Windows系统内存取证研究及实现

摘要

计算机取证是指以计算机系统作为取证对象,运用先进的证据获取和分析技术,搜寻、确认罪犯和犯罪证据,并据此提起法律诉讼。伴随着反取证技术、黑客技术的发展,计算机犯罪变得更加专业并具有针对性,严重危害了我国的国家安全、经济发展和社会稳定。作为一种打击计算机犯罪的有效手段,计算机取证技术日益受到各国科研机构的重视。
　　 本文将在详细分析两类计算机取证技术的优缺点的基础上,讨论目前大型信息系统中面对紧急安全事件常常做出怎样的反应,传统的应急响应策略存在怎样的风险。为解决这一系列问题,论文中提出了一种主动局部内存取证方法和一个基于应急响应框架的面向信息系统的Windows系统内存取证模型,通过取证检测模块主动发现犯罪行为,并指导证据采集模块进行关键信息提取,经证据固化保存和基于XML的Windows系统内存取证分析方法对犯罪证据进行关联分析。在文章最后综合这些技术和模型设计了采用面向信息系统的Windows系统内存取证平台,并实现该平台的几个关键模块。