计算机取证磁盘镜像研究,存储介质的计算机取证技术研究

摘要：

本文针对日益严重的计算机犯罪,对基于存储介质的计算机取证技术的若干问题进行了研究,取得了以下几个方面的主要成果: (1)收集计算机取证研究领域各种资料,包括计算机取证在国外的发展,国内外计算机取证的发展现状,今后的发展趋势,现有取证工具的情况,并做出了总结分析,确定了计算机取证技术的体系结构,研究内容,研究方法和试验方案等; (2)依据以上研究成果,本文建立了一个基于存储介质的计算机取证系统,包括物理证据获取,数据恢复和信息发现三个主要部分,磁盘镜像,虚拟磁盘,磁盘数据恢复,光盘隐藏文件恢复,加密文件扫描和关键字搜索六大组成工具; (3)磁盘镜像工具实现了利用多线程技术对U盘,软盘,光盘及硬盘进行磁盘镜像,生成镜像文件,并可利用磁盘的MD5验证算法进行验证; (4)虚拟磁盘工具实现了对磁盘镜像文件进行虚拟挂载形成系统磁盘,并可设置虚拟磁盘的只读属性,避免取证过程中对磁盘误操作而造成的数据破坏; (5)数据恢复工具实现了对硬盘,软盘,U盘及其他常见存储设备的己删除文件恢复,并可以对NTFS文件格式进行分析和恢复,具有较高的恢复成功率; (6)加密文件扫描工具的关键技术实现了对计算机存储介质中保存的加密文件进行方便,快捷地探测,加密文件识别引擎的关键技术具有可扩展性,通过研究新加密文件类型的格式分析,可以不断扩展该引擎识别的文件类型; (7)关键字搜索工具的关键技术实现了对微软的office系列文件,金山WPS系列文件,pdf文件,txt文件,html文件,outlook的eml文件进行全文搜索,关键字搜索工具可以输出搜索结果为html或txt文件格式. 总之,本文的研究成果为进一步构建基于存储介质的计算机取证系统,完善计算机取证的工具体系具有一定的指导意义.

展开