返回
Windows系统中入侵证据获取方法研究.pdf

Windows系统中入侵证据获取方法研究.pdf

ID:56182647

大小:738.10 KB

页数:3页

时间:2020-06-04

Windows系统中入侵证据获取方法研究.pdf_第1页
Windows系统中入侵证据获取方法研究.pdf_第2页
Windows系统中入侵证据获取方法研究.pdf_第3页
资源描述:

《Windows系统中入侵证据获取方法研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、2011年4月15日现代电子技术Apr.2011第34卷第8期ModernElectronicsTechniqueVol.34No.8Windows系统中入侵证据获取方法研究邹海荣(陕西理工学院计算机与科学技术系,陕西汉中723000)摘要:为了解决Windows系统中计算机取证困难的问题,有效实施打击与遏制计算机犯罪快速发展。分析并研究了如何从Windows系统的文件系统、日志文件和注册表获取系统中入侵计算机证据的方法。该方案保障了计算机证据的客观、真实与可靠性,并保证了计算机证据收集的合法性。通过解决系统中计算机取证存在的问题,得到提高打击计算机犯罪、保障计算机系统信息安全的作用。关键

2、词:Windows系统;文件系统;日志文件;注册表中图分类号:TN91934;TP309.2文献标识码:A文章编号:1004373X(2011)08002303AcquisitionMethodoftheInvasionofEvidenceinWindowsSystemZOUHairong(DepartmentofComputerScienceandTechnology,ShaanxiInstituteofTechnology,Hanzhong723000,China)Abstract:Tosolveproblemsofthatitisdifficulttoacq

3、uiretheinvasionofevidenceandrestraincrimeforcomputersinWindowssystem,themethodsofacquiringtheinvasionofevidencefromfilesystem,logfilesandregistryofWindowssystem.Theschemeprotectsanobjective,trueandreliableevidenceofcomputers,andensuresthelegitimacyofthecomputerevidencecollection.Theinformationsecur

4、ityofcomputersystemisguaranteedthroughsolvingproblemsexistedincomputerevidencecollection.Keywords:Windowssystem;filesystem;logfiles;registry随着计算机技术的飞速发展,计算机犯罪的类型和1.2内容手段日益复杂化,计算机系统的安全性问题也变得比以构成实际文件的数据,文件系统中大部分的数据都前更加严峻。如何最大限度地获取计算机犯罪的相关属于该范畴。证据,实施对计算机犯罪进行有效打击,已成为信息安1.3元数据全领域的一个新的研究热点,解决这一问题的有效途径

5、包含描述文件信息的数据,例如文件的存储位置、[1]正是计算机取证技术。Windows系统是目前最常用文件的大小、文件的读写时间和访问控制等。其中要注的操作系统,因此研究Windows系统中的计算机取证意的是文件名和文件内容并不属于该范畴。FAT的目[3]方法具有非常重要的现实意义。下面分析如何从Win录项和NTFS的主文件表(MFT)应该属于该范畴。dows系统的文件系统、日志文件和注册表获取Win1.4文件名分类dows系统中证据的方法。在大多数文件系统中这些数据被定位到文件目录,并且和源数据的地址对应。1文件系统1.5应用分类一般来说,对于普通文件,通过简单的查找搜索就这些数据将

6、用来提供特殊的功能(例如该范围的数[2]能得到,但是,并不是所有的文件信息都在文件系统据可以包括用户配额统计和文件系统日志),这些数据的管理下,因此,对文件系统的取证重点应该放在获取在调查时非常有用。文件系统的内部数据和没有分配到任何文件的数据。2日志文件可以从以下5个方面考虑对文件系统进行分析取证:1.1文件系统类型日志文件作为微软Windows系列操作系统中一个[4]所有文件系统都有一个总体的结构,但是每个文件比较特殊的文件,在安全方面具有无可替代的价值。系统的文件结构又都不相同,通过文件系统中的数据可日志文件分析是系统安全检测的重要内容,同时日志文以确定文件结构和数据单元的大小。件也

7、是计算机取证的重要依据。2.13个相互独立的日志文件收稿日期:20101108Windows操作系统通常维护3个相互独立的日志24现代电子技术2011年第34卷文件,如:系统日志、应用程序日志、安全日志,同时还有序日志、安全日志和系统日志来源将记录分成3类。对DNS服务器日志、防火墙日志、HID日志、NID日志、于入侵系统的取证,调查人员经常检查系统用户的账[5]FTP日志及WWW日志等(以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。