基于UEFI的Windows系統(tǒng)反刪除取證技術(shù)研究.pdf

1、在當今計算機安全形式日益嚴峻的情況下，計算機取證技術(shù)對于打擊計算機犯罪具有重要的作用和意義。計算機犯罪行為都會在計算機中留下歷史記錄，并存儲在文件系統(tǒng)中。這些歷史記錄將作為重要證據(jù)將犯罪人員繩之以法。狡猾的犯罪分子會不惜一切代價刪除這些記錄，掩蓋犯罪事實。然而計算機反刪除取證技術(shù)可以從刪除痕跡中提取有價值的證據(jù)信息，作為呈堂證供，起訴犯罪分子。
　　傳統(tǒng)的取證工具大多基于操作系統(tǒng)本身，然而運行中的操作系統(tǒng)會頻繁讀寫硬盤，有可能覆蓋

2、犯罪行為留下的痕跡。基于UEFI（Unified Extensible Firmware Interface，統(tǒng)一可擴展固件接口）的取證工具完全獨立于操作系統(tǒng)運行，不改寫硬盤的內(nèi)容，避免犯罪痕跡被二次覆蓋。因此，本文針對基于UEFI的取證工具進行了如下研究工作:
　　(1)設(shè)計基于UEFI取證工具的總體結(jié)構(gòu)，并描述了該取證工具的工作流程。其中GPT/NTFS分析模塊與取證模塊為該結(jié)構(gòu)的核心模塊。GPT/NTFS分析模塊拿到磁盤的控

3、制權(quán)，識別GPT分區(qū)格式以及NTFS文件系統(tǒng)，初始化NTFS系統(tǒng)的各項參數(shù)，并提供文件讀取、恢復(fù)以及刪除痕跡提取等接口給取證模塊使用。取證模塊位于該系統(tǒng)的業(yè)務(wù)層，根據(jù)取證的類型劃分為多個子模塊實現(xiàn)，其中，取證模塊中的反刪除取證子模塊的實現(xiàn)是本文重點研究內(nèi)容。
　　(2)提出文件反刪除取證技術(shù)的兩種實現(xiàn)方案，實現(xiàn)上述工具中的文件反刪除取證模塊。探討NTFS文件的刪除機制，得出文件刪除過程中NTFS的變化規(guī)律，提出了兩種文件反刪除取證

4、方案:遍歷空閑文件記錄（未分配文件記錄）方案以及索引分析方案。遍歷空閑文件記錄方案通過分析被刪除的文件記錄，提取有取證價值的信息，并恢復(fù)文件內(nèi)容。索引分析方案將文件記錄或索引緩沖區(qū)中的殘留數(shù)據(jù)劃分為多個殘留塊，并識別殘留塊中的殘留索引項，提取有取證價值的信息。并從提取的被刪文件數(shù)量與文件信息的完整度上對兩種方案進行了對比分析。最后通過實驗驗證上述方案的可行性。
　　(3)提出注冊表項值反刪除取證技術(shù)的兩種實現(xiàn)方案，實現(xiàn)上述工具中的

5、注冊表項值反刪除取證模塊。探討注冊表項值的刪除機制，得出注冊表項值刪除后注冊表文件內(nèi)部的變化規(guī)律，并提出注冊表項值反刪除取證的兩種方案，分別遍歷空閑記錄（未分配記錄）方案與父項分析方案。遍歷空閑記錄方案通過識別并分析被刪除的項記錄與值記錄以及它們的關(guān)聯(lián)記錄，提取被刪除的項值信息。父項分析方案在剖析項值刪除操作細節(jié)的基礎(chǔ)上，嘗試進行刪除操作的逆操作來提取被刪的項值信息。并從提取到的被刪項值的數(shù)量與信息的完整度上對兩種方案進行了對比分析。最