态取证系统运行一段时间后,可以在在取证服务器中 查询到用户正在运行的进程信息、用户最近编辑过的 文件信息、最近访问的网站信息、系统日志信息、注 册表修改记录、键盘操作记录、网络数据包信息等。 如图3所示。此外,这些取证信息的种类还可以通过 证据收集器的添加实现扩展。  ②同时对多台被保护主机的取证能力 在动态取证系统运行一段时间后,可以在取证服 务器中查询到多台被保护系统的取证信息。这种同时 对多台被保护主机进行取证的能力极大地提高了系统 的适应性。 ③客户端的隐秘性 因为已经把客户端程序注册为系统服务,所以客 户端在操作系统开机时交由sv~chost.exe进程来启动, 并且是在后台运行,在“进程管理器”中不可见,只是 在任务管理器中多了一个svchost.eX~进程,具有较好 的隐秘性。 5结束语 本文设计的基于windows平台的动态取证系统具有如下优点: ①能高效地获取多种数据源。在客户端结合入侵 检测系统,实时监控主机中多种数据源,并根据被取 证主机的异常情况按照预定的策略收集数据,提高了 数据获取的效率,减少了无用的数据。 ②具有对网络中各主机在作为犯罪目标和犯罪工 具时的动态实时取证能力。使用隐秘技术对取证过程 进行了隐秘,在一定程序上避免被保护主机上的相关 证据可能受到入侵者或者用户本人的篡改、删除。同 时,把证据传输到取证服务器过程中进行了加密签名, 保证了证据的安全性、完整性和抗抵赖性。 ③具有取证信息的易扩展性和灵活的证据处理 和分析方式。在本系统模型下可以根据应用环境和需 要,对证据采集器的种类、证据分析的方式和分析算 法进行调整,使取证系统具有可扩展性。 下一步的改进工作包括采用更多的信:息采集技术 以扩充取证模型,研究证据分析算法,使取证分析更 准确、更高效等。 Windows缩略图缓存文件的分析和取证.pdf |
