發(fā)布時(shí)間：2018-01-04 02:30

  本文關(guān)鍵詞：基于虛擬化技術(shù)的在線取證系統(tǒng)　出處：《上海交通大學(xué)》2014年碩士論文　論文類型：學(xué)位論文

  更多相關(guān)文章： 虛擬化 在線取證 系統(tǒng)設(shè)計(jì)

【摘要】：隨著計(jì)算機(jī)科學(xué)與技術(shù)的飛速發(fā)展，無(wú)形之中也滋生了驚人規(guī)模的計(jì)算機(jī)犯罪活動(dòng)，這些計(jì)算機(jī)犯罪活動(dòng)每年都會(huì)給全世界帶來(lái)巨大的經(jīng)濟(jì)損失。電子證據(jù)的獲取是偵破計(jì)算機(jī)犯罪活動(dòng)的關(guān)鍵，所以近年來(lái)計(jì)算機(jī)取證領(lǐng)域已經(jīng)成為科研工作者們重點(diǎn)關(guān)注的熱門領(lǐng)域。如何安全而有效地進(jìn)行計(jì)算機(jī)取證工作，是目前該領(lǐng)域亟需解決的問(wèn)題之一。 計(jì)算機(jī)取證的方式主要分為靜態(tài)取證和在線取證兩種方式。其中靜態(tài)取證側(cè)重于存儲(chǔ)在持久化硬件設(shè)備中的電子證據(jù)，獲取電子證據(jù)之前需要停止被取證計(jì)算機(jī)系統(tǒng)的運(yùn)行。而在線取證則突破了靜態(tài)取證的這一限制，并且把電子證據(jù)的采集范圍擴(kuò)大到了系統(tǒng)動(dòng)態(tài)信息。但是在線取證依然面臨著取證工具自身的安全性受到威脅和某些情況下需要中斷被取證計(jì)算機(jī)系統(tǒng)運(yùn)行的問(wèn)題。 本論文提出了基于硬件輔助虛擬化技術(shù)的VAIL在線取證系統(tǒng)，主要?jiǎng)?chuàng)新點(diǎn)有：1）提出了一種靜默安裝虛擬機(jī)監(jiān)視器的方法，取證系統(tǒng)載入過(guò)程中并不會(huì)影響到被取證計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。2）使用半穿透驅(qū)動(dòng)技術(shù)讓整個(gè)虛擬機(jī)監(jiān)視器的體積盡可能地小，降低了虛擬機(jī)監(jiān)視器本身出現(xiàn)安全漏洞的概率。3）取證內(nèi)容覆蓋了整個(gè)計(jì)算機(jī)系統(tǒng)的各項(xiàng)活動(dòng)，包括CPU取證、內(nèi)存取證和I/O取證。 其中CPU取證是利用Intel VT-x技術(shù)在發(fā)生虛擬機(jī)退出事件時(shí)把處理器相關(guān)寄存器的值都保存在VMCS結(jié)構(gòu)體中，內(nèi)存取證則是通過(guò)EPT頁(yè)異常處理函數(shù)實(shí)現(xiàn)，I/O取證又細(xì)分為編程式端口訪問(wèn)、內(nèi)存映射和直接內(nèi)存訪問(wèn)三種方式分別取證。 最后本文通過(guò)一系列的實(shí)驗(yàn)證明，VAIL系統(tǒng)確實(shí)能夠安全有效地針對(duì)被取證計(jì)算機(jī)系統(tǒng)的各項(xiàng)活動(dòng)進(jìn)行在線取證工作。性能測(cè)試方面的代價(jià)和原裸機(jī)環(huán)境相比非常小，在CPU密集型程序的測(cè)試當(dāng)中平均性能損耗為4.21%，網(wǎng)絡(luò)帶寬速率測(cè)試中的帶寬損失為0.29%～1.52%，，真實(shí)網(wǎng)絡(luò)應(yīng)用的吞吐量降低為0.22%。
[Abstract]:With the rapid development of computer science and technology, there is also an astonishing scale of computer crime. These computer criminal activities will bring huge economic losses to the world every year. The acquisition of electronic evidence is the key to detect computer criminal activities. So in recent years, the field of computer forensics has become a hot area that researchers focus on. How to carry out computer forensics safely and effectively is one of the problems that need to be solved in this field. The methods of computer forensics are mainly divided into static forensics and online forensics, in which static forensics focuses on electronic evidence stored in persistent hardware devices. It is necessary to stop the computer system before obtaining electronic evidence, and online forensics breaks through this limitation of static forensics. But online forensics still faces the problem that the security of the forensics tool itself is threatened and in some cases the computer system needs to be interrupted. Title. This paper presents a VAIL online forensics system based on hardware aided virtualization technology. The main innovation is: 1) A method of silently installing virtual machine monitor is proposed. Forensics system loading process will not affect the normal operation of the forensics computer system. 2) the use of semi-penetrating drive technology to make the entire virtual machine monitor as small as possible. It reduces the probability of security holes in the virtual machine monitor itself. 3) Forensics covers all activities of the whole computer system, including CPU forensics, memory forensics and I / O forensics. CPU forensics is the use of Intel VT-x technology in the virtual machine exit event when the processor related registers are stored in the VMCS structure. Memory forensics is realized by EPT page exception handling function. It is subdivided into programming port access, memory mapping and direct memory access respectively. Finally, this paper through a series of experiments to prove. The VAIL system can safely and effectively conduct online forensics against the various activities of the forensic computer system. The cost of performance testing is very small compared with the original bare metal environment. The average performance loss in the CPU intensive program test was 4.21, and the bandwidth loss in the network bandwidth rate test was 0.29%. The throughput of real network applications is reduced to 0.22.
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類號(hào)】：D918;TP391.9

【共引文獻(xiàn)】

相關(guān)期刊論文 前10條

1 葛敬國(guó);賀鵬;楊建華;張建華;;通用平臺(tái)虛擬路由器轉(zhuǎn)發(fā)性能測(cè)試與改進(jìn)[J];電子科技大學(xué)學(xué)報(bào);2014年01期

2 李文嬋;彭志平;;基于強(qiáng)化學(xué)習(xí)的虛擬機(jī)資源自動(dòng)配置[J];電子設(shè)計(jì)工程;2014年05期

3 楊啟帆;吳亞洲;蔣建民;張仕;;云計(jì)算中服務(wù)虛擬的形式依賴分析[J];福建師范大學(xué)學(xué)報(bào)(自然科學(xué)版);2015年02期

4 張龍;;一種高效的虛擬機(jī)磁盤快照系統(tǒng)[J];電腦編程技巧與維護(hù);2015年10期

5 吳一冰;;基于VMI的虛擬機(jī)攻擊防護(hù)機(jī)制研究[J];互聯(lián)網(wǎng)天地;2013年10期

6 孟凡超;張海洲;初佃輝;;基于蟻群優(yōu)化算法的云計(jì)算資源負(fù)載均衡研究[J];華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版);2013年S2期

7 李南;封衛(wèi)兵;張武;彭俊杰;;一種基于SR-IOV擴(kuò)展的VF分配模型[J];計(jì)算機(jī)應(yīng)用與軟件;2013年11期

8 張?jiān)㈣?張小芳;;x86服務(wù)器虛擬化平臺(tái)性能測(cè)試[J];計(jì)算機(jī)與現(xiàn)代化;2014年02期

9 季雨辰;伏曉;石進(jìn);駱斌;趙志宏;;計(jì)算機(jī)入侵取證中的入侵事件重構(gòu)技術(shù)研究[J];計(jì)算機(jī)工程;2014年01期

10 錢勤;董步云;唐哲;伏曉;茅兵;;面向Windows操作系統(tǒng)的內(nèi)存取證技術(shù)研究[J];計(jì)算機(jī)工程;2014年08期

相關(guān)會(huì)議論文 前1條

1 周宇光;陳振義;盛中華;;探索云計(jì)算技術(shù)在企業(yè)信息化建設(shè)中的應(yīng)用[A];第十六屆中國(guó)科協(xié)年會(huì)——分7綠色設(shè)計(jì)與制造信息技術(shù)創(chuàng)新論壇論文集[C];2014年

相關(guān)博士學(xué)位論文 前10條

1 李健;云計(jì)算環(huán)境下最小化運(yùn)營(yíng)開銷的調(diào)度技術(shù)研究[D];北京郵電大學(xué);2013年

2 張帆;認(rèn)知可重構(gòu)的高效能Web服務(wù)體系結(jié)構(gòu)研究[D];解放軍信息工程大學(xué);2013年

3 馮振乾;云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)帶寬隔離技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2012年

4 樊沛;虛擬計(jì)算環(huán)境中面向通信特征的應(yīng)用部署優(yōu)化技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2012年

5 王曉麗;云環(huán)境下節(jié)能優(yōu)化模型及算法研究[D];西安電子科技大學(xué);2014年

6 湯戰(zhàn)勇;大型游戲軟件虛擬執(zhí)行保護(hù)與攻擊評(píng)測(cè)研究[D];西北大學(xué);2014年

7 曹志波;基于日志的任務(wù)建模及調(diào)度優(yōu)化的研究[D];華南理工大學(xué);2014年

8 劉曉東;虛擬計(jì)算環(huán)境下性能可預(yù)測(cè)編程模型及其支撐技術(shù)研究[D];上海大學(xué);2014年

9 羅雅琴;視頻監(jiān)控分析云的高可用性研究[D];華中科技大學(xué);2013年

10 羅立群;綠色桌面云的關(guān)鍵技術(shù)研究[D];南京大學(xué);2012年

相關(guān)碩士學(xué)位論文 前10條

1 賈寶安;內(nèi)存取證技術(shù)的研究及應(yīng)用[D];電子科技大學(xué);2013年

2 吳向陽(yáng);虛擬化中計(jì)算性能優(yōu)化研究[D];蘭州交通大學(xué);2013年

3 禹聰;一種基于特權(quán)分離和時(shí)間鎖的虛擬機(jī)隔離機(jī)制研究[D];解放軍信息工程大學(xué);2013年

4 俞俊杰;基于虛擬化技術(shù)的區(qū)域衛(wèi)生信息共享平臺(tái)的研究[D];中國(guó)海洋大學(xué);2013年

5 李憲英;面向BIRIS-Cloud的資源管理框架的研究與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2013年

6 張海洲;基于利用率和負(fù)載均衡的云資源調(diào)度算法研究[D];哈爾濱工業(yè)大學(xué);2013年

7 馮剛;面向云計(jì)算平臺(tái)的虛擬機(jī)故障注入工具研究與設(shè)計(jì)[D];哈爾濱工業(yè)大學(xué);2013年

8 李洋;云計(jì)算中可擴(kuò)展的遠(yuǎn)程服務(wù)調(diào)用機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2012年

9 孔智鵬;虛擬云桌面云接入關(guān)鍵系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];中山大學(xué);2013年

10 程容斌;數(shù)據(jù)中心虛擬機(jī)帶寬控制技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2012年

本文編號(hào)：1376657