日志关联分析技术在计算机取证中的应用研究

日志文件是计算机取证的重要依据.分析现有日志取证技术的不足,提出基于日志关联分析的计算机取证模型,通过对犯罪入侵事件特征和序列的关联分析,提取犯罪入侵证据.     

一种基于日志关联分析的取证模型

日志文件是计算机获取电子证据的重要资源.文章基于现有日志取证系统片面取证并且未考虑日志信息的安全性的不足,提出了基于日志关联分析的取证模型,通过事件特征关联、事件时间序列关联和事件空间序列关联各网络安全设备和应用程序的日志信息,把各种日志信息进行综合关联分析,使得到的取证结果更可靠、公正和客观.     

HFS+删除文件恢复技术

随着MAC OS的广泛使用,MAC OS的取证技术得到了取证专家的高度重视。删除文件恢复技术一直是取证技术中的一项重要内容,HFS+文件系统作为目前MAC OS的主流文件系统,其删除文件的恢复技术更是数据恢复专家研究的重点。目前,HFS+删除文件的恢复主要是日志型数据的恢复,即基于日志中存储的B树中的叶子节点信息进行恢复。该方法具有快速、精确的特点。但是,该方法忽略了日志中存储的索引节点信息,因此恢复效果不是很理想。文章提出了一种快速、精确的HFS+删除文件的恢复技术,该技术不仅可以快速地恢复出被删除的文件,并且和现有的从日志中进行恢复的算法相比还可以恢复出更多的删除文件。     

浏览器取证技术

随着信息时代的来临,一些不法分子在实施犯罪之前往往会上网查询信息,他们所用的浏览器便成了司法机关取证的关键. 能否提取有效的犯罪线索或证据,取决于浏览器取证方法的好坏,本文介绍了目前主流的火狐浏览器、IE浏览器的取证技术,概述了IE缓存文件和基于SQLite数据库的火狐浏览器历史系统的日志文件结构,提出了信息恢复方法. 通过对已删除日志文件或缓存文件信息提取,来达到获取证据的目的,分析用户的行为.     

Windows Vista系统日志文件格式分析及数据恢复

微软新推出的Vista操作系统中,对事件日志文件系统进行了全新的设计,文件格式也采用了完全不同的格式,给计算机取证工作带来了很大影响,对Vista系统日志文件格式进行了分析,给出了日志文件的总体结构,对文件所有的二进制XML编码方式进行了分析,并根据文件雕刻技术对日志文件数据恢复技术进行了探讨;     

一种有效支持计算机取证的审计机制研究

审计机制是获取原始证据的一种主要途径，针对目前访问控制模型在审计机制设计中的不足，采用Malkov链对主体访问客体的行为进行建模及预测，确定某次访问时主体的可疑程度，并根据可疑程度决定将原始证据写入不同等级的日志文件。按照这种方法生成的日志文件，能有效减小证据存储所需要的空间，缩短取证时间。     

基于日志挖掘的计算机取证系统的分析与设计

本文主要讨论基于日志的计算机取证分析系统的分析与设计，给出了基于计算机日志的取证分析系统的总体结构和计算机日志分析取证系统日志处理、挖掘与分析子系统结构，并着重讨论了日志数据的预处理、挖掘与分析模块的主要功能与设计思想，并对挖掘模式进行了评估和分析。     

网站入侵案件中的电子证据研究

为了提高电子证据勘查取证水平,有效打击网站入侵案件,笔者通过模拟网络环境对常见网站入侵方式进行研究,同时也对近两年侦办的网站入侵案件进行了分析.文章阐述了在网站入侵案件中电子证据现场勘查需要重点勘查服务器日志、网站日志、木马文件、特殊目录下的特殊文件等日志和文件,需要提取、固定IP地址、用户名、计算机名称、虚拟身份、入...     

基于EXT4文件系统的数据恢复方法研究

研究EXT4文件系统中删除文件的恢复方法对计算机取证工作有重要意义。文章研究了在EXT4文件系统中通过日志中的备份信息进行数据恢复的方法。采用了实例式研究方法,分析了EXT4文件系统中extent树的构成,分析了文件被删除之后extent树的变化,研究了通过inode编号定位inode结点所在数据块的方法,研究了通过日志恢复被删除文件的方法。文章得出的结论是在日志文件和删除数据未被完全覆盖的情况下,可以通过日志有效恢复EXT4文件系统中被删除的文件。文章的研究成果可以应用在公安机关的电子数据鉴定工作中,也可用于公安院校的《电子物证检验》课程教学。     

Windows下基于主机的安全日志服务器

越来越多的计算机犯罪需要进行电子取证,安全日志服务器在针对电子犯罪的监控、审计以及取证活动中发挥了重要作用。主机日志在电子取证以及入侵检测中有着不可替代的作用,通过深入分析主机日志可以发现系统的异常行为并记录下来作为日后的电子证据或进行实时的入侵检测分析。该文简要介绍了安全日志服务器系统的发展背景,分析了主机日志的构成,主机日志在计算机安全领域中的应用,详述了对主机日志信息的处理并给出了基于主机日志的安全系统的结构搭建。     

日志检测技术在计算机取证中的应用

计算机取证是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方式进行识别、保存、分析和提交数字证据的过程.作为日常安全检测的重要内容和维持系统正常运行不可缺少的工具.日志分析与检测被广泛应用于计算机取证,是评估系统运行状况,检验网络安全策略有效性的必要手段.从日志预解码、日志解码以及日志分析三个方面设计并实现了一个根据日志进行监控及取证的系统.实验结果表明该方法是有效的,能够帮助管理人员及时发现入侵,动态取证.     

网络入侵案件的侦查与分析方法研究

网络入侵型案件的侦查与取证工作较为复杂,涉及网站架构、日志分析、恶意代码分析等多种知识。办理此类型案件时,采用合适的侦查与分析方法,可以提高破案率与侦办效率。总结提出了网络入侵型案件的侦查思路与分析方法,将传统的入侵线索侦查与木马逆向分析相结合,结合实战案例,对网站的源代码文件与网站服务器日志文件进行分析,成功定位入侵者植入在网站源文件中的木马程序,并利用逆向分析的方法确定木马程序的功能,对此类案件的侦查与取证工作具有借鉴作用。     

基于EXT3系统的文件内容操作痕迹提取软件设计

EXT3文件系统是大多数Linux主机的默认硬盘分区格式,EXT3格式的硬盘中可能存储了大量涉案文件,识别出嫌疑人对这些涉案文件内容执行的增、删、改操作行为,提取出被修改的相关数据对公安机关的调查、取证工作有重要意义。文章对不同类型文件的操作痕迹进行了分析;介绍了EXT3日志文件的基本结构;研究了从日志中提取出文件名称和inode结点信息的方法;提出了基于inode编号链表的操作痕迹提取方法;设计了用于痕迹提取的状态转换机。设计的操作痕迹提取软件可以直接运行在Linux主机上,通过扫描日志文件完成痕迹提取,经过大量实际测试,软件可以有效提取EXT3文件系统中未被覆盖的操作痕迹。     

支持审计与取证联动的日志系统设计

目前国内外缺乏综合数据提炼能力的日志搜索和分析系统,也还没有专门同时为安全审计与计算机取证目的设计的日志保护和分析工具,针对这一现状,分析并提出了一种日志综合分析平台,以支持网络审计与计算机取证.描述了这种安全日志文件系统的构建,采集、管理和保护,可以做到审计与取证的联动分析,形成了一个高可信审计与取证能力的基本通用模型.最后给出了系统实现的界面和系统的性能分析.     

网络入侵分析与数字证据的研究

文章介绍了网络入侵和计算机取证的概念,描述了数字调查人员能够利用和处理的日志文件、状态表和其他同网络层和传输层有关的数据,最后将整个Internet作为证据源来讨论,解决了一些关键难题.     

计算取证中的异常文件发现

在计算机取证中，寻找证据的过程是最耗费时间的一个阶段，是计算机取证自动化的瓶颈。为了解决这一问题，提出了一种取证目标自动确定的新方法，通过孤立文件检测法找出安全事件中产生的异常文件。实验结果表明，这种方法能快速找出系统中隐藏的异常文件，加快证据搜索的速度，进而提高整个计算机取证工作效率。     

基于内容雕刻的MSSQL数字取证方法

为有效解决MSSQL(SQL Server)数据库文件损坏无法读取数据,以及数据误删无法恢复的问题,提出一种基于内容雕刻的MSSQL数字取证技术。通过对MSSQL内部储存结构进行解析,以页为单位进行细粒度数据恢复,根据内部系统表页面,对数据进行有效还原。实验结果表明,该技术相对已有数据库数字取证技术,对于损坏数据文件恢复效果可提升40%,且无需借助日志文件即可对已删除数据进行恢复。     

USB存储设备使用痕迹在计算机犯罪取证的应用

当一个USB存储设备被插入的计算机中时,一系列注册表键值和系统日志文件都自动更新其记录来反映这次USB设备的连接。计算机取证调查人员能够利用这些注册表键值和日志来确定何种USB设备何时曾经在该计算机上使用过以及被分配的驱动器卷标详细等信息,从而为计算机取证中电子证据的获得提供新的思路。     

日志分析在计算机取证中的应用

日志对于系统的安全来说非常重要，它记录了系统每天发生的各种各样的事情．用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。日志主要的功能是审计和监测。它还可以实时地监测系统状态．监测和追踪侵入者。本文从操作系统和网络两方面对日志分析在计算机取证中的应用作简单阐述．意在抛砖引玉使大家能重视日志分析的作用。     

C#实现日志文件清除功能

日志文件是记录系统操作事件的记录文件,操作系统有操作系统日志文件,数据库系统有数据库系统日志文件。系统日志文件是包含关于系统消息的文件,包括内核、服务、在系统上运行的应用程序等。不同的日志文件记载不同的信息。该文针对医院信息系统应用程序中产生的日志文件长时间积累导致磁盘空间满这一突出问题,提出特定的日志文件清除的解决方法。