基于数据恢复的远程计算机取证系统的研究与实现

论文摘要

随着计算机技术的发展和普遍应用,人们利用计算机学习、工作、娱乐以及存储重要的信息,计算机成为我们社会不可缺少的一部分,由此而来的是各种有关计算机的犯罪活动越来越多。如何有效地打击计算机犯罪,最大限度地获取电子证据,实现计算机取证,是目前计算机取证界和法学界共同研究和关注的焦点。反取证技术的出现,犯罪分子技术的提高,特别是犯罪分子往往会把有关犯罪信息的数据删除或格式化甚至是擦除,传统的静态计算机取证技术已经不能满足人们的需要。课题以数据恢复和计算机远程控制技术为基础,设计并实现了动态的远程计算机取证系统,可以取得远程目标主机上已经删除或格式化的数据和实时操作信息,能有效解决静态计算机取证技术和方法单一,对犯罪事件响应慢的缺点。本文介绍了基础计算机远程控制技术、计算机取证技术和数据恢复技术概念和原理,并对它们的发展现状和发展方向进行了深入的研究和探讨,分析了现有的技术、工具和模型的优缺点；同时,研究数据存储介质的结构和数据存储方式,特别是当前主流的FAT32和NTFS文件系统的数据组织结构,提出并实现了基于文件特征和文件分配表(FAT32)或目录表(NTFS)相结合的数据恢复方法。针对不连续数据片段恢复,提出了根据FAT链表恢复不连续数据片段的方法。文章最后设计并实现了包括取证端、中转端、被取证端的远程计算机取证系统。系统采用分层控制技术、单端口数据交换机制,在实现秘密主动的取得目标主机上已经删除或格式化数据的同时,还能用屏幕截取功能获取目标主机的实时操作信息,来获取有价值的信息。文章特别针对移动存储介质取证进行了研究,使得在对目标主机上移动存储介质进行数据恢复取证的同时,还能使被取证人能够摘取移动存储介质而不弹出该移动设备不能被删除的对话框。远程计算机取证系统的测试结果表明,该系统功能齐全、操作方便。实现了设定功能,能够秘密的主动的取得远程目标上的信息,包括已经删除或者格式化的数据和目标用户的实时操作,具有一定的前瞻性和实际应用价值。

论文目录

表目录

图目录

摘要

ABSTRACT

第一章绪论

1.1 引言

1.2 课题提出的背景

1.3 课题意义

1.4 主要研究内容

1.5 论文的组织结构

第二章相关技术研究

2.1 计算机远程控制技术

2.1.1 计算机远程控制技术简介

2.1.2 计算机远程控制原理

2.1.3 计算机远程控制技术的应用

2.1.4 计算机远程控制技术的发展方向

2.2 计算机取证综述

2.2.1 计算机取证定义

2.2.2 计算机取证技术模型

2.2.3 计算机取证技术发展现状

2.2.4 计算机取证发展趋势

2.3 数据恢复技术综述

2.3.1 数据恢复定义

2.3.2 数据恢复原理

2.3.3 数据恢复技术发展现状

2.3.4 数据恢复技术发展方向

2.4 计算机取证和数据恢复

2.4.1 计算机取证和数据恢复的关系

2.4.2 数据恢复在计算机取证中的应用

2.5 本章小结

第三章存储介质结构及文件系统解析

3.1 硬盘的结构

3.1.1 硬盘的物理结构

3.1.2 硬盘的逻辑结构

3.1.3 硬盘的主要参数

3.2 硬盘的数据组织结构

3.2.1 FAT32文件系统的硬盘数据组织

3.2.2 NTFS文件系统的硬盘数据组织

3.3 计算机取证中的移动存储介质

3.4 本章小结

第四章数据恢复的研究与实现

4.1 FAT32文件系统下数据恢复研究

4.1.1 FAT32文件与目录的删除原理

4.1.2 DBR区的BPB参数

4.1.3 文件和簇链的检索

4.2 NTFS文件系统下数据恢复研究

4.2.1 NTFS文件与目录的删除原理

4.2.2 MFT文件记录分析

4.2.3 NTFS文件记录头部

4.3 文件的头部特征

4.4 数据恢复的实现及测试

4.4.1 Windows下对硬盘的访问方法

4.4.2 数据恢复的实现

4.5 不连续数据片段的恢复利用

4.5.1 不连续数据片段的产生

4.5.2 不连续数据片段的恢复原理

4.5.3 根据FAT链表获取不连续文件

4.6 本章小结

第五章基于数据恢复的远程动态取证系统的设计与实现

5.1 系统设计

5.1.1 系统总体设计

5.1.2 系统设计目标

5.2 计算机远程控制编程原理及实现

5.2.1 套接字（Socket）编程原理

5.2.2 基于数据恢复的远程动态取证模型

5.2.3 取证系统控制模块功能

5.2.4 取证系统中转模块功能

5.2.5 取证系统服务模块功能

5.3 远程取证系统的实现

5.3.1 取证系统服务端的实现

5.3.2 取证系统中转端的实现

5.3.3 取证系统客户端的实现

5.4 远程取证系统实现的关键技术

5.4.1 远程取证系统的通信机制

5.4.2 远程数据恢复功能的实现

5.4.3 远程屏幕截取功能实现

5.5 被取证的移动存储介质的摘除

5.6 本章小结

第六章系统测试

6.1 测试环境

6.2 远程取证系统功能实现

6.2.1 取证系统中转端功能实现

6.2.2 取证系统服务端功能实现

6.2.3 取证系统控制端功能实现

6.3 系统具体功能实现测试

6.3.1 远程数据恢复功能实现测试

6.3.2 移动存储介质的顺利摘除测试

6.3.3 目标主机的屏幕截取功能测试

6.3.4 文件上传下载和删除功能测试

6.4 系统性能测试

6.4.1 取证系统的数据恢复性能测试

6.4.2 取证系统的取证效率测试

6.4.3 目标主机的系统资源占用率测试

6.5 小结

结束语

参考文献

附录A 远程数据恢复控制命令的定义文件

附录B 远程数据恢复数据恢复功能模块的头文件

作者简历攻读硕士学位期间完成的主要工作

致谢

基于数据恢复的远程计算机取证系统的研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢