学位论文 > 优秀研究生学位论文题录展示

基于虚拟机间接仿真的计算机运行环境重现

作 者: 王凌伟
导 师: 谭毓安
学 校: 北京理工大学
专 业: 计算机系统结构
关键词: 计算机取证 电子证据 运行环境仿真 虚拟机技术
分类号: TP391.9
类 型: 硕士论文
年 份: 2008年
下 载: 112次
引 用: 2次
阅 读: 论文下载
 

内容摘要


随着科技的发展,计算机在人类生活中发挥着越来越重要的作用,而与此同时也产生了以计算机为工具的新型犯罪活动,计算机安全已成为危害着社会稳定和发展的严重问题。如何探询犯罪者留在计算机系统中的“痕迹”,并将其作为有效诉讼证据提供给法庭,是打击计算机犯罪的关键一环,也是我们研究的重要内容。本文研究的基于虚拟机间接仿真的计算机运行环境重现,属于脱机仿真涉案计算机系统的运行环境。脱机仿真可以分为虚拟机直接仿真和虚拟机间接仿真。直接仿真是在虚拟机环境里,将涉案计算机硬盘转换为映像文件,映像文件作为一个虚拟硬盘,作为虚拟机的存储设备。在取证计算机上运行虚拟机软件,就可以重现涉案计算机的运行环境。如果涉案计算机硬盘的操作系统不能在虚拟机中启动,或者涉案计算机硬盘上可能装有取证对抗模块时,就必须采用“虚拟机间接仿真”方式。虚拟机间接仿真方式是将映像文件作为虚拟机的一个“外挂硬盘”,虚拟机上自身安装另一个“启动硬盘”,虚拟机上的操作系统从“启动硬盘”后,将从“外挂硬盘”上获得应用程序和用户文件等数据并进行仿真。根据Windows操作系统运行环境的构成,分析、研究了用户执行环境迁移、应用程序迁移和部分驱动程序迁移三部分内容,并在最后给出了自动迁移工具的总体结构设计,对迁移工具的各个模块功能进行了详细描述,实现了虚拟机间接仿真的计算机运行环境迁移工具。目前已对Windows XP、Windows2000和Windows2003操作系统进行了初步试验,在这些系统上实现了快速重现计算机用户执行环境,大多数应用程序在迁移后正确运行和涉案计算机驱动程序信息的列举和文件的准确定位。这种虚拟机间接仿真计算机运行环境的方式,可为计算机取证人员提供直观且重要的调查线索和电子证据

全文目录


摘要  3-4
Abstract  4-7
1. 前言  7-12
  1.1 课题背景  7
  1.2 国内外研究概况  7-9
  1.3 课题的研究内容  9-10
  1.4 课题的意义和价值  10-11
  1.5 论文组织结构  11-12
2. 虚拟机间接仿真平台  12-20
  2.1 综述  12-16
    2.1.1 虚拟机选型  12-13
    2.1.2 虚拟机间接仿真平台模型结构  13-14
    2.1.3 操作系统  14
    2.1.4 自动迁移工具  14-16
  2.2 VIRTUAL BOX虚拟机设置  16-20
    2.2.1 硬盘设置  16-17
    2.2.2 网络接口设置  17-18
    2.2.3 USB接口设置  18-20
3. 用户执行环境迁移  20-30
  3.1 用户执行环境迁移原理  20-21
  3.2 用户执行环境迁移流程  21-22
  3.3 注册表存储结构及关键信息  22-23
  3.4 用户配置文件的访问控制权限  23-24
  3.5 三种用户信息迁移方案及其比较  24-28
    3.5.1 方案一:设置漫游用户配置文件  24-25
    3.5.2 方案二:拷贝用户配置文件  25-27
    3.5.3 方案三:修改注册表用户配置文件路径  27-28
  3.6 方案对比  28-30
4. 应用程序迁移  30-38
  4.1 WINDOWS应用程序设计模式  30-33
    4.1.1 Wi1132 API  30-31
    4.1.2 窗口  31
    4.1.3 事件驱动  31
    4.1.4 Windows应用程序结构  31-33
  4.2 应用程序迁移原理  33-36
    4.2.1 文件数据迁移  33-34
    4.2.2 注册表信息迁移  34-36
    4.2.3 虚拟机网络环境建立  36
  4.3 输入法和字体迁移  36-38
    4.3.1 输入法的迁移  37
    4.3.2 系统字体的迁移  37-38
5. 驱动程序迁移  38-46
  5.1 WINDOWS驱动程序和服务  38-41
    5.1.1 WDM驱动程序  38-40
    5.1.2 Windows服务  40-41
  5.2 驱动程序的迁移  41-46
    5.2.1 注册表信息  42-44
    5.2.2 驱动文件  44-45
    5.2.3 驱动服务  45-46
6. 计算机运行环境重现系统结构设计及实现  46-62
  6.1 系统需求及设计目标  46
  6.2 总体结构设计  46-47
  6.3 准备工作  47-51
    6.3.1 硬盘分区原理  48-49
    6.3.2 修改硬盘分区盘符  49-51
  6.4 用户执行环境迁移  51-55
    6.4.1 提取SAM文件用户名  52-53
    6.4.2 设置用户配置文件的访问控制权限  53-54
    6.4.3 修改注册表用户配置文件路径  54
    6.4.4 用户执行环境迁移工具模块  54-55
  6.5 应用程序执行环境迁移  55-58
    6.5.1 Office程序迁移  55-57
    6.5.2 单机应用程序迁移列表  57-58
    6.5.3 网络应用程序迁移列表  58
    6.5.4 系统内容迁移  58
  6.6 驱动程序迁移  58-62
7. 结论  62-64
参考文献  64-66
致谢  66

相似论文

  1. 基于windows日志的计算机取证模型设计,D918.2
  2. 基于EnCase的电子数据取证系统设计与实现,TP311.52
  3. 电子证据证明力的考察与研究,D915.13
  4. 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
  5. 计算机证据材料污染问题及相关对策,D915.13
  6. 论计算机犯罪中的电子物证检验,D918.2
  7. 电子邮件取证模型及关键技术研究,TP393.098
  8. 支持多种介质的电子取证方法与平台的研究,D918.2
  9. 电子证据的法律效力研究,D925
  10. 论非法电子证据排除规则,D915.13
  11. 网络交易中消费者权益保护的若干法律问题研究,D923.8
  12. 我国电子病历相关法律问题研究,R197.324
  13. 电子证据证明力认定的相关问题分析,D925.23
  14. 论我国刑事诉讼中电子证据的收集,D925.2
  15. 基于系统文件特征属性分析的计算机取证研究,TP393.08
  16. 不可否认机制与时间戳服务系统研究,TP393.08
  17. 基于Windows系统的计算机取证研究,TP399-C2
  18. 基于系统虚拟化技术的内核态Rootkit检测,TP391.3
  19. 我国电子证据立法问题研究,D925
  20. 论我国刑事电子证据的认定,D925.23
  21. 电子证据若干问题研究,D915.13

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 信息处理(信息加工) > 计算机仿真
© 2012 www.xueweilunwen.com