【摘要】:隨著計算機的發展和網絡的普及c 獲取注冊表中的內容,計算機犯罪呈現日趨嚴重的趨勢,給國民經濟帶來了嚴重的破壞��。打擊和防范計算機犯罪已成為一個重大的難題。計算機取證技術正是在這種形勢下產生和迅速發展的�。計算機取證是一門結合計算機領域和法學領域的交叉學科,它主要研究如何將犯罪者留在計算機及其相關的設備中的電子證據作為有效的訴訟證據提供給法庭的技術�����。系統是國內外使用最廣泛的操作系統之一,同時系統的安全性也經受著各個方面的考驗。注冊表是操作系統�����、各種硬件設備以及應用程序得以正常運行的核心“數據庫”,注冊表還記錄著犯罪者進行犯罪的大量證據,成為打擊計算機犯罪非常重要的線索和證據來源。注冊表取證分析技術面臨的關鍵問題是如何把注冊表Hive文件從磁盤鏡像中恢復出來c 獲取注冊表中的內容,以及如何存儲和分析大量的注冊表數據��。本論文結合國內外計算機取證的基本模型,提出了針對注冊表的取證分析過程模型�。注冊表取證分析過程分為三個階段:證據收集、證據分析和證據表示����。本文還著重對取證過程中涉及的關鍵技術進行闡述。本文的主要貢獻在于:(1)提出了一種注冊表取證分析的過程模型。該模型幫助取證人員有條理的進行注冊表的獲取和分析,并在很大程度上減少人工操作�。(2)對Hive文件進行恢復��。由于Hive文件在磁盤中存在著分片,而傳統的恢復軟件很難對分片文件進行有效的恢復。本文對Hive文件的內部結構進行分析,具體探討Hive文件在磁盤中的各種分片情況,并利用內部結構和N-Gram算法來幫助取證人員恢復這些文件,具有較高的實用性和準確性。(3)利用注冊表數據之間的相關性特征對其進行壓縮存儲。由于注冊表數據冗余性,有必要對這些數據進行壓縮���。壓縮后的數據的查詢的效率不會受到影響。(4)建立注冊表數據庫,進行關鍵字查詢和關聯分析,提高證據分析的效率?��;谧员砣∽C分析技術研究,不僅能夠為注冊表取證過程提供系統化的取證模型,減少傳統取證過程中的人工干預,而且可以通過不同證據之間的關聯分析,增強證據的說服力。最重要的是,本文針對不同取證階段中可能涉及的關鍵技術進行詳細討論,從而增強了注冊表取證分析模型的實用性和擴展性。
