超级会员免费看
实时取证中数字证据的完整性和保真度评估
1. 引言
计算机技术和互联网的广泛应用极大地推动了人类社会的进步,但也带来了诸如黑客攻击、网络钓鱼和网络色情等计算机犯罪问题。计算机取证的目标是以可靠的方式检查数字媒体,识别、保存、恢复、分析和呈现有关信息的事实和观点。它包括传统取证和实时取证。传统取证是从已关机的计算机系统中恢复证据,但关机可能导致重要的易失性数据丢失,并且对于关键的企业系统,可能无法关机进行取证调查。
实时取证作为传统分析的一种有吸引力的替代方法,在计算机取证领域越来越受到关注。其主要步骤是在系统运行时从内存和其他存储介质实时收集可能的证据,但实时证据的完整性和保真度难以验证。随着内核木马和反取证技术的发展,传统实时取证工具获取的数据可能已被恶意软件修改。此外,在当前的实时取证分析中,数据收集和分析活动通常同时进行,难以维护证据链并确保其在法庭上作为数字证据的价值。
为了克服这些缺点并提高实时证据的可信度,提出了一种基于物理内存图像分析技术的计算机实时取证模型。该模型的主要思想是通过分析从目标运行系统获取的原始物理内存图像来收集“实时”计算机证据,具有计算和验证“实时”计算机证据可信度以及最小化工具对系统数据影响等优点。
2. 研究背景和相关工作
2.1 相关研究
可以将内存获取视为对内存数据的一种测量,不同的物理内存获取工具具有不同的非标准方法。在实时取证中,基于物理内存分析,应考虑以下几个方面:
- 加载取证工具的影响。
- 操作系统运行的影响。
- 内存获取过程需要持续一段时间导致的偏差。
许多研究人员讨论了实时取证的不确定性。例如,Casey
订阅专栏 解锁全文
扫一扫
191
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
