基于虚拟机与API调用监控技术的APT木马取证研究

APT（Advanced Persistent Threat）攻击通常由具有丰富经验的网络渗透组织或团队实施,具有持续时间长、技术性强、策略性高的特点,攻击中使用的APT木马变化无穷,常规杀毒软件难于检测,严重威胁了国家核心机构和重点部门的安全,同时也给电子数据取证带来了很大的挑战。文章提出了一种基于基于虚拟机与API调用监控技术的APT木马取证模型,可有效对APT木马的攻击行为进行取证。     

木马恶意软件的电子数据勘查与取证分析初探

木马等恶意软件已经成为网络违法犯罪分子经常利用的作案工具。勘查木马恶意软件可以掌握木马行为、传播机理和信息窃取途径,进而为涉网案件侦办工作提供有价值的情报线索。文章简要分析了木马的功能特点、工作机理和关键技术,针对木马恶意软件的技术特点,紧密结合公安机关网络安全保卫部门的工作实际,研究探讨了木马勘查取证的基本流程、常用工具与方法,并用实例讲述了木马勘查分析技术在涉网案件侦办中的应用。     

计算机动态取证系统模型研究

本文将入侵检测、防火墙技等技术应用到计算机取证中,对一切可能发生的计算机犯罪行为实时的进行动态取证。文中首先介绍了计算机动态取证的相关概念、原则和取证的一般步骤,然后重点的分析了计算机动态取证系统模型中的数据获取模块、数据分析模块和入侵检测模块等各子模块。该系统模型能够体现动态取证的实时性、真实性和有效性等要求。     

木马盗号案件的侦查取证

木马盗号案件包括木马的编写、销售、种植、挂码、洗信等环节,可能触犯非法侵入计算机信息系统罪、破坏计算机信息系统罪、盗窃罪和侵犯通信自由罪。在侦查取证过程中要分别不同作案环节进行取证,同时注意发挥游戏公司的作用,需要对木马的危害性、破坏性进行鉴定,还需要对各环节中的木马进行宿源鉴定。     

动态计算机取证系统的司法应用设计与实现

计算机取证的主要目的就是要收集数字证据,重构犯罪现场,为诉讼案件提供有效的证据.从这个问题出发,提出一个动态计算机取证系统的模型并对相关模块进行设计.系统的实现能够自动、动态地收集最大限度的网络和主机数字证据,具有自适应性、分布性、动态性,是动态计算机取证的一种解决方案,为司法人员从事计算机取证,打击计算机犯罪提供了一个较好的辅助平台.     

基于线性调频信号的多频测距算法

设计了一种新的基于远程控制技术的计算机取证系统,提供了3种不同取证方法动态获取控制目标的电子证据,研究了文件隐藏、进程隐藏、注册表修改隐藏、端口反弹、数据加密等关键技术.实验表明,该系统能动态获取网上不同监控对象的电子证据,是当前取证技术的一种新思路.     

基于数据挖掘的计算机动态取证系统

本文首先介绍了计算机动态取证的概念、原则和步骤,然后提出了一个计算机动态取证系统模型,并针对计算机动态取证的数据分析阶段面临的问题,将数据挖掘技术应用于计算机动态取证的海量数据分析中,能够有效的提高动态取证中数据分析的速度、分析的准确性和分析的智能性,解决动态取证中的实用性、有效性、可适应性和可扩展性问题.     

基于Multi-Agent的网络入侵动态取证

在分析计算机动态取证基本原理和Multi-Agent特点的基础上,将Multi-Agent技术应用到计算机取证中,提出了一种基于Multi-Agent的网络入侵动态取证系统结构.该系统在多种Agent的协同工作下能实时、准确和全面地收集入侵证据,再现入侵过程,从而克服了静态取证所存在的实时性差和证据收集困难等缺陷.     

Honeypots网络取证技术研究

网络取证技术是当今一种热门的动态安全技术,它采用主动出击的方法,搜集犯罪证据,查出入侵的来源,有效地防范网络入侵.文中在分析网络取证的基本原理和Honeypots(蜜罐)技术特点基本上,将Honeypots应用到网络取证中,提出了基于蜜罐技术的网络取证系统,给出了系统模型和网络拓扑结构;并对各模块进行了分析并且给出实现方法.该系统在Honeypots的协同工作下能实时、准确和全面地收集入侵证据,再现入侵过程.     

基于数据挖掘的动态取证技术研究

文中针对静态取证中存在的证据真实性、有效性和及时性问题,提出将取证技术结合到防火墙、入侵检测系统中,应用数据挖掘技术和智能代理技术对所有可能的计算机犯罪行为进行实时的动态取证.重点研究了基于数据挖掘的多智能代理动态取证系统模型,以及在该模型下的基于智能代理的数据获取和基于数据挖掘的动态数据分析.这些对提高电子证据的真实性、有效性以及动态取证系统的有效性、可适应性、可扩展性、智能化具有重要的意义.     

基于数据挖掘的计算机动态取证系统

本文首先介绍了计算机动态取证的概念、原则和步骤,然后提出了一个计算机动态取证系统模型,并针对计算机动态取证的数据分析阶段面临的问题,将数据挖掘技术应用于计算机动态取证的海量数据分析中,能够有效的提高动态取证中数据分析的速度、分析的准确性和分析的智能性,解决动态取证中的实用性、有效性、可适应性和可扩展性问题。     

数据挖掘在动态取证系统中的应用研究

传统的取证技术是一种静态方法,该文从动态取证的角度去解决静态取证所面临的问题,研究了计算机动态取证的相关技术,提出了一个计算机动态取证系统模型并对相关模块进行设计。根据动态取证的特点,提出将数据挖掘技术应用于动态取证系统中,针对基本挖掘算法在取证分析实际应用中存在的不足,提出了相应的算法改进方法,通过实验分析,证明了改进算法在计算机动态取证应用中的有效性。     

基于本体和上下文感知的主动式计算机犯罪取证模型设计研究

事后被动的取证已经无法满足计算机犯罪取证的要求,文章针对计算机取证模型实现的关键技术进行研究,融合了蜜罐、入侵检测、上下文感知信息、Ontology等技术,有效地进行事前主动获取取证数据。文章提出了基于Ontology和上下文感知的动态取证模型,应用实例表明模型提高了对攻击源定位的追踪的准确性和实时性。     

入侵检测动态取证模型

文章分析了计算机取证的发展情况,指出进行动态取证是其必然的发展趋势。在论证了入侵检测系统用于动态取证的可行性之后,给出了动态取证系统模型,并进行了详尽的阐述。该模型将入侵检测系统与司法分析技术有机结合,它的提出对计算机犯罪的动态取证有一定指导意义。     

计算机动态取证的数据分析技术研究

本文针对计算机动态取证的数据分析阶段面临的问题，提出将数据挖掘技术应用于计算机动态取证的海量数据分析中，给出了基于数据挖掘的计算机动态取证系统模型，提高动态取证中数据分析的速度、分析的准确性和分析的智能性，解决动态取证中的实用性、有效性、可适应性和可扩展性问题。     

BP算法在网络入侵动态取证中的设计与实现

计算机动态取证主要是用于计算机网络数据的采集和分析。为了实现入侵的动态取证,及时分析入侵企图,文中设计并实现了一个人侵动态取证系统。通过事先建立系统行为特征轮廓,利用BP神经网络技术分析系统行为,及时分析人侵企图,达到动态取证的目的。     

云计算环境下仿真计算机取证研究

文章首先介绍了传统的计算机取证技术的困境,然后引出云计算环境下仿真计算机取证的系统构建方法和结构体系.该系统充分利用了云计算环境的高效计算、海量存储、并行处理等特点,利用服务器虚拟化技术和桌面虚拟化技术,以及成熟的分布式并行计算框架,将传统的计算机取证模式转化为动态、并行、高效的云取证模式.     

网络取证系统及工具分析

随着网络技术的发展,计算机网络犯罪总量持续上升,计算机取证工作显得越来越重要。计算机取证分为事后取证和实时取证。早期的实时取证所利用的网络安全工具在取证学角度都存在一定的局限性,它们所产生的数据不能成为法律意义上的证据。由此,网络取证系统应运而生,它对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,弥补了传统安全工具在实时取证中的不足。文中对网络取证系统进行了详细分析,并对目前的一些网络取证工具进行了比较。     

基于Shamir秘密共享的安全取证服务器方案

为解决计算机取证系统现有方案中没有考虑到取证信息可能在传输过程中及取证服务器中被破坏这一安全性问题,提出了基于Shamir秘密共享的安全取证服务器方案。方案首次将Shamir秘密共享的思想引入计算机取证中,利用Shamir(n,t)算法共享取证信息m成n份,然后将n份信息传输并分别储存于n个独立的服务器,从而有效提高了取证信息在传输过程、存储过程及存储区内的安全性。n个独立的取证存储区使系统可以在取证存储区的破坏数不超过n-t时仍能完成取证审计,提高了取证信息在取证服务器中的安全性,增强了系统的容错、容侵性能。     

计算机动态取证系统模型研究

在犯罪事件发生后对犯罪行为进行事后的取证,存在着证据的真实性、有效性和及时性问题。本文提出将取证技术结合到防火墙、入侵检测系统中,对所有可能的计算机犯罪行为进行实时的动态取证,重点研究了基于数据挖掘的多智能代理动态取证系统模型以及基于该模型下的数据获取模块和数据分析模块。