基于键盘事件提取的计算机动态取证技术研究

摘要

由于计算机与网络的迅速普及,信息化社会已悄然向人们走来。人们在享受由计算机和网络带来快捷办公、便利沟通的同时,计算机犯罪的现象也日益突出。作为打击计算机、网络犯罪的计算机取证技术受到了越来越多的人的关注。计算机取证技术在寻找准确的、可靠的、具有法律效力的电子证据的问题上在不断地进步,俨然成为了研究热点。
　　 本文对信息安全的重要性、计算机犯罪研究现状进行描述,并给出计算机犯罪的发展趋势。通过研究当前计算机取证技术的相关知识,总结取证过程中已暴露出的问题,为以后的计算机取证工作提供便利。本文中对程序自启动方法的重新归类总结、并对比总结当前主流下载方式,对后续的研究有一定的帮助。通过深入学习常用的计算机取证模型,提出了以优化的法律执行过程模型为基础模型的动态取证模型,并根据该模型建立了以提取键盘事件为主要任务、以被取证端、证据服务器、取证端为研究对象的角色模型。动态主要体现在键盘事件产生到被获取的过程中。在键盘记录信息产生之前,将记录程序添加到被取证端,当有键盘事件产生之时,键盘记录从被取证端实时传输到证据服务器并在该端形成键盘信息记录表。课题中已经实现了取证端、被取证端及证据服务器间数据传递、计算机键盘事件信息的提取及文件的断点续传。本文中提出的基于键盘事件提取的计算机动态取证模型对指导获取其他计算机及网络事件有着积极意义。

目录

文摘

英文文摘

第一章 引言

1.1 研究背景

1.1.1 信息安全及其重要性

1.1.2 计算机犯罪现状及其发展趋势

1.1.3 取证技术及其研究历史与现状

1.2 研究内容与主要工作

1.3 论文的组织结构

第二章 相关理论及技术简介

2.1 取证基础理论

2.1.1 取证原则及步骤

2.1.2 技术对比与常用模型

2.1.3 取证技术暴露出的问题

2.2 面向连接服务

2.2.1 面向连接TCP

2.2.2 面向连接服务套接字

2.2.3 套接字工作流程

2.3 DLL基础

2.4 HOOK技术

第三章 基于键盘事件提取的计算机动态取证模型的设计

3.1 设计思路

3.2 取证模型的确立

3.2.1 基础模型的选择

3.2.2 使用技术的选择

3.2.3 确立取证模型

3.3 基于键盘事件提取的计算机动态取证模型

3.3.1 划分角色

3.3.2 角色模型

3.3.3 取证模型优化

3.4 取证流程

3.5 模块功能设计

3.6 本章小节

第四章 被取证模块功能实现

4.1 被取证模块功能

4.2 取证程序自动加载

4.2.1 已有方法总结

4.2.2 与注册表相关的自加载方式

4.2.3 自加载的实现

4.2.4 自加载实现代码

4.3 键盘记录获取

4.3.1 键盘事件提取过程

4.3.2 截获键盘消息

4.3.3 实现键盘事件提取

4.3.4 存放键盘事件

4.4 本章小结

第五章 取证端和证据服务器模块的实现

5.1 功能模块图

5.2 证据服务器端功能

5.2.1 文件格式化

5.2.2 格式化过程

5.2.3 键盘记录实例

5.2.4 文件下载服务

5.2.5 断点定位

5.2.6 断点实现

5.3 取证端功能

5.3.1 文件下载过程

5.3.2 文件生成

5.4 本章小结

第六章 总结与展望

6.1 全文总结

6.2 下一步工作

参考文献

附录 计算机取证技术专有名词英文缩写

致谢