学位论文 > 优秀研究生学位论文题录展示

面向内存的Web邮件取证技术研究与系统实现

作 者: 孔飞
导 师: 徐明
学 校: 杭州电子科技大学
专 业: 计算机软件与理论
关键词: web邮件取证 物理内存镜像 内存取证
分类号: D917
类 型: 硕士论文
年 份: 2013年
下 载: 5次
引 用: 0次
阅 读: 论文下载
 

内容摘要


计算机与网络已融入到社会生产和个人生活的方方面面,极大地提高了生产效率和生活质量,同时也带来了一些传统手段无法应对的新型犯罪活动。作为打击这类犯罪的重要手段之一,计算机取证技术成为当前计算机界和法学界研究和关注的一个重点和热点问题。本文主要研究了内存web邮件取证技术,并实现了一个WinWebMail取证系统。首先,提出了一种面向内存的web邮件取证方法。在利用虚拟机技术获取完整的内存数据镜像文件并进行预处理的基础之上,提出了基于字符串匹配的邮件头完整性判定与定位方法;凭借特定Web邮件的html框架特征进行邮件体的完整性判定与定位;并通过引入基于日期、Email地址和主题关键关键词的邮件头与邮件主体匹配算法进行的web邮件的恢复。提出的Web邮件恢复方法可以在不依赖于操作系统的内核、进程和内存的数据结构先验知识的前提下,恢复内存中的Web邮件。Windows Xp平台上的实验结果表明文中所提出的方法可行且具备较高的正确率。其次,在windows平台下设计并实现了一个WinWebMail取证系统。该系统设计为四个模块:内存镜像获取模块、预处理模块、恢复与分析模块、结果显示模块。内存镜像获取模块采用内核空间驱动程序获取内存数据;预处理模块采用zlib库来对镜像文件的gzip数据进行解压;恢复与分析模块实现文中提出的算法,并将取证结果保存到数据库;结果显示模块中负责将结果显示给用户。该系统能以较高的准确率恢复内存镜像中的web邮件信息,并将恢复的邮件头内容、邮件主体内容以及两者的匹配度显示给用户。综上所述,本文以计算机内存取证和分析技术为基础,针对内存中web邮件取证提出了一种取证方法,并在windows平台下设计并实现一个web邮件取证系统。

全文目录


摘要  5-6
ABSTRACT  6-9
第一章 绪论  9-14
  1.1. 研究背景  9-11
  1.2. 国内外研究现状  11-12
    1.2.1. 国外研究与现状  11-12
    1.2.2. 国内研究与现状  12
  1.3. 研究目的与意义  12-13
  1.4. 主要研究内容与组织结构  13-14
第二章 计算机内存取证与分析技术研究  14-24
  2.1. 内存数据的获取  14-17
    2.1.1. 基于软件的内存数据获取  14-16
    2.1.2. 基于硬件的内存数据获取  16-17
    2.1.3. 基于虚拟化的内存数据获取  17
    2.1.4. 基于冷启动的内存数据获取  17
  2.2. 内存数据的分析  17-22
    2.2.1. 进程信息分析  17-18
    2.2.2. 加密密钥分析  18-19
    2.2.3. 系统注册表分析  19-20
    2.2.4. 网络信息分析  20-21
    2.2.5. 文件信息分析  21-22
    2.2.6. 系统状态信息分析  22
  2.3. 内存取证的操作标准  22-23
  2.4. 本章小结  23-24
第三章 一种面向内存的 Web 邮件取证方法  24-43
  3.1. 相关概念与定义  24-25
  3.2. 目前面临的问题  25-26
  3.3. 取证方法  26-32
    3.3.1. 取证步骤  26-27
    3.3.2. 相关算法  27-32
  3.4. 数据组织格式分析  32-37
  3.5. 实验  37-42
  3.6. 本章小结  42-43
第四章 WinWebMail 取证系统实现  43-56
  4.1. 系统功能分析与设计  43
  4.2. 镜像获取模块的设计与实现  43-49
    4.2.1. 物理内存访问的方式  43-48
    4.2.2. 物理内存镜像获取模块的实现  48-49
  4.3. 预处理模块的设计与实现  49-51
    4.3.1. 编译和使用预处理模块依赖的库文件  49-50
    4.3.2. 预处理模块实现代码  50-51
  4.4. 恢复与分析模块的实现  51-54
  4.5. 结果显示模块的实现  54
  4.6. 本章小结  54-56
第五章 总结与展望  56-57
致谢  57-58
参考文献  58-61
附录  61-72
作者在读期间发表的学术论文及参加的科研项目  72

相似论文

  1. 计算机取证中的内存镜像获取的研究与实现,D918.2
  2. 基于计算机物理内存分析的Rootkit查找方法研究与实现,D918.2
  3. 计算机取证物理内存镜像获取技术的研究与实现,TP399-C2
  4. 基于Windows平台的内存数据获取和取证技术研究,TP393.08
  5. 内存取证技术的研究及应用,TP309
  6. 面向Windows 8物理内存镜像文件的内存取证技术研究,TP309
  7. 基于Windows的易失性内存数据取证分析方法研究,TP333
  8. Windows系统内存取证研究及实现,TP393.08
  9. 黑社会性质组织犯罪特点与治理研究,D917
  10. 醉态犯罪研究,D917
  11. 论政府采购中的职务犯罪及其预防,D917
  12. 职务犯罪潜伏期调查研究,D917
  13. 关于白银地区“民转刑”案件的调查报告,D917
  14. 村干部职务犯罪研究,D917
  15. 当前行贿犯罪手段的新特点、成因及对策研究,D917
  16. 论毒品犯罪的成因及预防,D917
  17. 城市外来务工人员犯罪成因及对策研究,D917.6
  18. 《联合国打击跨国有组织犯罪公约》与我国有组织犯罪刑事立法之完善,D917
  19. 论小渔船船员犯罪的法律治理,D917
  20. 黑社会性质组织犯罪的法经济学分析,D917
  21. 预防未成年人犯罪法律对策研究,D917

中图分类: > 政治、法律 > 法律 > 法学各部门 > 犯罪学
© 2012 www.xueweilunwen.com