本文關鍵詞：面向內(nèi)存的Web郵件取證技術研究與系統(tǒng)實現(xiàn)

  更多相關文章： web郵件取證 物理內(nèi)存鏡像 內(nèi)存取證

【摘要】：計算機與網(wǎng)絡已融入到社會生產(chǎn)和個人生活的方方面面，極大地提高了生產(chǎn)效率和生活質(zhì)量，同時也帶來了一些傳統(tǒng)手段無法應對的新型犯罪活動。作為打擊這類犯罪的重要手段之一，計算機取證技術成為當前計算機界和法學界研究和關注的一個重點和熱點問題。本文主要研究了內(nèi)存web郵件取證技術，并實現(xiàn)了一個WinWebMail取證系統(tǒng)。 首先，提出了一種面向內(nèi)存的web郵件取證方法。在利用虛擬機技術獲取完整的內(nèi)存數(shù)據(jù)鏡像文件并進行預處理的基礎之上，提出了基于字符串匹配的郵件頭完整性判定與定位方法；憑借特定Web郵件的html框架特征進行郵件體的完整性判定與定位；并通過引入基于日期、Email地址和主題關鍵關鍵詞的郵件頭與郵件主體匹配算法進行的web郵件的恢復。提出的Web郵件恢復方法可以在不依賴于操作系統(tǒng)的內(nèi)核、進程和內(nèi)存的數(shù)據(jù)結構先驗知識的前提下，恢復內(nèi)存中的Web郵件。Windows Xp平臺上的實驗結果表明文中所提出的方法可行且具備較高的正確率。 其次，在windows平臺下設計并實現(xiàn)了一個WinWebMail取證系統(tǒng)。該系統(tǒng)設計為四個模塊：內(nèi)存鏡像獲取模塊、預處理模塊、恢復與分析模塊、結果顯示模塊。內(nèi)存鏡像獲取模塊采用內(nèi)核空間驅動程序獲取內(nèi)存數(shù)據(jù)；預處理模塊采用zlib庫來對鏡像文件的gzip數(shù)據(jù)進行解壓；恢復與分析模塊實現(xiàn)文中提出的算法，并將取證結果保存到數(shù)據(jù)庫；結果顯示模塊中負責將結果顯示給用戶。該系統(tǒng)能以較高的準確率恢復內(nèi)存鏡像中的web郵件信息，，并將恢復的郵件頭內(nèi)容、郵件主體內(nèi)容以及兩者的匹配度顯示給用戶。 綜上所述，本文以計算機內(nèi)存取證和分析技術為基礎，針對內(nèi)存中web郵件取證提出了一種取證方法，并在windows平臺下設計并實現(xiàn)一個web郵件取證系統(tǒng)。
【關鍵詞】：web郵件取證 物理內(nèi)存鏡像 內(nèi)存取證
【學位授予單位】：杭州電子科技大學
【學位級別】：碩士
【學位授予年份】：2013
【分類號】：D917;TP391.1
【目錄】：

• 摘要5-6
• ABSTRACT6-9
• 第一章 緒論9-14
• 1.1. 研究背景9-11
• 1.2. 國內(nèi)外研究現(xiàn)狀11-12
• 1.2.1. 國外研究與現(xiàn)狀11-12
• 1.2.2. 國內(nèi)研究與現(xiàn)狀12
• 1.3. 研究目的與意義12-13
• 1.4. 主要研究內(nèi)容與組織結構13-14
• 第二章 計算機內(nèi)存取證與分析技術研究14-24
• 2.1. 內(nèi)存數(shù)據(jù)的獲取14-17
• 2.1.1. 基于軟件的內(nèi)存數(shù)據(jù)獲取14-16
• 2.1.2. 基于硬件的內(nèi)存數(shù)據(jù)獲取16-17
• 2.1.3. 基于虛擬化的內(nèi)存數(shù)據(jù)獲取17
• 2.1.4. 基于冷啟動的內(nèi)存數(shù)據(jù)獲取17
• 2.2. 內(nèi)存數(shù)據(jù)的分析17-22
• 2.2.1. 進程信息分析17-18
• 2.2.2. 加密密鑰分析18-19
• 2.2.3. 系統(tǒng)注冊表分析19-20
• 2.2.4. 網(wǎng)絡信息分析20-21
• 2.2.5. 文件信息分析21-22
• 2.2.6. 系統(tǒng)狀態(tài)信息分析22
• 2.3. 內(nèi)存取證的操作標準22-23
• 2.4. 本章小結23-24
• 第三章 一種面向內(nèi)存的 Web 郵件取證方法24-43
• 3.1. 相關概念與定義24-25
• 3.2. 目前面臨的問題25-26
• 3.3. 取證方法26-32
• 3.3.1. 取證步驟26-27
• 3.3.2. 相關算法27-32
• 3.4. 數(shù)據(jù)組織格式分析32-37
• 3.5. 實驗37-42
• 3.6. 本章小結42-43
• 第四章 WinWebMail 取證系統(tǒng)實現(xiàn)43-56
• 4.1. 系統(tǒng)功能分析與設計43
• 4.2. 鏡像獲取模塊的設計與實現(xiàn)43-49
• 4.2.1. 物理內(nèi)存訪問的方式43-48
• 4.2.2. 物理內(nèi)存鏡像獲取模塊的實現(xiàn)48-49
• 4.3. 預處理模塊的設計與實現(xiàn)49-51
• 4.3.1. 編譯和使用預處理模塊依賴的庫文件49-50
• 4.3.2. 預處理模塊實現(xiàn)代碼50-51
• 4.4. 恢復與分析模塊的實現(xiàn)51-54
• 4.5. 結果顯示模塊的實現(xiàn)54
• 4.6. 本章小結54-56
• 第五章 總結與展望56-57
• 致謝57-58
• 參考文獻58-61
• 附錄61-72
• 作者在讀期間發(fā)表的學術論文及參加的科研項目72

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前8條

1 曹記東;;基于Windows物理內(nèi)存的計算機取證技術的研究[J];電腦知識與技術;2011年27期

2 劉凌;;淺談計算機靜態(tài)取證與計算機動態(tài)取證[J];計算機安全;2009年08期

3 丁麗萍;論計算機取證的原則和步驟[J];中國人民公安大學學報(自然科學版);2005年01期

4 許榕生;;我國數(shù)字取證技術研究的十年回顧[J];計算機安全;2011年03期

5 廖根為;;數(shù)字證據(jù)概念與特點分析[J];江淮論壇;2010年03期

6 郭牧;王連海;;基于KPCR結構的Windows物理內(nèi)存分析方法[J];計算機工程與應用;2009年18期

7 錢桂瓊,楊澤明,許榕生;計算機取證的研究與設計[J];計算機工程;2002年06期

8 楊青;電子證據(jù)的若干問題探析[J];政法論叢;2004年04期

本文編號：663053