基于标记的计算机犯罪侦查取证模型设计

针对计算机犯罪案件的日益增长,以及计算机犯罪侦查取证模型的缺乏,根据计算机犯罪案件的特点,融入工作状态标记思想,提出基于标记的计算机犯罪侦查取证模型,不仅为公安民警提供了计算机犯罪侦查的理论指导,还方便决策人员的监督指导,利于警务资源优化.     

面向Android取证的内存镜像数据恢复方法

安卓(Android)设备生成的用户数据存储在非易失性内存中,从取证的角度来看,非易失性内存中驻留的数据至关重要,可以从中获得犯罪活动的关键证据,因此研究从内存镜像中恢复有价值的证据数据极为重要。该文提出了一种面向Android取证的内存镜像数据恢复方法,通过对内存页结构的分析以及对未删除和已删除数据的获取,实现了数据表和记录的恢复,进而完成了数据库的重构,实现了Android设备内存镜像数据的恢复,并从恢复数据量、通用性、数据恢复能力、文件完整性和数据恢复效率等方面进行了试验分析。试验结果表明,该方法是通用且有效的。     

基于物理内存的注册表逆向重建取证分析算法

注册表结构重建与分析是Windows物理内存取证分析的重点和难点问题之一。首先通过分析注册表文件在硬盘中的逻辑特性,利用Windows系统调试工具分析注册表在内存中的数据结构特征,确立了在物理内存中定位注册表结构的方法;然后通过分析注册表项之间的树形关系,确定了注册表结构重建算法,并利用Graphviz可视化工具,设计出一种树形结构的可视化算法。实验结果表明,该算法能够实现对物理内存中注册表键名、键值信息的重建,基于获取的数据能够完成对系统中病毒的检测,并通过Graphviz可视化算法有效展示病毒感染系统的过程和结果。     

基于网络动态取证系统的设计与实现

提出并实现一个基于网络的动态计算机取证系统. 该系统不同于传统的取证工具, 它将取证工作提前至犯罪行为发生前与进行中, 避免了由于取证不及时而导致的证据链缺失, 有效地提高了取证工作的效率, 增强了数据证据的完整性和时效性.     

一种基于键盘事件计算机取证过程模型的实现

该文简述了计算机取证技术及反取证技术对计算机取证结果的影响,结合动态、静态取证技术及常规证据提取技术,利用修改后的法律执行过程模型画出了基于键盘事件提取的取证过程流程图并将其实现。     

基于涉密网的计算机取证模型分析

在Agent动态远程控制的基础上针对涉密网设计一种计算机取证模型,利用Agent分布式的数据采集方式,引入syslog协议实现相关日志的高效传输,把计算机取证和入侵检测技术结合起来,通过动态形式得到入侵证据,提高证据的可信度以及有效性。     

基于Ontology的数据挖掘在计算机动态取证中的应用

动态取证势必会产生大量的杂乱无章数据.如何对大量繁杂的数据进行有效的分析,成为动态取证的关键问题.提出了基于本体的数据挖掘模型,利用此模型实现了高精度的语义挖掘,根据挖掘结果提供了预警防范服务,利用关联规则具体说明了基于本体的数据挖掘的过程,并用贝叶斯网络模型简单计算了实例本体间的关联程度,实现了关联挖掘.应用实例表明基于Ontology的数据挖掘提高了对攻击源定位追踪的准确性和实时性.     

基于蜜罐的网络动态取证系统研究

针对计算机静态取证技术和常用的动态取证技术中存在的问题,提出了基于虚拟蜜罐的网络动态取证系统模型。该模型将在被保护子网上对流经的网络数据进行实时监控,编写程序对检测到的入侵进行报警,并通过修改iptables的nat表,利用重定向技术将检测到的入侵数据导入到蜜罐中进行记录,实现了入侵检测技术、蜜罐技术与防火墙技术的联动,达到实时动态取证的目的。实验结果表明,该系统不仅可以保护网络和主机不受攻击,还可以长时间的获取证据,并使得证据不受污染,达到了预期效果。     

基于EPROCESS特征的物理内存查找方法

为了快速定位目标活动进程,提取对应的物理内存数据,分析了Windows系统中进程运行时其EPROCESS结构的特性及作用,提出了基于EPROCESS特征的物理内存查找方法.该方法利用EPROCESS结构的特性,定位出活动进程的EPROCESS结构,找出进程页目录基地址,并根据虚拟地址描述符的功能,提取活动进程物理内存.实验结果表明,该方法能快速、有效地定位活动进程,提取出活动进程物理内存,缩小取证分析范围,提高取证效率.     

计算机网络实时取证系统的设计

在网络发达的当今社会,随着计算机网络技术的飞速发展,利用计算机网络的高科技犯罪现象越来越多。如何在犯罪事件发生后,提取计算机网络中的实时相关电子证据,形成一个有效的取证系统,来打击和遏制网络犯罪。与时俱进的设计一个取证系统,是司法系统和计算机学科领域的共同进步意识,对于社会和民众的利益和财产的保护是一种负责的先进意识。     

一种云取证中间件系统的设计

云计算的快速发展在产生巨大的经济效益的同时,也带来了计算机犯罪问题。针对如何从云中全面、便利地获取到可信、完整的数字证据,提出了一种云取证中间件的设计方法。该方法主要包括远程控制端证据再现、服务端证据分析和监控管理、客户端内存获取和分析3个部分。该设计比传统在线取证方法更符合传统物证技术的要求,提高了取证人员的工作效率和证据的可信度。在Windows 10系统（客户端）和Centos7.0（服务端）系统上的验证结果表明,该设计是有效和可靠的。     

基于C++的高效内存池的设计与实现

为了高效、安全地利用计算机内存资源,在大型的软件设计中,往往要进行大量的内存分配与回收操作,为此,C++专门提供了malloc等相关函数进行操作,这些函数能够满足一般的使用,但由于它们调用了操作系统API,所以实际使用时会在操作系统中产生大量的内存碎片,让内存分配成为效率瓶颈,从而降低系统性能.基于此,通过对循环首次适应算法进行改进,设计并实现了基于C++的高效内存池,大幅提升了内存分配与回收的效率.同时,还为内存池编写了相关的分配子,使其能与C++标准库无缝对接,提供了若干具有垃圾回收功能的智能指针,提高了内存管理与程序运行的效率.     

网络安全审计与计算机取证系统的设计

本文分析、设计了网络安全审计和计算机取证,以更加有效的防范和遏制计算机犯罪.将推进网络安全的健康发展和计算机取证技术的应用,有着广阔的市场前景,并具有良好的社会效益和产业经济效益.     

一种基于移动Agent的分布式动态取证模型

在分析移动Agent的关键技术、特点及在分布式计算方面的优势和分布式犯罪入侵的基础上，提出基于移动Agent和静态Agent技术相结合的分布式动态取证系统模型MADDFS.该模型采用基于移动Agent的分布式体系结构，具有自适应性、分布性、自识别能力和扩展性等特点.     

网络取证系统的技术分析与模型实现

分析了网络取证的基本概念,介绍了网络取证系统的分析过程,研究并设计了一个分布式网络实时取证系统的实现模型。     

基于广义数据挖掘的计算机取证技术

基于数据挖掘技术,对一个典型的计算机网络犯罪取证过程进行了较详细的分析,通过整个案件的侦破过程得到了在计算机取证中数据分析的特点与方法。研究表明,不要将计算机取证技术的研究进入单纯的理论范畴,要从实战出发挖掘计算机犯罪信息特征,真正获得计算机犯罪侦查取证的有效途径和实用的技术手段。     

基于数据恢复技术的计算机取证应用

信息技术的发展使得利用计算机系统作为犯罪的工具或目标的案件在司法实践中逐年增多,因此电子证据也将成为越来越重要的诉讼证据。但对于这类证据的取得,亦即计算机犯罪取证却是司法人员要面对的一大难题。数据恢复技术具有把被破坏的数据还原为原始数据的功能。     

可信时间戳动态电子物证取证平台的设计

针对动态电子物证获取,及其真实性判断困难、电子物证提取和检验＂污染＂,以及电子物证法律效力缺失等重要问题,采用可信时间戳和电子签名技术,设计和实现了可信时间戳动态电子物证取证平台,实现了动态电子物证采集和固定环节的可靠性和不可抵赖性,保证了电子物证的客观真实性和权威可信性。     

基于Solaris操作系统内存资源泄漏和预防的研究

内存泄漏是多用户系统开发应用过程中经常会遇到的问题,用户应用长时间的运行极易产生内存泄漏,占用大量系统内存资源,降低资源利用率,直接导致应用程序运行不稳定,严重时甚至影响到操作系统的正常运行,导致系统瘫痪。在参考Sun公司相关英文技术文档基础上,并结合UNIX实践,本文探讨了Solaris平台内存泄漏产生的原因和对应的BUG定位,并提出了解决方案。