WINDOWS易失性內存取證關鍵技術研究

金日浩　宋浩　張智聰

【摘要】易失性內存取證是計算機取證研究的熱點，現有的Windows易失性內存取證方法和技術只能分析單個內存鏡像文件，不具備分析的智能性，難以形成推理關系的證據鏈，因此本文針對內存數據的特點，設計了實用的取證模型，充分發揮了Windows易失性內存電子證據的法律效力，嚴厲打擊計算機犯罪。

【關鍵詞】計算機取證：易失性：內存取證；關聯性分析：

【中圖分類號】TP333 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0026-01

1.引言

打擊犯罪的關鍵在于獲得充分、可靠和強有力的證據，取證涉及到法律和技術兩個方面。一般犯罪證據的提取目前已經有很多較為成熟的技術，例如，指紋提取和識別、法醫鑒定、DNA鑒定等等。隨著計算機技術的發展和網絡的普及，利用或以計算機為目標的犯罪事件頻繁發生。由于計算機證據具有與一般犯罪證據不同的特點，所以對其獲取和可靠性的保證一直是計算機犯罪案件和其他與計算機有關的犯罪案件偵破工作的難點。因此，計算機取證（computer forensics）技術的研究變得越來越迫切。計算機取證作為計算機科學和法學的交叉學科應運而生。

2.計算機取證綜述

計算機取證，可以定義為對依靠計算機實施的犯罪行為利用計算機軟硬件技術，按照符合法律規范的方式進行證據獲取、保存、分析和出示的過程。亦即是將存于計算機及相關外圍設備中的電子數據轉化固定為實質的證據，以及鑒定這些電子證據屬性的過程。從計算機取證的概念可以看出，電子證據是計算機取證的核心。電子證據，是指以數字形式保存于計算機主存儲器或外部存儲介質中，能夠證明案件真實情況的數據和信息。從廣義上講，電子證據泛指一切用以證明案件事實的電子化信息資料和數據；從狹義上講，電子證據僅指以數字形式存在于計算機系統中的能夠證明案件事實的數據，包括計算機產生、傳輸、儲存、記錄以及打印的證據。其表現形式可能為文檔、圖形、圖像、聲音等形式。

當前計算機取證研究的一個比較活躍的領域是獲取操作系統的易失性數據。易失性數據可以定義為當計算機系統失去電源以后不再存在的數據，而這些易失性信息通常保存在內存或硬盤的臨時文件中。RFC3227文檔給出了各種類型的信息按照易失性的程度的排序，依次為：

①寄存器，高速緩存

②路由表，ARP高速緩存，進程表，內核統計和內存

③臨時文件系統

④硬盤

⑤遠程登錄和監控數據

⑥物理配置和網絡拓撲

⑦歸檔媒體

其中內存取證研究處于易失性數據取證領域的前沿，是當前的研究熱點。內存取證是指獲取和分析正在運行的主機的物理內存的內容。

3.windows易失性內存取證技術

當前獲取Windows操作系統易失性內存數據的技術主要包括兩類：基于軟件的和基于硬件的。可以通過操作的基本原理進行區分：軟件技術依賴于Windows操作系統獲取內存的鏡像，而硬件技術則獨立于具體的操作系統，直接訪問計算機系統的內存。基于硬件的技術主要包括基于DMA（DMA：Direct MemoryAccess）的PCI卡、Firewire設備和虛擬機（如VMWare）等，這些方法雖然具有一定的研究價值，但大都存在固有的缺陷：如受限于實際的應用場景；又比如受內存映射IO（MMIO：Memory Mapped Io）特性的影響，導致獲取的內存鏡像與實際不符，因此還沒有得到廣泛應用。

原始Windows內存鏡像是純二進制比特信息，不能直接作為電子證據高級分析技術和工具的數據源，需要根據Windows內存組織和運行方式提取其中有價值的結構化數據（如進程和線程信息），已經有一些商用和研究的工具和技術支持物理內存的取證分析。所有成果中Volatility Framework除了具備大多數內存分析工具的功能以外，還具有以下特性：首先，它可以自動識別標準c語言的底層二進制數據流，并將它們映射到高層的標準c語言的數據結構類型，這樣就可以使取證分析工作人員在高級語言層面分析內存中代碼結構；其次，VolatilityFramework還可以通過內存鏡像的物理地址信息，構建出內存的邏輯地址空間，使分析人員可以使用每個進程自己的虛擬地址空間分析問題，而不用考慮其真實的物理地址究竟映射在內存的什么地方。而且對c語言的指針可以直接訪問到其指向的數據，不用過多考慮邏輯地址到物理地址空間映射的問題；另外，VolatilityFramework具有較好的可擴展性，支持通過編寫插件等進一步對分析功能進行擴展。

總之，現有的Windows易失性內存取證方法和技術只能分析單個Windows內存鏡像文件，并沒有利用計算機技術智能分析相同性質案件所共有的典型特征，還不能自動地利用已經積累的案例信息智能地輔助調查取證人員處理同一類的計算機犯罪案件。此外，當前面向證據的設計模式限制了取證工具的橫向功能擴展和縱向滿足更高層次的應用發展，單一的證據很難在邏輯上形成具有相互關系的證據鏈，還無法實現智能推理等擴展功能，不能為高級應用提供支持。因此，迫切需要開展面向證據鏈重構的Windows易失性內存智能取證研究。

4.windows易失性內存取證模型

計算機取證過程必須遵循嚴格的程序流程，否則將導致獲取證據的可信度降低或缺乏合法性，為此人們提出了許多種計算機取證模型，以規范取證過程、指導取證產品研發。然而，現有的取證模型也存在諸如過于注重細節，缺乏通用性；沒有很好地把法律和技術結合起來；注重靜態的取證分析而沒有考慮取證模型隨時間的變化等問題，特別是現有的取證模型還沒有考慮Windows內存數據的易失性、瞬時性、階段穩定性、實體信息多維性、實體相互關聯性以及階段內實體狀態變化的可預見性等特點。

經過嚴謹的理論研究和應用測試，本文已經設計出具有較好通用性與可擴展性的實用的Windows易失性內存取證模型，共四層。第一層進行基本信息分析與提取；第二層進行實體信息的識別；第三層進行關聯性分析；第四層進行電子證據的歸檔；對已獲取的原始的Windows內存數據從高層次視圖進行抽象。利用進程代數和規則制定輔助調查取證人員進行智能推理，并用軟件實現了將多個相關的可疑證據組成一個整體，形成具有推理關系的證據鏈，重構計算機犯罪行為、動機以及嫌疑人特征。

參考文獻

[1].許榕生，吳海燕等.計算機取證概述.計算機工程與應用，2001，37（21）：7 8，144.

[2].丁麗萍，王永吉.計算機取證的相關法律技術問題研究.軟件學報，2005，16（2）：260 275.

[3].王峰.基于Windows的易失性內存數據取證分析方法研究吉林大學碩士畢業論文

[4].G.Simson，F.Paul，R.Vassil，D.George.Bringingscience to digital forensics with standardized forensic corpora，2009.1：2 11.

[5].S.Peisert，M.Bishop，K.Marzullo.Computer forensics inforensic.ACM SIGOPS Operating Systems Review，2008，42（3）：112-122