• 简论基于NTFS注册表取证工具与设计-本科毕业论文评语

简论基于NTFS注册表取证工具与设计-本科毕业论文评语wWw.7ctiMe.cOm

论文导读:

摘要:随着计算机技术广泛使用,计算机犯罪呈现越演越烈的趋势,给国民经济带来了严重的干扰和破坏,预防和打击计算机犯罪成为当下一个难题。Windows注册表中包含了丰富的各类信息,其中往往记录了罪犯分子进行犯罪证据,因此注册表取证对于预防和打击计算机犯罪具有重要的意义。本文在国内外注册表取证技术研究的基础上,重点研究了注册表Hive文件结构和具有取证价值的信息、Windows NTFS文件系统的大目录结构和变化规律及其改进建议,同时分析了VMware虚拟机文件系统,并设计了在主机上直接提取虚拟机内部文件的解决方案,开发出能用于虚拟机注册表取证的工具VMFSExplorer。本文的主要贡献在于:1、对Windows NTFS文件系统的大目录结构进行了全面的分析,解析大目录生成条件和变化规律,提出改进大目录结构的算法。为在大目录复杂情况下进行计算机取证提供理论支持。2、对注册表Hive文件总体结构和各种cell提供了详细解析,在验证Hive文件中多处校验和算法基础之上提出操作Hive文件的算法。从计算机取证对电子证据有效性角度出发,设计了Hive文件解析工具,设计了针对注册表取证的操作算法---访问型原子操作操作3、分析VMware虚拟磁盘文件系统数据组织方式,基于Hosted Sparse Extents Disk(主机稀疏扩展盘)模型和NTFS文件系统设计并开发专门用于虚拟机取证的文件提取工具VMFSExplorer。VMFSExplorer取证工具运行在主机系统之上,能有效解决虚拟机因系统损坏、无法破解虚拟机系统等情况下无法取证的问题,同时对原始数据信息进行全面的保护。VMFSExplorer不仅可以用于虚拟机注册表取证,也适用于虚拟机取证的一般情况。4、VMFSExplorer取证工具使用三种类型的文件一起保存获取的电子证据信息,在保证电子证据信息有效性和完整性的同时,也给计算机取证人员带来极大的易操作性和方便证据的呈现。基于NTFS注册表取证工具研究与设计,不仅能为注册表取证过程提供指导,能有效的扩大注册表的取证范围,而且也是注册表取证工具开发的理论基础。最重要的是本文提出VMware虚拟机上的注册表取证方法,并开发出能直接在主机上获取VMware虚拟机原始电子数据的工具VMFSExplorer,从而扩展了注册表取证范围。 关键词:计算机取证 注册表 NTFS Hive 虚拟机取证
本文由http://www.swuzs.com整理提供,需要 论文可以联系客服人员哦。
  • 摘要4-6
  • ABSTRACT6-8
  • 目录8-11
  • Contents11-14
  • 第一章 绪论14-18
  • 1.1 研究背景14-15
  • 1.2 计算机取证的原则15
  • 1.3 计算机取证的注意事项15-16
  • 1.4 注册表Hive文件在计算机取证中的重要性16-17
  • 1.5 研究目标和主要内容17-18
  • 第二章 计算机取证研究现状18-24
  • 2.1 计算机取证的概念18
  • 2.2 计算机取证获取证据的方式18-20
  • 2.3 计算机取证工具20-21
  • 2.4 Windows注册表取证国内外研究现状21-24
  • 第三章 NTFS及大目录结构24-39
  • 3.1 NTFS文件系统24-25
  • 3.2 NTFS重要的的数据结构简介25-27
  • 3.2.1 MFT文件记录结构25-26
  • 3.2.2 索引项结构分析26-27
  • 3.3 NTFS大目录结构解析27-30
  • 3.3.1 产生大目录的条件27-28
  • 3.3.2 大目录存放的索引数目28
  • 3.3.3 三层大目录的结构分析28-30
  • 3.4 三层大目录结构的的变化规律30-32
  • 3.4.1 删除文件B+结构变化规律30-32
  • 3.5 添加文件B+树变化规律32-33
  • 3.6 大目录结构下OX20属性分析33-34
  • 3.7 改进NTFS大目录结构34-38
  • 3.7.1 消除OX20属性方案35-37
  • 3.7.2 大目录的优化效果37-38
  • 3.8 NTFS文件系统总结38-39
  • 第四章 注册表取证研究39-61
  • 4.1 计算机注册表取证相关数据39-43
  • 4.1.1 具有取证价值的注册表项39-43
  • 4.2 注册表逻辑结构43-45
  • 4.2.1 Hive文件的特征45
  • 4.3 Hive文件总体结构45-46
  • 4.4 Hive文件内部结构46-57
  • 4.4.1 基本块结构和校验46-48
  • 4.4.2 Hbin块头结构48-49
  • 4.4.3 项纪录的结构49-50
  • 4.4.4 子项列表的结构50-52
  • 4.4.5 值列表的结构52
  • 4.4.6 值记录的结构52-54
  • 4.4.7 值数据的结构54-55
  • 4.4.8 安全描述符的结构55-56
  • 4.4.9 类Cell结构56-57
  • 4.5 Hive文件的访问型操作57-61
  • 第五章 虚拟机注册表取证61-82
  • 5.1 VMWare虚拟机文件系统61-66
  • 5.1.1 VMWare虚拟机磁盘总体而已结构61-63
  • 5.1.2 虚拟机磁盘描述符文件63-66
  • 5.2 主机稀疏扩展盘66-67
  • 5.3 主机稀疏盘头67-72
  • 5.3.1 粒、粒目录、粒表70-71
  • 5.3.2 在主机稀疏盘中访问一个扇区71-72
  • 5.4 VMFSExplorer工具原理与实现72-80
  • 5.4.1 虚拟机注册表取证工具的作用72
  • 5.4.2 虚拟机注册表取证工具的原理72-74
  • 5.4.3 获取VMD中NTFS元数据74
  • 5.4.4 VMD中复制文件一个实例74-77
  • 5.4.5 虚拟机注册表取证工具的实现77-80
  • 5.5 本章小结80-82
  • 总结与展望82-84
  • 参考文献84-87
  • 攻读学位期间发表的论文87-89
  • 致谢89