文件系统解析

第四章 取证软件的设计与实现

4.1系统设计与实现

4.2 取证系统的测试和分析

第五章 总结与展望

5.1 总结

5.2 工作展望

致谢

参考文献

研究成果