基于物理内存分析的在线取证模型与方法的研究

在线证据可信性问题是计算机在线取证中要解决的关键问题和难点问题。本课题从在线取证方法和模型、可信性评估、证据融合三个方面来研究在线证据的可信性问题，以改变因在线证据可信不强而导致的在线证据不被认可的窘境。其特色在于以物理内存获取和分析为突破口，将在线证据的可信性问题集中在内存获取和分析技术上面，降低了在线证据可信性评估的复杂度，更符合传统物证技术的要求。具体研究1）基于物理内存分析的计算机在线取证方法和模型2）该方法和模型的可信性评估3）基于证据聚类的电子证据融合算法研究。目标是研究新的、可靠的在线取证方法和模型，解决传统在线取证方式存在的问题；在此基础上研究基于物理内存分析的计算机在线取证方法的可信性，以解决在线证据可信性度量问题；最后，采用基于聚类的数据融合技术来分析关联不同来源的电子证据，以提高电子证据分析效率和准确度。

本项目从在线取证模型和方法、可信性评估、证据融合三个方面研究在线证据可信性问题，取得如下成果1.分析取证过程的各要素，给出数字证据可信性评估架构，建立基于物理内存分析的计算机在线取证模型和方法。2研发软硬件的内存读写工具包括基于PCI Express和1394接口的内存读写器与基于KMDF的内存获取工具，实现屏保状态下获取物理内存，并突破对4G内存的限制。3基于KPCR结构建立Windows物理内存分析方法，解决Windows2k-win8下物理内存分析问题（经专家鉴定为国际领先水平）。4将内存分析方法扩展至苹果电脑和智能终端取证：研发不依赖于附加内核文件的Mac OS内存分析方法，解决Mac10.5-10.8下物理内存分析问题;开发了智能手机内存获取分析系统，并通过国家某部技术鉴定。5对内存镜像获取方法的可信性进行评估，分析了内存获取对注册表的影响、内存获取时覆盖关键痕迹的概率以及获取内存的完整性，给出了评估方法，并实验验证获取结果的有效性。本研究共发表研究论文27篇（SCI收录7篇，EI收录17篇），形成专利7个，软件著作权4项。