24小时论文定制热线
24小时论文定制热线
摘 要
随着虚拟终端等虚拟机技术的快速发展,现在越来越多的互联网应用场景转移到虚拟计算环境中,以虚拟环境为目标的网络攻击日益突出,在虚拟环境中活跃的恶意木马程序也逐年上升。因此,针对虚拟计算环境的反窃密检测与取证研究迫在眉睫。然而,由于虚拟环境中网络攻击的内存化和隐蔽性,很多重要的电子证据仅仅存在于系统内存或短暂存在于系统内存页面交换文件中,这种情况使得以往的针对操作系统文件的木马检测和电子取证方式无法能够完整的完成取证流程。
本文设计并实现的虚拟计算机内存取证系统可以弥补现有的内存取证工具软件无法实现对具有反取证功能的木马进行有效取证以及对虚拟计算机内存完整性取证和还原的问题。恶意代码的盗窃和取证(特别是木马程序)虚拟化系统的检测目标,获得不稳定数据虚拟化系统的快速定位,检测和分析,从而达到工作目标的实时分析,线索发现和攻击行为再次发生。经过初步研究,项目克服了一些关键技术,如虚拟内存格式破解任意区域成片内存完整获取、数据结构与证据信息映射、证据信息提取技术等部分关键技术,力争通过本项目的实施开发出满足业务需求的原型系统。
设计研究的重点是在现有虚拟计算机内存数据格式破解研究的基础上,通过对木马虚拟机型木马活动方式及行为特异性研究,通过进程信息分析、线程分析、注册表信息分析、系统加载驱动信息等,实现快速定位、深度检测、关联分析,以实现实时分析、线索发现、攻击行为重现等取证目标。主要研究内容包括:用软件方法获取内核内存区对象,并借助于操作系统的内核数据结构和相关机制去解析重构内存数据。因此,须研究虚拟计算环境下(虚拟机 VMware Workstation/VMware vSphere)易失性证据模型;通过逆向破解实现任意区域成片内存完整获取与转存,实现证据信息提取与解析;虚拟计算环境下木马在植入、隐藏、潜伏、激活、加载、运行和通信阶段的特征,以及木马在虚拟机环境下采取的反取证原理及其行为指纹,建立木马行为痕迹发现模型。
关键词:虚拟内存无损获取;内存逆向破解;木马行为研究
Abstract
With the rapid development of cloud computing and other virtual machine technologies, more and more business applications will be transferred to the virtual computing environment, network attacks against the virtual environment are increasingly prominent, and more and more malicious trojans are found to be active in the virtual environment. Therefore, anti - theft detection and forensics research for virtual computing environment is extremely urgent. However, due to the memorization and concealment of cyber attacks in virtual environments, some key digital evidences only exist in physical memory or temporarily stored in page exchange files, which makes the traditional file system-based detection and forensics unable to deal with effectively.
The memory forensics system for virtual computer designed and implemented in this paper can make up for the existing memory forensics tools software can not achieve effective forensics for Trojan horse with anti-forensics function and for virtual computer memory integrity forensics and restore problems. Taking the theft and forensics of malicious code (especially Trojan horse program) in the virtualization system as the detection target, the acquired volatile data of the virtualization system were quickly located, deeply detected and analyzed, so as to achieve the working target of real-time analysis, clue discovery and attack behavior recurrence. After preliminary research, the project has overcome some key technologies such as virtual memory format cracking, complete acquisition of fragment memory in any region, data structure and evidence information mapping, and evidence information extraction technology, and strives to develop a prototype system that meets the business requirements through the implementation of this project.
Design research focuses on the existing virtual computer memory data format based on the study of the crack, and behavioral mode of Trojan virtual machine Trojan activity specific research, through the analysis of the process information, the registry information analysis, key recovery, network connection, executable file analysis and system status information analysis and so on six kind of technology, rapid positioning and depth detection, correlation analysis, in order to realize the real-time analysis, found clues, aggression is evidence collection target again. The main research content includes: obtain the kernel memory area object by software method, and analyze and reconstruct the memory data with the help of the kernel data structure and related mechanism of the operating system. Therefore, it is necessary to study the evidence model of volatility in virtual computing environment (VMware Workstation/VMware vSphere)。 Through reverse cracking, complete memory acquisition and transfer in any region can be realized, and evidential information can be extracted and analyzed. The characteristics of Trojan horse in implantation, concealment, latent, activation, loading, operation and communication stage in the virtual computing environment, as well as the anti-forensics principle and its behavior fingerprint taken by the Trojan horse in the virtual machine environment, establish the Trojan horse behavior trace discovery model.
Key Words:Virtual memory lossless acquisition; Reverse memory cracking; Research on Trojan behavior
目 录
1 绪论
1.1 课题研究背景和意义
随着虚拟终端等虚拟机技术的快速成熟,现在越来越多的互联网应用场景转移到虚拟计算环境中,以虚拟计算机为目标的网络攻击行为日渐增多,在虚拟环境中活跃的恶意木马程序也逐年上升[1].
由于针对虚拟环境计算机的的网络攻击手法具有隐藏性和关键电子证据只存在于系统内存或短暂存在于系统内存页面交换文件中,这种情况使得以往的针对操作系统文件的木马检测和电子取证方式无法能够完整的完成取证流程[2],主要表现在以下三个方面[3]:
(1)现代木马通常采用密钥数据隐藏、数据转换、数据伪造等反取证技术,改变原始的数字运动轨迹和内容,导致检测系统数据采集失真、失败和作伪证。
(2)操作系统内核通常会实时释放内存存在页,使内存中临时存储的相关证据信息或内存文件在关机或重新启动后消失,导致事后无证可取。为了保证系统的正常运行,windows 系统的内核总是试图释放内存页,大多数应用程序(包括木马等恶意程序)的内存页持续时间非常短暂[4].
(3)内存中保存着系统运行状态的密钥信息,如进程信息、线程信息、注册表信息、系统加载的驱动信息等,过去取证手法很难完整的获取这些证据,只有通过分析物理内存镜像和内存文件的方式才能获得二进制数据[5].
规范地进行虚拟内存文件取证,重构出目标系统的状态信息,对于完善取证流程,摸清网络攻击的攻击方法,做出即使及时有效的取证,对于有效防范、遏制网络攻击窃密等方面意义重大。近年来,学术界和工业界对虚拟环境取证进行了一些探索和研究,但大多作为一种简单的数据采集和内容展示工具,无法满足行为关联与报警决策辅助、应用部署模型、业务场景、线索发现等方面的业务需求。例如,对于虚拟机内存文件的无损获取问题,目前已知的技术都需要对虚拟机进行挂起,导致应用系统的业务中断,无法满足重要单元设备和业务连续性的要求。
论文旨在通过对取证技术和木马特异性行为的研究,设计并实现一个针对虚拟环境进行取证和特异性木马发现的专用系统。以恶意代码(尤其是木马程序)在虚拟化系统中的窃密行为、反取证行为为检测目标,对获取到的虚拟化系统的易失性数据文件进行格式破解,通过数据结构与证据信息映射重构还原出虚拟系统内存进程线程状态,并通过进程信息分析、注册表信息分析、线程分析、系统加载驱动信息等技术实现能迅速定位木马程序、在内存层间深度检测、将进程线程等多种各要素关联分析,以实现对虚拟计算机系统的深入分析、关键证据发现、攻击行为重现等技术手段。
1.2 国内外研究及应用现状
1.2.1 内存取证技术的起源与发展内存取证的概念
最早出现在 2002 年,空军特别调查办公室 Koru 发表在《第一反应者保存脆弱的数字证据》上。为了应对网络应急所面临的问题,Koru 提出需要对易失性证据进行提取,以便获得全面、准确的网络攻击和网络犯罪证据[6].
真正的内存取证研究始于 2006 年,当时 Robbin 发起了针对计算机操作系统内存取证挑战。通过分析 Robbin 给出的操作系统物理内存文件,要求参与者提取相关的攻击时间线信息,如进程隐藏、进程关联、攻击溯源等。三位选手成功完成了任务目标:John通过逆向分析检索操作系统的底层文件,获得其重要的内核数据结构,并开发了内存取证工具 memparser,对内存转储文件中包含的信息进行了详细的提取[7];Jala 和 Morl 团队通过分析操作系统在崩溃是产生的临时内存文件的关键数据结构,在虚拟系统中研发了针对操作系统的关键核心数据结构。使用内存取证工具 kalist 详细获取内存临时文件中的信息[8].
此后,内存取证技术的发展获得了计算机取证领域人员的关注,越来越多人开始了在该领域上的研究。各种内存取证方法层出不穷,呈现出蓬勃发展的趋势。内存取证领域的研究基本可以分为三个时间段:一是初步探索内存取证领域方面的研究的阶段(2000-2006);二是越来越多业内人士开始关注该方面的问题(2007-2011);三是内存取证开始产生简单的工具和针对不同领域的工具软件(2012-至今)。
内存取证初级研讨阶段,研究者主要集中于提出各种内存取证的来源和相关的研究思路,为加速内存取证研究的发展奠定了思想和理论基础[9-11].在这个阶段,Eogg 提出将网络连接痕迹作为电子证据,Karvey 提出将 Windows 注册表项作为电子证据,Anbby提议将系统内存临时文件作为电子证据,Tolan 提出将 VAD(虚拟地址描述符)用作内存电子证据,Koru 建议使用页面交换文件数据作为内存鉴证源。同时,Koru 提出在网络应急响应中应保存易失性存储器数据,尽可能多地提取攻击信息[12-14].
在内存取证研究的准成熟阶段,越来越多的技术人员在掌握各种内存取证方法的基础上,开始关注各种内存取证和评估系统的框架和集成方案,以期实现系统化、内存取证研究的模块化与推广。Peteron 等人提出了一种模块化、可扩展的框架结构,通过封装为低层存储器数据采集提供数据接口,从而使电子取证研究人员能够专注于高层存储器数据的分析和挖掘。Volytay 框架的模块化设计使得支持 windows、linux、mac os 和android 等系统变得容易,研究人员可以根据不同的取证需求添加相应的算法和取证插件。它已经成为内存取证领域事实上的标准体系框架。此外,Voemel 等人针对各种内存取证工具的评测需求,提出了一种内存取证软件评测平台模型。
1.2.2 内存取证工具软件的发展过程
内存取证工具软件通过获取和分析内存文件数据,提取合法有效的数字证据,是内存取证研究的核心载体。随着网络攻击手法和窃密技术的不断发展,技术人员研发了各种各样的内存取证工具软件,以满足对现阶段对网络安全威胁进行有效、全面、完整取证的要求。
早期阶段的内存取证技术被作为磁盘取证的必要部分。因此,早期的内存取证工具主要功能为从取得的磁盘文件中搜索难以提取的内存字符串,如网络连接、用户、进程线程信息等。比如,德国 XW 公司开发的取证工具 winhex 是一个通用的十六进制编辑器,可用于查找和修改内存数据。然而,随着网络攻击和网络窃密技术的发展和演变,内存证据变得越来越重要。这要求我们研发出更加实际、便捷、有效的内存取证工具[15].从2006 年 Robbin 提出的著名的内存分析挑战赛开始,计算机取证界掀起了一股内存取证研究的热潮[16].此后,各种内存取证方法和相应的内存取证工具软件相继提出和开发,并得到了蓬勃发展。
此时,内存取证工具的功能是对操作系统的数据结构进行解析于重构。通过搜索匹配的内存转储文件,它提取其中包含的相关证据。例如,John 开发了基于操作系统的内核数据结构的内存取证工具 memparser[17];Jala 和 morl 团队通过分析操作系统在崩溃是产生的临时内存文件的关键数据结构,在虚拟系统中研发了针对操作系统的关键核心数据结构[18];Andreas 基于 windows 内核进程和线程结构,开发了基于 windows 内存池的内存进程和线程取证工具 ptfinder 和用于遍历所有内存文件包含的进程和线程的cooltools[19].Tolan 通过分析 VAD 树的结构,开发了一个通过遍历 vad 树来枚举内存进程和线程的鉴证工具[20].此外,一些公司已经开始引入内存取证工具,如 mantech 开发的 memory dd(mdd)、agile consulting 开发的 nigilant 32 和 mandiant 开发的 memory yze.
随着内存取证技术的发展,内存取证工具的相关软件也朝着系统化、集成化的方向发展,如美国制导软件 winen、美国 accessdata 开发的 ftk 取证工具、美国 hbgary 的responder pro 等。德国 x-ways 软件的 x-ways 取证,韩国和澳大利亚的 finaldata 最终取证 fbi 法医桌面,意大利 nuix,f-response 由 matthew shannon 和 windows 内存工具包moonsols 开发[21-24].
其中 volatility 取证框架是一款用于易失性内存取证的重量级框架。在该框架下我们可以完成许多取证的操作,获取我们想取得的信息。其支持的操作系统也非常广泛,同时支持 windows , linux, Mac OSX,甚至也支持 Android 手机使用 ARM 处理器的取证。
因此,它也是所有网络取证爱好者的必学框架。
这些内存取证软件可以对 windows 休眠文件、完整内存转储文件、完整系统崩溃转储文件、虚拟机内存转储文件等文件进行分析和提取,并以图形化的形式呈现提取的内存证据,促进了内存取证技术的普及和应用。
从上述发展轨迹中我们可以看出,内存取证技术的发展紧随着网络攻击和网络犯罪等网络安全威胁的变化。但是现有内存取证工具软件尚无法实现针对具有反取证功能木马的有效取证及针对虚拟计算机内存完整无损取证及还原。本文设计实现的针对虚拟环境进行反窃密检测与取证的专用系统能够针对虚拟环境下的计算机系统进行内存文件的无损取证,通过对 VMware Workstation 内存文件的研究,获取到无损的内存文件,然后根据获取的系统内存环境文件,对系统状态进行还原,通过进程、线程、注册表和加载驱动程序等对系统是否存在木马程序或近似木马程序进行判断,该项研究对于取证与分析完整性与证据链条的闭合性是现阶段取证软件所不具备的。
1.3 本文研究的主要内容
操作系统内存管理机制是内存取证研究的基础,本课题研发的虚拟计算机内存易失性证据取证系统主要针对 windows 系统。Windows 内存管理可概括为三大机制:(1)虚拟地址的空间管理;(2)物理页面管理;(3)地址转译和页面交换[25-27].
本课题研究的虚拟计算机内存易失性证据取证系统的实现主要基于三大关键技术模型:(1)虚拟内存信息及内存文件的无损获取技术;(2)虚拟环境内存数据结构解析和行为重构技术;(3)虚拟机型木马特异性分析和木马发现模型。
论文旨在通过对取证技术和木马特异性行为的研究,设计并实现一个针对虚拟环境进行取证和特异性木马发现的专用系统。以恶意代码(尤其是木马程序)在虚拟化系统中的窃密行为、反取证行为为检测目标,对获取到的虚拟化系统的易失性数据文件进行格式破解,通过数据结构与证据信息映射重构还原出虚拟系统内存进程线程状态,并通过进程信息分析、注册表信息分析、线程分析、系统加载驱动信息等技术实现能迅速定位木马程序、在内存层间深度检测、将进程线程等多种各要素关联分析,以实现对虚拟计算机系统的深入分析、关键证据发现、攻击行为重现等技术手段。主要研究内容如下:
(1)虚拟内存信息及内存文件的无损获取技术研究:用软件方法获取内核内存区对象,并借助于操作系统的内核数据结构和相关机制去解析重构内存数据。因此,须研究虚拟计算环境下(虚拟机 VMware Workstation/VMware vSphere)易失性证据模型。
(2)虚拟内存文件格式逆向破解研究:虚拟机内存文件。Vmem、。Vmss 等格式未知且不公开,在进行相应文件格式转换时可能会造成数据丢失,这将给后续的内存数据取证分析带来困难,须通过逆向破解实现任意区域成片内存完整获取与转存,实现证据信息提取与解析,通过对虚拟机内存文件结构的解析和破解,重构还原了目标系统的运行装填,确保取证链条的完整性。
(3)虚拟机型木马活动方式及行为特异性研究:通过查阅资料和实际工作发现,分析了现阶段虚拟机操作系统中存在的木马程序的特异性和行为特征,概括列举了几中木马程序的明显特征,包括虚拟计算环境下木马在植入、隐藏、潜伏、激活、加载、运行和通信阶段的特征,以及木马在虚拟机环境下采取的反取证原理及其行为指纹,建立木马行为痕迹发现模型,为下一步建立异常建模和实施相应的取证奠定基础。
1.4 文章的组织结构
文章是对虚拟计算机内存取证进行研究,并在对虚拟计算机内存文件进行解析与重构的基础上,依据虚拟机型木马活动方式及行为特异性,建立了木马行为发现模型。
第一章是绪论,从背景意义的方面对论文研究课题进行了阐释,介绍国内外对于内存取证的研究的现状以及现阶段对于内存取证工具的研发情况,论文的主要内容和文章的组织结构安排。
第二章是对系统建模虚拟环境内存数据结构解析和行为重构技术进行研究,包括对如何对虚拟内存信息及内存文件的无损获取以及通过内存数据结构与证据信息映射模型对提取到的虚拟计算机系统运行状态进行行为重构。
第三章是对虚拟机型木马行为特异性研究并建立木马行为发现模型,通过查阅各种文献资料,确定虚拟机型木马行为方式并建立了根据 7 个木马行为检测的要素的木马行为发现模型,包括基于字符串查找的特征检测、进程与隐藏进程的检测、线程 DLL 文件注入行为的检测、加载的驱动的检测、隐藏进程/dll 分析,注册表检测以及进程行为关联检测。
第四章是虚拟计算机内存取证系统的设计与实现,通过文章对系统建模虚拟环境内存数据结构解析和行为重构技术和虚拟机型木马行为特异性研究并建立木马行为发现模型的研究,成功实现了对目标虚拟机的内存取证并对关键信息进行了获取。
第五章是总结全文,对文章的研究成果内存数据结构解析和行为重构、木马行为发现模型以及最终系统的设计与实现进行总结归纳,提出了研究工作中存在的不足和对后续研究工作的开展做出的展望。
2 系统建模虚拟环境内存数据结构解析和行为重构技术
2.1 虚拟内存信息及内存文件的无损获取技术
2.2 行为重构技术-内存数据结构与证据信息映射模型
2.3 本章小结
3 虚拟机型木马行为特异性研究并建立木马行为发现模型
3.1 虚拟机型木马行为特异性研究
3.2 木马行为发现模型
3.2.1 基于字符串查找的特征监测
3.2.2 进程检测
3.2.3 线程检测
3.2.4 驱动注入检测
3.2.5 隐藏进程/DLL 分析
3.2.6 注册表检测
3.2.7 进程行为关联检测
3.3 章节小结
4 虚拟计算机内存取证系统的设计与实现
4.1 系统的总体结构图
4.1 目标虚拟机内存文件的无损获取
4.2 取证系统-进程线程解析重构模块
4.3 取证系统-驱动注册表解析重构模块
4.4 取证系统扫描界面和结果
4.5 章节小结
结 论
本文设计与实现的针对虚拟计算机内存取证系统,能够弥补现有内存取证工具软件无法实现针对具有反取证功能木马的有效取证及针对虚拟计算机内存完整无损取证及还原等问题。以恶意代码(尤其是木马程序)在虚拟化系统中的窃密行为及取证行为为检测目标,对获取到的虚拟化系统的易失性数据进行快速定位、深度检测、关联分析,以实现实时分析、线索发现、攻击行为重现等工作目标。项目经过前期预研已攻克了虚拟内存格式破解、任意区域成片内存完整获取、数据结构与证据信息映射、证据信息提取技术等部分关键技术,力争通过本项目的实施开发出满足业务需求的原型系统。
设计研究的重点是在现有虚拟计算机内存数据格式破解研究的基础上,通过对木马虚拟机型木马活动方式及行为特异性研究,通过进程信息分析、注册表信息分析、线程分析、系统加载驱动分析等技术,实现快速定位、深度检测、关联分析,以实现实时分析、线索发现、攻击行为重现等取证目标。主要研究内容包括:用软件方法获取内核内存区对象,并借助于操作系统的内核数据结构和相关机制去解析重构内存数据。因此,须研究虚拟计算环境下易失性证据模型;通过逆向破解实现任意区域成片内存完整获取与转存,实现证据信息提取与解析;虚拟计算环境下木马在植入、隐藏、潜伏、激活、加载、运行和通信阶段的特征,以及木马在虚拟机环境下采取的反取证原理及其行为指纹,建立木马行为痕迹发现模型。
本文的研究成果如下:
(1)对系统建模虚拟环境内存数据结构解析和行为重构技术进行研究,包括对如何对虚拟内存信息及内存文件的无损获取以及通过内存数据结构与证据信息映射模型对提取到的虚拟计算机系统运行状态进行行为重构。
(2)是对虚拟机型木马行为特异性研究并建立木马行为发现模型,通过查阅各种文献资料,确定虚拟机型木马行为方式并建立了根据 7 个木马行为检测的要素的木马行为发现模型,包括基于字符串查找的特征检测、进程与隐藏进程的检测、DLL 注入行为的检测、驱动注入的检测、隐藏进程/dll 分析,注册表检测以及进程行为关联检测。
(3)是虚拟计算机内存取证系统的设计与实现,通过文章对系统建模虚拟环境内存数据结构解析和行为重构技术和虚拟机型木马行为特异性研究并建立木马行为发现模型的研究,成功实现了对目标虚拟机的内存取证并对关键信息进行了获取。
研究工作中仍存在不足:
(1)研究中只针对虚拟机 Windows XP 系统进行了内存格式的解析与重构,在实际应用中仍然存在很大的局限性,(2)设计与实现的木马行为分析模型目前阶段只能够通过几个检测要素进行初步数据的筛选,对于木马的准确研判还需要手动进行判断。
目前,随着云计算等虚拟机技术的迅猛发展,越来越多的业务应用将转移至虚拟计算环境中,针对虚拟环境的网络攻击窃密也日益凸显,发现了越来越多的在虚拟环境下活动的恶意木马。结合本文的研究工作,对后续研究工作的开展做出如下展望:
(1)能够针对全操作系统的内存格式解析和重构,实现虚拟计算机内存系统化取证,并能够应用到所有的工作场景中,实现无损取证。
(2)木马程序的行为特征和存在方式都是随着时代和技术的发展不断变化,通过对虚拟机型木马行为特异性研究更深层次的研究,建立更完善的木马行为发现模型来满足现实工作的需要。
(3)在系统的设计与实现中,能够全自动的定位木马程序,真正做到自动扫描,自动识别,摆脱人工识别的难题。
参考文献
[1] 顾兆军,张健,高铖等。虚拟机自省技术研究[J].信息网络安全。 2017(09):10-12.
[2] 李保珲,徐克付,张鹏等。虚拟机自省技术研究与应用进展[J].软件学报。 2016(06):31-36.
[3] 乌云,李平,李勇钢。基于虚拟机自省的隐藏文件检测方法[J]. 计算机系统应用。 2016(01):67-70.
[4] 金海。计算机系统虚拟化[M].北京:清华大学出版社,2008.
[5] AVIAD C,NIR N A.Trusted detection of ransomware in a private cloud using machine learningmethods leveraging meta-features from volatile memory[J] .Expert Systems WithApplications.2018(03):21-23.
[6] PREETI M,EMMANUEL S P,VIJAY V.Intrusion detection techniques in cloud environment: Asurvey[M].Journal of Network and Computer Applications.2017.
[7] JAMES O,GILBERT L P.Windows operating systems agnostic memory analysis[M] .DigitalInvestigation.2010.
[8] SHAMSUL H,SURUZ M.Defending unknown attacks on cyber-physical systems by semi-supervisedapproach and available unlabeled data[J].Information Sciences.2017(11):67-68.
[9] BAI J R,WANG J F.Improving malware detection using multi‐view ensemble learning[J] . Securityand Communication Networks.2016(17):73.
[10] 张瑜,刘庆中,李涛等。内存取证研究与进展[J].软件学报。2015(05):12-13.
[11] 何祥,周安民,蒲伟等。基于 vmem 文件的隐藏信息检测研究[J].息安全与通信保密。 2012(10):63.
[12] 殷联甫。计算机取证中的物理内存取证分析方法研究[J].计算机应用与软件。2010(12):9-11.
[13] 丁丽萍,王永吉。多维计算机取证模型研究[J].信息网络安全。2005(10):44.
[14] 王连海。基于物理内存分析的在线取证模型与方法的研究[D].济南:山东大,2014.
[15] 杨珺。计算机取证分析关键问题研究[D].武汉:武汉大学,2011.
[16] 肖涛。基于内核对象链接关系的内存取证研究[D].杭州:杭州电子科技大学,2015.
[17] 刘伟。计算机攻击内存取证技术研究[D].北京:北京邮电大学,2015.
[18] 孟祥宇。基于内存取证技术的关联性分析研究[D].吉林:吉林大学,2014.
[19] 董步云。Windows 平台基于数据关联的内存取证分析技术研究[D].南京:南京大学,2014.
[20] 钟贤明。基于虚拟化技术的在线取证系统[D].上海:上海交通大学,2014.
[21] KORNBUM J.Preservation of fragile digital evidence by first responders[J].In: Proc. of the 2002Digital Forensic Research Workshop.2002(2):16.
[22] EOGHAN C.Network traffic as a source of evidence: Tool strengths,weaknesses,and futureneeds[J].Digital Investigation,2004,1(1): 28-43.
[23] CARVEY H.The Windows registry as a forensic resource[M].Digital Investigation, 2005,2(3)。
[24] ANDREAS S.Pool allocations as an information source in Windows memory forensics[D].In: Proc.of the Int'l Conf. on IT-Incident Management & IT-Forensics. 2006.
[25] DOLAN-GAVITT B.The VAD tree: A process-eye view of physical memory[J]. Int'l Journal ofDigital Forensics and Incident Response,2007(1):62-64.
[26] KORDUM J.Using every part of the buffalo in Windows memory analysis.Journal of DigitalInvestigation,2007(4):24-29.
[27] Carrier B, Spafford EH. Getting physical with the digital investigation process[D]. Journal of DigitalEvidence,2003.
[28] ANDREAS S.Searching for processes and threads in Microsoft Windows memory dumps[J]. Journalof Digital Investigation,2006(3):S6-S10.
[29] DOULAN B.Forensic analysis of the Windows registry in memory[M].Digital Investigation,2016.
[30] ARASTEH A R,DEBBABI M.Forensic memory analysis: From stack and code to executionhistory[J].Digital Investigation,20017(6):S114-S125.
[31] PETTONI N, WALTERS A. FATKit: A framework for the extraction and analysis of digital forensicdata from volatile system memory[D].Digital Investigation,2016 (4):197-210.
[32] VOEMEL S,STUENNT J.An evaluation platform for forensic memory acquisition software[J].DigitalInvestigation,2013(10):S30- S40.
致 谢
几年的在职研究生生活已经匆匆过去,我的在校生活也要马上就将要结束,这次论文能够顺利完成,我要感谢我的导师周东清老师,在论文写作期间,周东清老师从开题、中期到最后的答辩都投入了非常多的心血,经常加班替我审阅论文,提出修改意见,真的非常认真负责。
并且电信学部的老师们也是十分认真负责,几年来的学习生活中,老师们认真仔细,对待学生也非常有耐心,在论文答辩期间也是经常打电话催促我们论文进度,帮助我们修改论文,积极帮助我们和导师及答辩老师的沟通,为我们能顺利毕业保驾护航。感谢你们,感谢我的老师们,也感谢大连理工大学,不光教会了我知识,也让我在这几年的学习生活中快速成长。
(如您需要查看本篇毕业设计全文,请您联系客服索取)