论文部分内容阅读
【摘要】易失性内存取证是计算机取证研究的热点,现有的Windows易失性内存取证方法和技术只能分析单个内存镜像文件,不具备分析的智能性,难以形成推理关系的证据链,因此本文针对内存数据的特点,设计了实用的取证模型,充分发挥了Windows易失性内存电子证据的法律效力,严厉打击计算机犯罪。
【关键词】计算机取证:易失性:内存取证;关联性分析:
【中图分类号】TP333 【文献标识码】A 【文章编号】1672-5158(2013)04-0026-01
1.引言
打击犯罪的关键在于获得充分、可靠和强有力的证据,取证涉及到法律和技术两个方面。一般犯罪证据的提取目前已经有很多较为成熟的技术,例如,指纹提取和识别、法医鉴定、DNA鉴定等等。随着计算机技术的发展和网络的普及,利用或以计算机为目标的犯罪事件频繁发生。由于计算机证据具有与一般犯罪证据不同的特点,所以对其获取和可靠性的保证一直是计算机犯罪案件和其他与计算机有关的犯罪案件侦破工作的难点。因此,计算机取证(computer forensics)技术的研究变得越来越迫切。计算机取证作为计算机科学和法学的交叉学科应运而生。
2.计算机取证综述
计算机取证,可以定义为对依靠计算机实施的犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。亦即是将存于计算机及相关外围设备中的电子数据转化固定为实质的证据,以及鉴定这些电子证据属性的过程。从计算机取证的概念可以看出,电子证据是计算机取证的核心。电子证据,是指以数字形式保存于计算机主存储器或外部存储介质中,能够证明案件真实情况的数据和信息。从广义上讲,电子证据泛指一切用以证明案件事实的电子化信息资料和数据;从狭义上讲,电子证据仅指以数字形式存在于计算机系统中的能够证明案件事实的数据,包括计算机产生、传输、储存、记录以及打印的证据。其表现形式可能为文档、图形、图像、声音等形式。
当前计算机取证研究的一个比较活跃的领域是获取操作系统的易失性数据。易失性数据可以定义为当计算机系统失去电源以后不再存在的数据,而这些易失性信息通常保存在内存或硬盘的临时文件中。RFC3227文档给出了各种类型的信息按照易失性的程度的排序,依次为:
①寄存器,高速缓存
②路由表,ARP高速缓存,进程表,内核统计和内存
③临时文件系统
④硬盘
⑤远程登录和监控数据
⑥物理配置和网络拓扑
⑦归档媒体
其中内存取证研究处于易失性数据取证领域的前沿,是当前的研究热点。内存取证是指获取和分析正在运行的主机的物理内存的内容。
3.windows易失性内存取证技术
当前获取Windows操作系统易失性内存数据的技术主要包括两类:基于软件的和基于硬件的。可以通过操作的基本原理进行区分:软件技术依赖于Windows操作系统获取内存的镜像,而硬件技术则独立于具体的操作系统,直接访问计算机系统的内存。基于硬件的技术主要包括基于DMA(DMA:Direct MemoryAccess)的PCI卡、Firewire设备和虚拟机(如VMWare)等,这些方法虽然具有一定的研究价值,但大都存在固有的缺陷:如受限于实际的应用场景;又比如受内存映射IO(MMIO:Memory Mapped Io)特性的影响,导致获取的内存镜像与实际不符,因此还没有得到广泛应用。
原始Windows内存镜像是纯二进制比特信息,不能直接作为电子证据高级分析技术和工具的数据源,需要根据Windows内存组织和运行方式提取其中有价值的结构化数据(如进程和线程信息),已经有一些商用和研究的工具和技术支持物理内存的取证分析。所有成果中Volatility Framework除了具备大多数内存分析工具的功能以外,还具有以下特性:首先,它可以自动识别标准c语言的底层二进制数据流,并将它们映射到高层的标准c语言的数据结构类型,这样就可以使取证分析工作人员在高级语言层面分析内存中代码结构;其次,VolatilityFramework还可以通过内存镜像的物理地址信息,构建出内存的逻辑地址空间,使分析人员可以使用每个进程自己的虚拟地址空间分析问题,而不用考虑其真实的物理地址究竟映射在内存的什么地方。而且对c语言的指针可以直接访问到其指向的数据,不用过多考虑逻辑地址到物理地址空间映射的问题;另外,VolatilityFramework具有较好的可扩展性,支持通过编写插件等进一步对分析功能进行扩展。
总之,现有的Windows易失性内存取证方法和技术只能分析单个Windows内存镜像文件,并没有利用计算机技术智能分析相同性质案件所共有的典型特征,还不能自动地利用已经积累的案例信息智能地辅助调查取证人员处理同一类的计算机犯罪案件。此外,当前面向证据的设计模式限制了取证工具的横向功能扩展和纵向满足更高层次的应用发展,单一的证据很难在逻辑上形成具有相互关系的证据链,还无法实现智能推理等扩展功能,不能为高级应用提供支持。因此,迫切需要开展面向证据链重构的Windows易失性内存智能取证研究。
4.windows易失性内存取证模型
计算机取证过程必须遵循严格的程序流程,否则将导致获取证据的可信度降低或缺乏合法性,为此人们提出了许多种计算机取证模型,以规范取证过程、指导取证产品研发。然而,现有的取证模型也存在诸如过于注重细节,缺乏通用性;没有很好地把法律和技术结合起来;注重静态的取证分析而没有考虑取证模型随时间的变化等问题,特别是现有的取证模型还没有考虑Windows内存数据的易失性、瞬时性、阶段稳定性、实体信息多维性、实体相互关联性以及阶段内实体状态变化的可预见性等特点。
经过严谨的理论研究和应用测试,本文已经设计出具有较好通用性与可扩展性的实用的Windows易失性内存取证模型,共四层。第一层进行基本信息分析与提取;第二层进行实体信息的识别;第三层进行关联性分析;第四层进行电子证据的归档;对已获取的原始的Windows内存数据从高层次视图进行抽象。利用进程代数和规则制定辅助调查取证人员进行智能推理,并用软件实现了将多个相关的可疑证据组成一个整体,形成具有推理关系的证据链,重构计算机犯罪行为、动机以及嫌疑人特征。
参考文献
[1].许榕生,吴海燕等.计算机取证概述.计算机工程与应用,2001,37(21):7 8,144.
[2].丁丽萍,王永吉.计算机取证的相关法律技术问题研究.软件学报,2005,16(2):260 275.
[3].王峰.基于Windows的易失性内存数据取证分析方法研究吉林大学硕士毕业论文
[4].G.Simson,F.Paul,R.Vassil,D.George.Bringingscience to digital forensics with standardized forensic corpora,2009.1:2 11.
[5].S.Peisert,M.Bishop,K.Marzullo.Computer forensics inforensic.ACM SIGOPS Operating Systems Review,2008,42(3):112-122
【关键词】计算机取证:易失性:内存取证;关联性分析:
【中图分类号】TP333 【文献标识码】A 【文章编号】1672-5158(2013)04-0026-01
1.引言
打击犯罪的关键在于获得充分、可靠和强有力的证据,取证涉及到法律和技术两个方面。一般犯罪证据的提取目前已经有很多较为成熟的技术,例如,指纹提取和识别、法医鉴定、DNA鉴定等等。随着计算机技术的发展和网络的普及,利用或以计算机为目标的犯罪事件频繁发生。由于计算机证据具有与一般犯罪证据不同的特点,所以对其获取和可靠性的保证一直是计算机犯罪案件和其他与计算机有关的犯罪案件侦破工作的难点。因此,计算机取证(computer forensics)技术的研究变得越来越迫切。计算机取证作为计算机科学和法学的交叉学科应运而生。
2.计算机取证综述
计算机取证,可以定义为对依靠计算机实施的犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。亦即是将存于计算机及相关外围设备中的电子数据转化固定为实质的证据,以及鉴定这些电子证据属性的过程。从计算机取证的概念可以看出,电子证据是计算机取证的核心。电子证据,是指以数字形式保存于计算机主存储器或外部存储介质中,能够证明案件真实情况的数据和信息。从广义上讲,电子证据泛指一切用以证明案件事实的电子化信息资料和数据;从狭义上讲,电子证据仅指以数字形式存在于计算机系统中的能够证明案件事实的数据,包括计算机产生、传输、储存、记录以及打印的证据。其表现形式可能为文档、图形、图像、声音等形式。
当前计算机取证研究的一个比较活跃的领域是获取操作系统的易失性数据。易失性数据可以定义为当计算机系统失去电源以后不再存在的数据,而这些易失性信息通常保存在内存或硬盘的临时文件中。RFC3227文档给出了各种类型的信息按照易失性的程度的排序,依次为:
①寄存器,高速缓存
②路由表,ARP高速缓存,进程表,内核统计和内存
③临时文件系统
④硬盘
⑤远程登录和监控数据
⑥物理配置和网络拓扑
⑦归档媒体
其中内存取证研究处于易失性数据取证领域的前沿,是当前的研究热点。内存取证是指获取和分析正在运行的主机的物理内存的内容。
3.windows易失性内存取证技术
当前获取Windows操作系统易失性内存数据的技术主要包括两类:基于软件的和基于硬件的。可以通过操作的基本原理进行区分:软件技术依赖于Windows操作系统获取内存的镜像,而硬件技术则独立于具体的操作系统,直接访问计算机系统的内存。基于硬件的技术主要包括基于DMA(DMA:Direct MemoryAccess)的PCI卡、Firewire设备和虚拟机(如VMWare)等,这些方法虽然具有一定的研究价值,但大都存在固有的缺陷:如受限于实际的应用场景;又比如受内存映射IO(MMIO:Memory Mapped Io)特性的影响,导致获取的内存镜像与实际不符,因此还没有得到广泛应用。
原始Windows内存镜像是纯二进制比特信息,不能直接作为电子证据高级分析技术和工具的数据源,需要根据Windows内存组织和运行方式提取其中有价值的结构化数据(如进程和线程信息),已经有一些商用和研究的工具和技术支持物理内存的取证分析。所有成果中Volatility Framework除了具备大多数内存分析工具的功能以外,还具有以下特性:首先,它可以自动识别标准c语言的底层二进制数据流,并将它们映射到高层的标准c语言的数据结构类型,这样就可以使取证分析工作人员在高级语言层面分析内存中代码结构;其次,VolatilityFramework还可以通过内存镜像的物理地址信息,构建出内存的逻辑地址空间,使分析人员可以使用每个进程自己的虚拟地址空间分析问题,而不用考虑其真实的物理地址究竟映射在内存的什么地方。而且对c语言的指针可以直接访问到其指向的数据,不用过多考虑逻辑地址到物理地址空间映射的问题;另外,VolatilityFramework具有较好的可扩展性,支持通过编写插件等进一步对分析功能进行扩展。
总之,现有的Windows易失性内存取证方法和技术只能分析单个Windows内存镜像文件,并没有利用计算机技术智能分析相同性质案件所共有的典型特征,还不能自动地利用已经积累的案例信息智能地辅助调查取证人员处理同一类的计算机犯罪案件。此外,当前面向证据的设计模式限制了取证工具的横向功能扩展和纵向满足更高层次的应用发展,单一的证据很难在逻辑上形成具有相互关系的证据链,还无法实现智能推理等扩展功能,不能为高级应用提供支持。因此,迫切需要开展面向证据链重构的Windows易失性内存智能取证研究。
4.windows易失性内存取证模型
计算机取证过程必须遵循严格的程序流程,否则将导致获取证据的可信度降低或缺乏合法性,为此人们提出了许多种计算机取证模型,以规范取证过程、指导取证产品研发。然而,现有的取证模型也存在诸如过于注重细节,缺乏通用性;没有很好地把法律和技术结合起来;注重静态的取证分析而没有考虑取证模型随时间的变化等问题,特别是现有的取证模型还没有考虑Windows内存数据的易失性、瞬时性、阶段稳定性、实体信息多维性、实体相互关联性以及阶段内实体状态变化的可预见性等特点。
经过严谨的理论研究和应用测试,本文已经设计出具有较好通用性与可扩展性的实用的Windows易失性内存取证模型,共四层。第一层进行基本信息分析与提取;第二层进行实体信息的识别;第三层进行关联性分析;第四层进行电子证据的归档;对已获取的原始的Windows内存数据从高层次视图进行抽象。利用进程代数和规则制定辅助调查取证人员进行智能推理,并用软件实现了将多个相关的可疑证据组成一个整体,形成具有推理关系的证据链,重构计算机犯罪行为、动机以及嫌疑人特征。
参考文献
[1].许榕生,吴海燕等.计算机取证概述.计算机工程与应用,2001,37(21):7 8,144.
[2].丁丽萍,王永吉.计算机取证的相关法律技术问题研究.软件学报,2005,16(2):260 275.
[3].王峰.基于Windows的易失性内存数据取证分析方法研究吉林大学硕士毕业论文
[4].G.Simson,F.Paul,R.Vassil,D.George.Bringingscience to digital forensics with standardized forensic corpora,2009.1:2 11.
[5].S.Peisert,M.Bishop,K.Marzullo.Computer forensics inforensic.ACM SIGOPS Operating Systems Review,2008,42(3):112-122