文档介绍:PUTERFORENSICSAuthor:puterApplicationTechnologyAdvisor:,,2009计算机取证中关键技术研究摘要近年来,计算机犯罪带来的问题日益严重。自“熊猫烧香”案发以来,社会对于计算机犯罪的关注度越来越高。与此同时,计算机取证技术作为打击计算机犯罪的重要手段也逐渐成为业内研究的热点。FC计算机取证技术峰会和高峰论坛自2005年来举办了三次大型活动,成为业内技术人员交流的重要途径。本文从实际计算机取证的需求出发,研究计算机取证中的如下几项关键技术。第一,数据恢复技术。数据恢复技术是计算机取证中使用频率最高的技术之一。本文从FAT32和NTFS系统的结构出发,分析了在上述两种文件系统下文件删除以及磁盘格式化操作的原理,提出了文件数据恢复和格式化恢复的通用方法和流程。第二,磁盘全文搜索技术。在现有工具不能很好满足计算机取证需求的背景下,本文提出了一种通过磁盘全文搜索来进行取证的方法。同时,对该取证方法底层所采用的模式匹配算法进行了对比实验分析并加以改进,找出高效取证的最佳环境。此方法与数据恢复相结合,可以实现按文件类型、文件名或者文件关键字等进行取证,有效提高了取证的效率。第三,典型文件类型格式分析。针对计算机取证中经常遇到的文件格式,如邮件(EML、DBX、PST、BOX等)、打印假脱机文件(SPL和SHD)等,本文进行了文件格式分析以及研究了提取其中数据元素的方法;针对接入系统的USB设备,给出具体的痕迹取证过程。第四,计算机取证模型研究以及取证可信度的证明。本文针对以往的一些经典计算机取证模型加以分析,提出了一种基于瀑布流模型的计算机取证过程模型;针对计算机取证流程抽象网络的研究,提出了对取证结果进行可信度划分的方法,并给出了概率论上的证明。关键词:计算机取证,数据恢复,模式匹配,文件格式分析,puterForensicsABSTRACTInrecentyears,puter-“XiongmaoShaoxiang”virus,puter-,puterforensictechnology,whichisakeymethodofcrime-fighting,,FC),puterForensicsResearchCenter,hasheldlarge-scaleactivitiesforthreetimes,,ases,,,,diskfull-,monforensicmethodthatusesfull-,paringthesearchingspeedsundervariousconditions,,canachievethegoalofgettingdigitalevidencesbyfiletypes,filenameorevenfilekeywords,,