Windows环境下隐秘信息取证系统研究

研究生签名：_____________ 日期：____________
南京邮电大学学位论文使用授权声明
本人授权南京邮电大学可以保留并向国家有关部门或机构送交论文的复印件和电子文 档；允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索； 可以采用影印、缩印或扫描等复制手段保存、汇编本学位论文。本文电子文档的内容和纸质 论文的内容相一致。论文的公布（包括刊登）授权南京邮电大学研究生院办理。 涉密学位论文在解密后适用本授权书。
4963电子证据分类性能仿真实验5064本章小结53第七章取证系统的设计与实现5471系统设计中其他关键技术概述5472系统开发平台和开发环境5573系统的总体结构设计55731主机基本信息采集模块56732敏感信息抽取系统模块57733电子证据分类及取证系统信息展示5774本章小结59第八章总结与展望6081取证系统的工作总结6082取证工作的展望61参考文献62附录1攻读硕士学位期间撰写的论文65附录2攻读硕士学位期间申请的专利66附录3攻读硕士学位期间参加的科研项目67致谢68南京邮电大学硕士研究生学位论文第一章绪论第一章绪论随着个人电脑的普及以及网络信息技术的高度发展计算机越来越多的参与到我们的日常生活和工作中来利用计算机网络犯罪的技术手段越来越高明犯罪也呈逐年递增的趋势上涨严重威胁到单位个人的财产安全甚至威胁到国家政治稳定为了对绿化网络环境保障计算机网络环境健康有序的发展就必须向威胁网络安全的行为宣战计算机取证这一词汇由此应运而生
I
Abstract
Computer crime activities have been gradually increased by the rapid development of computer network. The development of computer forensics technology has attracted more and more attention. In order to meet the needs of different forensic scenes, the industry needs feature-rich and practical forensic tools. Based on huge users of windows operate system, we do research on forensics system of unrevealed information based on Windows OS environment. The research has both strong theoretical and practical values. In this paper, we do research on computer forensics technology and fields of data mining classification techniques. This paper proposed a model of forensics system integrating electronic evidence collection, electronic evidence classification and electronic evidence display together. Firstly, this paper deeply analyzes on mainstream browser kernel mechanism, does research on browser trace extraction technology from the perspective of computer forensics, and extracts large number of effective Web electronic document information. This paper also focuses on the e-mail forensics, mail system composition and mail encoding format and identifies the authenticity of mail header information from the perspective of e-mail forensics. For the great amount of data of electronic evidence and chaotic characteristics, this paper also does research on the text categorization model based on naive Bayesian algorithm taking Web text categorization and message classification experiment as example, and designs for fusion classification of forensics model. Through the simulation comparison of multi-learner and single learner performance, it blends in with higher classification performance of ensemble learning classification thought. The system is combined with traditional electronic evidence extraction technology and
Thesis Submitted to Nanjing University of Posts and Telecommunications for the Degree of Master of Engineering
By Zhu Xiaolong Supervisor: Prof. Sun Guozi June 2013
南京邮电大学学位论文原创性声明
本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得南京邮电大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 本人学位论文及涉及相关资料若有不实，愿意承担一切相关的法律责任。
研究生签名：____________ 导师签名：____________ 日期：_____________
摘要
随着计算机网络的高速发展，从事计算机犯罪的活动逐渐增多，计算机取证技术的发展 得到了越来越多的关注，为了满足各种各样的取证场景的需求，功能丰富、操作实用的取证 工具已成为行业的必需，由于 Windows 环境用户使用基数大，研究并设计出基于 Windows 环境的隐秘信息取证系统。论文对此进行研究，具有较强的理论意义和实际应用价值。 论文将传统的电子证据提取技术与数据挖掘技术相结合，提出集电子证据收集、电子证 据分类和电子证据展示于一体的取证系统模型。 本文首先深度分析主流浏览器内核机制，从计算机取证角度对浏览器痕迹提取技术进行 研究，提取大量有效的 Web 电子文档隐秘信息；与此同时，还进行了电子邮件取证的相关研 究，对邮件系统构成以及邮件编码格式进行了深入分析，从电子邮件取证角度对邮件头隐秘 信息进行真伪性鉴定分析。 针对电子证据的数据量巨大且杂乱无章的特性，论文研究了基于朴素贝叶斯算法的文本 分类模型，并以网页文本分类以及邮件分类实验为例，设计融合分类思想的取证模型。论文 通过多学习器与单学习器性能的仿真对比，融入了具备更高分类性能的集成学习分类思想， 大大提高了取证精度以及取证效率，有效地将计算机取证技术与数据挖掘领域的分类技术进 行了融合，最终实现杂乱无章的海量电子证据的有效分类，提高取证效率。 关键词: 计算机取证；电子证据；数据挖掘；分类技术； 集成学习
II
目录
第一章 绪论 ............................................................................................................................................................. 1 1.1 计算机取证研究背景与意义 .................................................................................................................... 1 1.1.1 计算机取证基本概念 ..................................................................................................................... 1 1.2 国内外计算机取证研究现状比较 ............................................................................................................ 2 1.2.1 国外的计算机取证研究现状 ......................................................................................................... 2 1.2.2 国内的计算机取证发展现状 ......................................................................................................... 3 1.3 本文主要研究的内容与创新 .................................................................................................................... 3 1.4 本文的组织结构 ........................................................................................................................................ 4 第二章 相关背景知识介绍 ..................................................................................................................................... 6 2.1 计算机取证系统分类 ................................................................................................................................ 6 2.2 分类技术 .................................................................................................................................................... 7 2.2.1 分类技术概述 ................................................................................................................................. 7 2.2.2 常见的分类算法 ............................................................................................................................. 9 2.3 本章小结 .................................................................................................................................................. 12 第三章 浏览器历史痕迹的提取方法 ................................................................................................................... 13 3.1 主流浏览器现状分析 .............................................................................................................................. 13 3.1.1 浏览器市场情况 ........................................................................................................................... 13 3.1.2 浏览器分类 ................................................................................................................................... 14 3.2 浏览器历史痕迹的分类以及提取技术 .................................................................................................. 14 3.2.1 定位痕迹数据源头 ....................................................................................................................... 15 3.2.2 解析书签记录 ............................................................................................................................... 15 3.2.3 Cookies 和缓存记录文件分析 ...................................................................................................... 16 3.2.4 URL 历史记录内容解析 ............................................................................................................... 22 3.3 本章小结 .................................................................................................................................................. 23 第四章 电子邮件取证技术 ................................................................................................................................... 24 4.1 电子邮件系统构成 .................................................................................................................................. 24 4.2 两种电子邮件传输原理 .......................................................................................................................... 26 4.3 邮件编码格式深度剖析 .......................................................................................................................... 27 4.3.1 通用因特网邮件扩充 MIME........................................................................................................ 29 4.3.2 邮件传输编码解析 ....................................................................................................................... 30 4.3.3 邮件头取证分析 ........................................................................................................................... 31 4.4 本章小结 .................................................................................................................................................. 34 第五章 基于朴素贝叶斯分类算法的取证研究.................................................................................................... 35 5.1 中文文本分类 .......................................................................................................................................... 35 5.1.1 文档表示模型 ............................................................................................................................... 35 5.1.2 分词技术 ....................................................................................................................................... 36 5.2 基于朴素贝叶斯的电子证据文本分类 .................................................................................................. 37 5.2.1 网页文本预处理 ........................................................................................................................... 38 5.2.2 电子证据文档特征提取 ............................................................................................................... 39 5.2.3 电子证据文本分类结果评价标准................................................................................................ 41 5.2.4 电子证据文本分类器设计及电子邮件分类实验........................................................................ 42 5.3 本章小结 .................................................................................................................................................. 44 第六章 融入集成学习的电子证据文档分类方法................................................................................................ 45 6.1 集成学习 .................................................................................................................................................. 45 III