分享
分享赚钱 收藏 举报 版权申诉 / 3

类型Windows系统中入侵证据获取方法研究.pdf

  • 上传人:HR专家
  • 文档编号:5420028
  • 上传时间:2019-03-01
  • 格式:PDF
  • 页数:3
  • 大小:736.36KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    Windows系统中入侵证据获取方法研究.pdf
    资源描述:

    1、2011 M415 34 8 C0/ M odern Electronics T echniqueApr. 2011Vol. 34 No. 8Windows系统中入侵证据获取方法研究邹海荣( 9 S/ “, qnull 723000)Knull1:为了解决 Window s系统中计算机取证困难的问题,有效实施打击与遏制计算机犯罪快速发展b分析并研究了如何从Window s系统的文件系统a日志文件和注册表获取系统中入侵计算机证据的方法b该方案保障了计算机证据的客观a真实与可靠性, 并保证了计算机证据收集的合法性b通过解决系统中计算机取证存在的问题, 得到提高打击计算机犯罪a保障计算机系统信息安全

    2、的作用b1oM: W indows系统; 文件系统; 日志文件; 注册表ms |: T N919null34; T P309. 2null null null null nullDS M : A null null null null nullcI|: 1004null373X( 2011) 08null0023null03Acquisition Method of the Invasion of Evidence in Windows SystemZOU H ainullrong( Departm ent of Computer Science and T echnology, Shaanx

    3、i Inst it ut e of T echnology, H anzhong 723000, China)Abstract: To solve problems of that it is diff icult to acquire t he invasion of evidence and restrain crime for computers inWindow s syst em, the met hods of acquiring the invasion of evidence from file system, log files and regist ry of W indo

    4、ws sysnulltem. The scheme protects an objective, true and reliable evidence of comput ers, and ensures the legitimacy of the computerevidence collection. The information security of computer system is guaranteed through solving problems existed in computerevidence collection.Keywords: Window s syste

    5、m; file system; log files; registryl : 2010null11null08null null “9 / f ?Z,9 UL mm,9 “d 59M1-F -b KvK |9 ULM1 , L 9 ULru ,X 5B , %B5ro 9 |/ 1bWindow s“d “ -K T“d,yNWindow s“d9 |ZE d1C Lilb/ s VWinnulldow s“dq“da qV |Winnulldow s“d ZEb1 nullq“dB , Yq,YVes ? 2 , ,i qq“d5 /,yN,q“d |b |q“d = s q bVV/5Z

    6、I nq“ds |:1. 1 null 文件系统类型q“dB98, q“dqM,YVq“d V q vlb1. 2 null 内容 L=q ,q“dvs Sb1. 3 null 元数据c q , qi%aqvlaq HW eb 1i q q = i SbFAT “cNT FSqV( M FT ) 3 Sb1. 4 null 文件名分类v q“dt $q “ c,i O b1. 5 null 应用分类t | 4+ y ?( S V -d9q“d ) ,t Hdb2 null qqT Window s“ T“dB1 + yq, Z V9N 4bqs “d _1 = , H q9 9 |1G b2.

    7、 1 null 3个相互独立的日志文件Window s T“dY3M q, :“d a a , HDNS a : aH ID aNID aFT P #WWW 5(Window s XP“d, a a“d aDNS 6 : % sys temroot% sys tem32 config, qvl512 KB)b , EVENT LOG/ 0V, V “ cb2. 1. 1 null 系统日志“d : c“d ! z, ,“d Yq ! zaqpaIP,# a TTb“d c“dFq: c Y f( “d : c W1F z “dFq#p)b“dFq: c Yq 5 b“d “dFqC5,1 H

    8、zF b2. 1. 2 null 应用程序日志 1 cQ a P f 1S)b2. 1. 3 null 安全日志 Y $Y K bA-% V rt , MY c b 15 : c f b Vs P“d , ) b , Yq +Maq “ cau#“d cgb V: c r c k Yq# P1 Yqb5 V : c Yq( T F c , * “d c k: c )bWindow s“d 4 “dBS j, ?S j V A mM f ,79 a6 54 “dS j: c,i V !+6, V a5 COMFq#Fq : csM1b2. 2 null 查看日志9 1a “d Yq, V P Y

    9、q A 7 Ai5 Yq b l“9 qa q“d8Z p,9 S jBt Z 5b V a “d |: cs3 b S“d |, _“dl, VV |BbV1 Bt1 YqID# bV1nullBt1 YqID# 事件ID 说明 事件ID 说明528 用户成功登陆到计算机 529有人用未知的用户名进行了登录尝试, 或者用已知的用户名进行了登录尝试,但密码不正确b530 用户账户试图在不允许的时间进行登录 531 有人使用一个被禁用的账户进行登录尝试b532 有人使用一个过期的账户进行登录尝试 533 未允许该用户登录此计算机534该用户试图用不允许使用的登录类型(如网络登录a交互登录a批登录

    10、a服务登录或远程交互登录)进行登录535 指定账户的密码已过期536 null 网络登录null服务未处于活动状态 537 由于其他原因登录尝试失败538 一个用户被注销 539有人进行登录尝试时账户被锁定b此事件可表明有人发动密码攻击但未成功,因而导致账户被锁定b540网络登录成功b此事件表明远程用户从网络成功地连接到服务器上的本地资源,并为该网络用户生成了一个令牌682一个用户重新连接到已断开连接的null终端服务null会话b此事件表明有人连接到了以前的null 终端服务会话null683一个用户没有注销就断开了null 终端服务null会话连接b此事件在一个用户通过网络连接到null

    11、终端服务null会话的情况下生成b它出现在终端服务器上b3 nullVVWindow s 95 T“d ,V Window s# ob VVV |q q a5 a“d S # c bVi% v , PV | .KzbWindow s XP , V,V |Nsb3. 1 null 注册表结构m1 PWindow s“d VI ( Regedit) AWindow sV 8bP3 gqC o;3 gA UVobVVREG_BINARY |o H, dob 1- v=Z Ti% , 1- dt b/ V , V 9 b24C0/ 2011 M34 3. 2 null 注册表中的证据信息3. 2. 1

    12、 null 注册表键值的最后写时间VoBnull Last W ritenullK HW,q Q HWb L= , BFILETIME,qM AC (aay ) HWbN B64b 7, ? |Vo Q HW7 o QHWbVo B0oy a “ H1 Q HWb PKeytime. exe V6 o Q HWb oy HW Vv9 Yq? 3 HWb图1 null W indow s注册表逻辑结构3. 2. 2 null 注册表中的数据隐藏P VV , : a=qbP Vr| VobYV PI / ,P V _,7 OVI i V Pb3. 2. 3 null 注册表键值1VVo= ,P V

    13、| =qi%Vbt Vs+s ob“d9 VM1o3,5v Vos 4b3. 2. 4 null 注册表编辑器漏洞Window s 2000Window s XPVI ( renullgedit. exeregedit32. exe)i | , KE AI b PY 3V256 259Vo,t 3Vo , |1- ,7 O| y obI |TA UtVs 3o,I t 3o oKBobP V PI P ,c P V|0i null autorunnullb VYVWindow s e V ( reg. exe) A UVo,V7s ( :1X_H KEY _ LOCAL _MA CH INE

    14、Softw are Microsoft Window s CurrentnullVer sion Runo,5 7: reg query H KEY _LOCAL_M ACH INE Softw ar e M icrosoft Window sCur rentVer sion Run) ,T m2 Ub图2 null 用reg命令查看注册表键值4 nullnull %Window s“d9 | 45,r L u 39 UL y ?Zbs VWindow s“dq“da qV|Windows“d ZEbu 9 UL,4 rE p , 9 |/ L=b %Z p 9 Z4a L#V L# 9 l“

    15、Eb |T$ B) 7? Windows“d T V ? 9 1 | q , %Windows“d9 | 45b参null 考null 文null 献 1z .9 |/ M .: S, 2008. 2 C, ,.9 |/ M .q:qv, 2007. 3. W indows/ D .:0 S/v, 2008. 4B .W indows 4 |s D .=: v, 2008. 5 .3 F: “d T N .S7, 2005null04null04. 6,l .9 Y / M .: bv, 2006. 7 . W indows“d S_W EB/ DB . 2009null03null12 . htt p: / / industry. ccidnet. com/ art/ 1155/ 20050913/805997_1. html. 8 CARVEY H arlan. W indows |s M .bm, d,r.: S, 2009.258 ;Z : Window s“d S |ZE

    展开阅读全文
    提示  道客多多所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:Windows系统中入侵证据获取方法研究.pdf
    链接地址:https://www.docduoduo.com/p-5420028.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    道客多多用户QQ群:832276834  微博官方号:道客多多官方   知乎号:道客多多

    Copyright© 2025 道客多多 docduoduo.com 网站版权所有世界地图

    经营许可证编号:粤ICP备2021046453号    营业执照商标

    1.png 2.png 3.png 4.png 5.png 6.png 7.png 8.png 9.png 10.png



    收起
    展开