基于磁盤(pán)的映像獲取及取證分析技術(shù)研究.pdf

1、磁盤(pán)取證是計(jì)算機(jī)取證中一種重要的取證手段。然而，磁盤(pán)存儲(chǔ)系統(tǒng)的大容量、文件組織結(jié)構(gòu)復(fù)雜性以及文件類型的多樣性為磁盤(pán)取證帶來(lái)了映像存儲(chǔ)難、痕跡分析難、證據(jù)提取難等新的取證挑戰(zhàn)，要求取證過(guò)程具備高效率和準(zhǔn)確性。為此本文針對(duì)磁盤(pán)數(shù)據(jù)環(huán)境下的磁盤(pán)映像獲取、痕跡分析以及證據(jù)提取等問(wèn)題進(jìn)行深入研究，主要工作如下：
　　1．設(shè)計(jì)了一種基于磁盤(pán)映像的新型證據(jù)存儲(chǔ)容器。針對(duì)映像速率低的問(wèn)題，首先設(shè)計(jì)了基于GPU的并行磁盤(pán)數(shù)據(jù)映像獲取方法，有效的利用

2、目標(biāo)計(jì)算機(jī)資源完成取證映像；其次，針對(duì)映像類型多、映像分析難等問(wèn)題，通過(guò)分析典型的AFF等證據(jù)容器，設(shè)計(jì)了基于AFF的證據(jù)轉(zhuǎn)換算法，具有較好的轉(zhuǎn)換效率；最后，鑒于磁盤(pán)證據(jù)數(shù)據(jù)量大、數(shù)目多以及現(xiàn)有證據(jù)容器存在信息泄露等問(wèn)題，設(shè)計(jì)了新型數(shù)字證據(jù)存儲(chǔ)容器，利用證據(jù)索引目錄存儲(chǔ)多類型證據(jù)，理論上證明了該容器在加密狀態(tài)下不泄露任何信息。實(shí)驗(yàn)表明，與當(dāng)前典型取證工具相比，本文映像獲取速度提高2-7MB，大容量證據(jù)的轉(zhuǎn)換效率提高一個(gè)數(shù)量級(jí)。
　

3、　2．提出了一種基于磁盤(pán)元數(shù)據(jù)的信息盜取行為取證分析方法。針對(duì)盜取痕跡發(fā)現(xiàn)難的問(wèn)題，提出了基于k-low的數(shù)據(jù)盜取取證分析算法，實(shí)現(xiàn)了未知文件系統(tǒng)下盜取痕跡的快速檢測(cè)。針對(duì)盜取取證檢測(cè)難、開(kāi)銷大等問(wèn)題，提出基于差分矩陣的數(shù)據(jù)盜取行為取證分析算法，能夠完成盜取行為的自動(dòng)判斷。針對(duì)回收站內(nèi)特定元數(shù)據(jù)，設(shè)計(jì)了一種基于回收站的刪除行為取證分析方法，該方法有效地提取與盜取行為相關(guān)的刪除文件，為盜取行為的確定提供支持。實(shí)驗(yàn)表明，本文方法能夠?qū)⒌湫臀?/p>

4、件系統(tǒng)過(guò)去一個(gè)月內(nèi)的拷貝行為有效地檢測(cè)出來(lái)，時(shí)間開(kāi)銷是同比方法的60％。
　　3．提出了一種基于文件特征可視化的隱藏證據(jù)識(shí)別與提取方法。針對(duì)批量文件中隱藏文件取證檢測(cè)難、耗時(shí)長(zhǎng)的問(wèn)題，本文提出了基于二級(jí)二維主成分分析（2-Dimension Double Principal Component Analysis，2DDPCA）的可視化隱藏文件類型識(shí)別算法，改進(jìn)了原有可視化檢測(cè)方法的不足，較好地實(shí)現(xiàn)了批量文件數(shù)據(jù)下隱藏證據(jù)的識(shí)別與提