欢迎来到天天文库
浏览记录
ID:50116966
大小:10.94 MB
页数:82页
时间:2020-03-05
《基于硬件虚拟化的轻量级内存实时取证技术研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、/>觀i,....f酱运遵.蒙酸方琴-麵嶺?壽pu巧.捉愛難r';省'U^紀.句苗?嶋鶏'讀V.^燃..:.毒鮮榮V.:一?‘;?%苗誦:嚷:愛讀.试谋n私教.合.《洋度^^、§-壽竹惊、:氣I芯、義旅.起鐵寿.ft餐.资為京^建;.寥,寫、'S.6某.替?研究生生毕J业论文s:占.节1薦,舞言巧貼韓討祝±靴).I':'祭:.義義>|'‘蒂'巧;‘:...!‘.r;蟲.r-‘;心,:..;心,'.私3J0t,,;产.%.,作.腳.驚一,'V'釘剛的'.论目‘\%賴^酣辕品林雜,I..作名程I;沫:学剖I称计飾科料诚S软做八r、研向惟練
2、一隸:,.,指师/如職教"’.记,',Y:-T知:V讀;f.>.%楚\/,.後巧rV.藻成,;巧邊.參誓媒難*籌游巧1疑.一卽資W此.篡-;/.晕於':、..-;.';誦..藝囊别;-:擎:vg姑;H?.:;^或知转:鱗寮找;'、雲;議0;禱^^.^,^;c舞.早r专載f群擊?.#薦rK\P讀f巧K細総折1学号MG1232001:论文答辩日期:2015年05月28日指导教师:喉^(签字)基于硬件虚勸化的轻量级内存实时取证技术研究作者:程盈也指导教师:骆斌搬
3、南京大学研巧生毕业论文古学位冲请工学硕)南京大学软件学院2015年05月TheResearchoflightweightmemory-liveforensicaproachesbasedonphardwarevirtu泣lizatioiiCheng,YingxinSubmittedinartialfulfillmentoftherequirementsforthepdegreeofMasterofEnineeringgSuervisedbpyProssorLuoBm色,Software
4、InstituteNANJINGUNIVERSITYNaninChinajg,Ma102015y,南京大学硕±论文摘要摘要随着计算机技术的普及和高速发展,针对计算机的攻击行为也日益频繁,由于商业个人信息的电子化和相关法律的不断完善,其攻击目的也从单纯的破坏行为转为更加隐蔽的信息窃取和资源控制。攻击者倾向于获取珍贵的个人隐私和商业机密,或控制目标机器来实现更大规模的网络攻击,同时设法逃离法律的制裁,这导致了隐藏技术的普及,让罪犯得W延长对目标机器的入侵时间获得最大的利益。为了将犯罪者绳之法,现有的内存取证技术往往需要事先获取目标电
5、脑的内存镜像,并对镜像进行分析来得到证据。这种事后取证的方法不但费时费力,而且往往获取不到完整的证据。直接对目标机器进行证据获取能较好地解决问题一,但是现有的技术和方法大多与攻击者处于同个权限级别,极容易被侦测和防范。虽然已有基于虚拟化的方法,但其主要用于对已,导致获得不可信的证据获取的样本进行分析,无法直接对目标系统进行取证,灵活度显然不够。一本文提出了个基于硬件虚拟化的轻量化内存实时取证框架,其原理是在运行时动态迁移目标操作系绕至虚掛机中,无需停机时间,即可使用虚拟机监视器对目标操作系统进行取证。本文基于取证框架还提出了两种取证技术,其目的分别唐
6、1)获得准确而有效的内存数据,即在目标系统内外两个视角进行联合取一证2)对进程行为进行分析,即使用了。;种半同步式的监视方法所有实现完全基于硬件虚拟化事件,无需修改任何操作系统代码和数据,在使用后也能够完全巧载。这在保护了犯罪现场的同时,也保证了目标系统的持续可用性。为了防止取证过程被攻击者发现和干扰,操作系统的内存空间被完全隔离,并通过加密的控制接口和数据访问接口实现透明的命令控制和证据获取。通过两个具体的取证实验,我们证明了使用该技术的取证方法能够在最新的64位多核操作系统中获得可信和完整的证据。,同时具有优秀的性能和极低的内存占用关巧朔:证据、实时
7、迂移、内存取证框架、数据分析、行为分析、硬件虚拟化I南京大学硕:b论文abs怕ctAbstractWiththepopularizationandrapiddevelopmentofcomputingt:echnoIogy,private-ttimformaionandbusinesssecresaredigitalized.Cyberattacksarespreadingandbeco
此文档下载收益归作者所有