文档介绍:杭州电子科技大学
硕士学位论文
Windows日志取证与恢复技术研究
姓名:王鹏
申请学位级别:硕士
专业:计算机应用技术
指导教师:郑宁;楼永坚
20091101
杭州电子科技大学硕士学位论文
摘要
随着信息技术的发展和广泛应用,计算机犯罪和入侵事件时常发生,计算机取证
技术作为对抗计算机犯罪的关键技术应运而生,对电子证据的保护和恢复越来越受到
人们的关注,文件雕复技术作为一种不依赖于文件系统元信息的数据恢复技术,有效
地弥补了计算机取证中的不足,并成为计算机取证领域的研究热点。
本文首先介绍了计算机取证中关于日志取证的步骤和研究现状,接着分析了日志
取证中面临的困难,指出在计算机取证过程中对文件恢复的要求日益增强,取证人员
急需有效的办法解决在取证过程中遇到的文件被删除、破坏等极端情况。然后全面介
绍了现有的文件雕复技术,讨论了各种雕复方法的原理性能和适用场合,并对计算机
日志文件取证的最新研究成果进行了阐述,分析了其局限性和不足。通过总结现有文
件雕复技术的局限性及面临的挑战,提出了文件雕复技术今后的发展方向应当是结合
多种文件雕复方法、充分利用文件特有的内部结构和内容特征来雕复文件,重视处理
分片文件和破损文件。
日志文件用来描述操作系统、应用程序和用户的行为、监控用户对系统的使用情
况、记录系统中的异常事件,同时也能反映入侵者的痕迹,因此它可以为调查取证提
供很多关键的信息。但是,在计算机犯罪案件中,入侵者往往会故意销毁与其入侵行
为有关的系统痕迹如系统日志文件和注册表信息等。因此在取证过程中,经常需要从
已被删除或破坏的日志文件中恢复数据作为呈堂证据。本文在深入研究日志文件类型
的内部结构和内容特征的基础上,运用信息统计学、数据结构、语义等相关领域的知
识,将基于内容特征的理论思想应用于文件雕复过程,以弥补现今文件恢复工具的不
足,改善文件雕复的效果。文中以 Windows NT 系统下的日志文件(EVT 文件)为研究对
象,提出了一种基于内容特征的 EVT 文件雕复方法,该雕复方法结合运用了文件头/
文件尾/文件尾偏移验证、文件重叠验证、熵差验证、基于记录 ID 号或时间戳的分片
重组验证和语义验证等多种验证算法,它们分别用于确认 EVT 文件是否分片、分片点
检测、匹配并重聚分片等。基于内容特征的 EVT 文件雕复方法与其他雕复方法被应用
于三个具有普遍意义的系统镜像中,实验结果表明该雕复方法无需任何人工干预,能
够自动重聚 EVT 分片文件(包括无序分片)并加以准确恢复,雕复效果优于其他雕复方
法。
最后,在进行 EVT 文件雕复方法的理论知识研究和实验效果测试的基础上,本文
进一步深入研究了一种全新的日志文件格式—Windows Vista 系统下的日志文件
EVTX,通过深入剖析其结构特征,提出了基于内容特征的 EVTX 文件雕复方法。该方
法采用 Evtx 文件的文件头、文件块数目验证来识别文件是否分片,确认完整文件的
I
杭州电子科技大学硕士学位论文
实际尾部;利用文件块特征来搜索和匹配分片文件的数据块 Chunk;从数据块 Chunk
中提取单条日志文件记录并解析其内容为文本形式。实验以一个 Windows Visa 分区
镜像为数据集,实验表明本雕复方法可以自动且准确地雕复在原始磁盘镜像中连续和
分片存储的 Evtx 文件。
关键词:计算机日志取证,文件雕复,内容特征,EVT 文件,Evtx 文件,二进制 XML
流
II
杭州电子科技大学硕士学位论文
ABSTRACT
Nowadays, computer crimes puter intrusions mon incidents along with
the development of information technology. Computer forensic technology, the key
technology puter-related crimes, has emerged. Forensic examiners are
paying more attention to the protection and recovery of digital proofs during forensic
process. File carving, a special data r