超级会员免费看
虚拟机环境下Windows 7系统数字取证工件的识别
1. 数字证据与取证概述
数字证据是用户在计算机上进行任何操作(无论是否涉及犯罪)时产生的。当计算机上的操作构成犯罪或协助犯罪行为时,就需要进行数字取证来收集这些证据。国家司法研究所将数字证据定义为以二进制形式存储或传输的、可在法庭上作为依据的信息,它可以存在于计算机硬盘、手机、个人数字助理(PDA)、CD、数码相机的闪存卡等设备中。在Windows机器上搜索数字证据时,应重点收集以下方面的信息:
- 文件上传/下载
- 文件/文件夹的创建、打开和删除
- 程序的安装、执行和卸载
- 机器上各种账户的使用情况
- 外部设备的使用情况
- 每个账户在机器上使用浏览器的情况
随着虚拟化技术的普及,制定在虚拟化环境中进行数字取证调查的流程和程序变得至关重要。然而,这并非易事,其中一个主要问题是缺乏关于从虚拟机磁盘文件中恢复取证工件的记录。本研究旨在通过使用AccessData的取证工具包来调查虚拟机使用的支持文件,识别从运行Windows 7的虚拟化计算机中可以恢复的取证工件,以加强数字取证领域及其相关技术,适应不断变化的技术环境。
2. 相关研究
数字取证自1986年Cliff Stoll在劳伦斯伯克利国家实验室调查两个会计系统之间仅75美分的差异以来就已存在。尽管只有几十年的时间,但技术的进步是巨大的,因此对针对新技术进行数字取证调查的需求也在增加。虽然从物理介质中可恢复的取证工件已经有了很好的记录,但将这些过程应用于虚拟化计算环境的研究还很有限。近年来,虚拟化技术的普及程度显著提高,因此对虚拟机取证的研究需求也日益增加。
以
订阅专栏 解锁全文
扫一扫
49
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
