学位论文 > 优秀研究生学位论文题录展示
基于数据恢复的远程计算机取证系统的研究与实现
作 者: 郭博
导 师: 李祥和
学 校: 解放军信息工程大学
专 业: 通信与信息系统
关键词: 计算机取证 电子证据 数据恢复 远程控制 不连续数据片段
分类号: TP399-C2
类 型: 硕士论文
年 份: 2009年
下 载: 108次
引 用: 0次
阅 读: 论文下载
内容摘要
随着计算机技术的发展和普遍应用,人们利用计算机学习、工作、娱乐以及存储重要的信息,计算机成为我们社会不可缺少的一部分,由此而来的是各种有关计算机的犯罪活动越来越多。如何有效地打击计算机犯罪,最大限度地获取电子证据,实现计算机取证,是目前计算机取证界和法学界共同研究和关注的焦点。反取证技术的出现,犯罪分子技术的提高,特别是犯罪分子往往会把有关犯罪信息的数据删除或格式化甚至是擦除,传统的静态计算机取证技术已经不能满足人们的需要。课题以数据恢复和计算机远程控制技术为基础,设计并实现了动态的远程计算机取证系统,可以取得远程目标主机上已经删除或格式化的数据和实时操作信息,能有效解决静态计算机取证技术和方法单一,对犯罪事件响应慢的缺点。本文介绍了基础计算机远程控制技术、计算机取证技术和数据恢复技术概念和原理,并对它们的发展现状和发展方向进行了深入的研究和探讨,分析了现有的技术、工具和模型的优缺点;同时,研究数据存储介质的结构和数据存储方式,特别是当前主流的FAT32和NTFS文件系统的数据组织结构,提出并实现了基于文件特征和文件分配表(FAT32)或目录表(NTFS)相结合的数据恢复方法。针对不连续数据片段恢复,提出了根据FAT链表恢复不连续数据片段的方法。文章最后设计并实现了包括取证端、中转端、被取证端的远程计算机取证系统。系统采用分层控制技术、单端口数据交换机制,在实现秘密主动的取得目标主机上已经删除或格式化数据的同时,还能用屏幕截取功能获取目标主机的实时操作信息,来获取有价值的信息。文章特别针对移动存储介质取证进行了研究,使得在对目标主机上移动存储介质进行数据恢复取证的同时,还能使被取证人能够摘取移动存储介质而不弹出该移动设备不能被删除的对话框。远程计算机取证系统的测试结果表明,该系统功能齐全、操作方便。实现了设定功能,能够秘密的主动的取得远程目标上的信息,包括已经删除或者格式化的数据和目标用户的实时操作,具有一定的前瞻性和实际应用价值。
|
全文目录
目录 4-8 表目录 8-9 图目录 9-10 摘要 10-11 ABSTRACT 11-12 第一章 绪论 12-15 1.1 引言 12 1.2 课题提出的背景 12 1.3 课题意义 12-13 1.4 主要研究内容 13 1.5 论文的组织结构 13-15 第二章 相关技术研究 15-25 2.1 计算机远程控制技术 15-16 2.1.1 计算机远程控制技术简介 15 2.1.2 计算机远程控制原理 15-16 2.1.3 计算机远程控制技术的应用 16 2.1.4 计算机远程控制技术的发展方向 16 2.2 计算机取证综述 16-22 2.2.1 计算机取证定义 17 2.2.2 计算机取证技术模型 17-19 2.2.3 计算机取证技术发展现状 19-20 2.2.4 计算机取证发展趋势 20-22 2.3 数据恢复技术综述 22-23 2.3.1 数据恢复定义 22 2.3.2 数据恢复原理 22 2.3.3 数据恢复技术发展现状 22-23 2.3.4 数据恢复技术发展方向 23 2.4 计算机取证和数据恢复 23-24 2.4.1 计算机取证和数据恢复的关系 23-24 2.4.2 数据恢复在计算机取证中的应用 24 2.5 本章小结 24-25 第三章 存储介质结构及文件系统解析 25-32 3.1 硬盘的结构 25-26 3.1.1 硬盘的物理结构 25 3.1.2 硬盘的逻辑结构 25-26 3.1.3 硬盘的主要参数 26 3.2 硬盘的数据组织结构 26-30 3.2.1 FAT32文件系统的硬盘数据组织 27-28 3.2.2 NTFS文件系统的硬盘数据组织 28-30 3.3 计算机取证中的移动存储介质 30-31 3.4 本章小结 31-32 第四章 数据恢复的研究与实现 32-41 4.1 FAT32文件系统下数据恢复研究 32-33 4.1.1 FAT32文件与目录的删除原理 32 4.1.2 DBR区的BPB参数 32 4.1.3 文件和簇链的检索 32-33 4.2 NTFS文件系统下数据恢复研究 33-34 4.2.1 NTFS文件与目录的删除原理 33 4.2.2 MFT文件记录分析 33-34 4.2.3 NTFS文件记录头部 34 4.3 文件的头部特征 34 4.4 数据恢复的实现及测试 34-37 4.4.1 Windows下对硬盘的访问方法 34-35 4.4.2 数据恢复的实现 35-37 4.5 不连续数据片段的恢复利用 37-40 4.5.1 不连续数据片段的产生 38 4.5.2 不连续数据片段的恢复原理 38-39 4.5.3 根据FAT链表获取不连续文件 39-40 4.6 本章小结 40-41 第五章 基于数据恢复的远程动态取证系统的设计与实现 41-52 5.1 系统设计 41-42 5.1.1 系统总体设计 41 5.1.2 系统设计目标 41-42 5.2 计算机远程控制编程原理及实现 42-45 5.2.1 套接字(Socket)编程原理 43 5.2.2 基于数据恢复的远程动态取证模型 43-44 5.2.3 取证系统控制模块功能 44-45 5.2.4 取证系统中转模块功能 45 5.2.5 取证系统服务模块功能 45 5.3 远程取证系统的实现 45-48 5.3.1 取证系统服务端的实现 45-46 5.3.2 取证系统中转端的实现 46-47 5.3.3 取证系统客户端的实现 47-48 5.4 远程取证系统实现的关键技术 48-50 5.4.1 远程取证系统的通信机制 48-49 5.4.2 远程数据恢复功能的实现 49-50 5.4.3 远程屏幕截取功能实现 50 5.5 被取证的移动存储介质的摘除 50-51 5.6 本章小结 51-52 第六章 系统测试 52-66 6.1 测试环境 52 6.2 远程取证系统功能实现 52-58 6.2.1 取证系统中转端功能实现 52-54 6.2.2 取证系统服务端功能实现 54-56 6.2.3 取证系统控制端功能实现 56-58 6.3 系统具体功能实现测试 58-62 6.3.1 远程数据恢复功能实现测试 58-60 6.3.2 移动存储介质的顺利摘除测试 60 6.3.3 目标主机的屏幕截取功能测试 60-61 6.3.4 文件上传下载和删除功能测试 61-62 6.4 系统性能测试 62-65 6.4.1 取证系统的数据恢复性能测试 62-63 6.4.2 取证系统的取证效率测试 63-64 6.4.3 目标主机的系统资源占用率测试 64-65 6.5 小结 65-66 结束语 66-68 参考文献 68-71 附录A 远程数据恢复控制命令的定义文件 71-72 附录B 远程数据恢复数据恢复功能模块的头文件 72-73 作者简历 攻读硕士学位期间完成的主要工作 73-74 致谢 74
|
相似论文
- 基于windows日志的计算机取证模型设计,D918.2
- 基于EnCase的电子数据取证系统设计与实现,TP311.52
- 电子证据证明力的考察与研究,D915.13
- 应用于超高速光纤通信系统中的CDR电路的研究与设计,TN929.11
- 基于远程控制的SD卡文件管理,TP273
- 基于J2ME的手机远程桌面监控系统的设计与实现,TP311.52
- 面向移动平台的桌面虚拟化机制研究,TP316.7
- 基于视窗操作系统的程序隐藏技术术究,TP393.08
- 煤矿井下PLC道岔网络控制系统,TP273
- 计算机证据材料污染问题及相关对策,D915.13
- 论计算机犯罪中的电子物证检验,D918.2
- 电子邮件取证模型及关键技术研究,TP393.098
- 支持多种介质的电子取证方法与平台的研究,D918.2
- 电子证据的法律效力研究,D925
- 论非法电子证据排除规则,D915.13
- 网络交易中消费者权益保护的若干法律问题研究,D923.8
- 基于B/S模式与OPC技术的生产线远程控制设计与实现,TP311.52
- 基于网络存储器和机顶盒的家庭多媒体系统,TP393.02
- 木马原理分析与系统实现,TP309.5
- 我国电子病历相关法律问题研究,R197.324
- 电子证据证明力认定的相关问题分析,D925.23
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 在其他方面的应用
© 2012 www.xueweilunwen.com
|