基于Linux系統(tǒng)的證據(jù)收集研究與實(shí)現(xiàn).pdf

1、計(jì)算機(jī)科學(xué)以及信息技術(shù)的發(fā)展，使人們從信息技術(shù)的應(yīng)用中享受到了諸多好處，但同時(shí)也面臨著越來越多的計(jì)算機(jī)犯罪活動(dòng)。目前全世界范圍內(nèi)大多數(shù)服務(wù)器都運(yùn)行著Linux系統(tǒng)，隨著計(jì)算機(jī)犯罪的技術(shù)水平不斷提高，有必要研究基于Linux系統(tǒng)的計(jì)算機(jī)取證方法與關(guān)鍵技術(shù)，以滿足打擊計(jì)算機(jī)犯罪，保證信息安全的需要。
　　首先，介紹了取證基本模型，提出了計(jì)算機(jī)系統(tǒng)取證的總體框架結(jié)構(gòu)圖，并將取證體系結(jié)構(gòu)劃分為證據(jù)收集模塊、數(shù)據(jù)保全模塊、證據(jù)分析模塊、取證

2、監(jiān)督模塊和證據(jù)提交模塊，本文重點(diǎn)研究的是證據(jù)收集模塊。
　　在動(dòng)態(tài)證據(jù)收集方面，本文首先研究了如何查找收集Rootkit證據(jù)。從分析內(nèi)核Rootkit的實(shí)現(xiàn)原理入手，進(jìn)行內(nèi)核Rootkit的檢測和收集方法設(shè)計(jì)，再給出具體實(shí)現(xiàn)過程。通過特征文件匹配、特征字符串查找、用戶登錄日志、隱藏進(jìn)程、隱藏端口和網(wǎng)卡混雜模式檢測，實(shí)現(xiàn)了用戶級(jí)Rootkit的檢測與收集，最后，本文給出了內(nèi)核和用戶級(jí)Rootkit檢測與收集的實(shí)驗(yàn)結(jié)果。
　　再

3、次，從入侵軌跡、痕跡，攻擊目標(biāo)、手段和隱藏入侵的角度出發(fā)，研究了靜態(tài)證據(jù)的收集，靜態(tài)證據(jù)重點(diǎn)收集可疑文件、日志文件、用戶權(quán)限敏感文件、隱藏文件和部分配置文件信息。
　　最后，本文設(shè)計(jì)與實(shí)現(xiàn)了靜態(tài)證據(jù)收集系統(tǒng)，采用分層設(shè)計(jì)開發(fā)的思想，將系統(tǒng)劃分為四個(gè)層次：鏡像層、文件系統(tǒng)層、應(yīng)用層和界面層，提高了開發(fā)的效率，也減少了系統(tǒng)測試的難度。鏡像層獲取被入侵計(jì)算機(jī)上的Linux分區(qū)數(shù)據(jù)，并以文件的形式保存在取證計(jì)算機(jī)上。文件系統(tǒng)層實(shí)現(xiàn)數(shù)字證據(jù)