毕业论文
职称论文发表
论文 论文发表
7彩论文网********论文与**********其次提供论文范文免费阅读
经济论文| 管理论文| 法学论文| 教学论文| 教育论文| 新闻传播| 财政税收| 财务管理| 市场营销| 物流论文| 教师论文| 保险论文| 心理学| 图书馆>
会计论文| 医学论文| 文学论文| 英语论文| 医院管理| 护理论文| 政治论文| 哲学论文| 医药论文| 计算机| 社会学| 艺术| 科学| 工程| 文化| MBA
关于谈基于逆向工程的计算机取证方案网站位置: >> 计算机论文 >> 人工智能论文 >> 浏览文章
谈基于逆向工程的计算机取证方案

论文导读:。计算机中的电子证据由于其虚拟性,易修改、易丢失等特性,加之操作系统、程序本身的封装限制,所以造成了计算机犯罪中取证的困难。近几年来,由于逆向工程方案的问世,一种崭新的基于逆向工程的计算机取证方案相关论文由http://www.7ctime.com收集整理提供,如需论文可联系我们.程序测试策略也随之诞生。本文利用逆向工程方面的知

基于逆向工程的计算机取证方案研究摘 要:自从互联网问世的几十年来,带动了计算机普及的同时,同时也导致了计算机犯罪案件的大幅上升。计算机中的电子证据由于其虚拟性,易修改、易丢失等特性,加之操作系统、程序本身的封装限制,所以造成了计算机犯罪中取证的困难。近几年来,由于逆向工程方案的问世,一种崭新的基于逆向工程的计算机取证方案相关论文由http://www.7ctime.com收集整理提供,如需论文可联系我们.程序测试策略也随之诞生。本文利用逆向工程方面的知识,探讨该项技术方案在计算机取证中的应用,以求能降低计算机犯罪中取证的困难度。
  关键词:逆向工程;计算机取证;网络犯罪
  中图分类号:TP391.7
  当前,网络空间如今在以高速的节奏发展壮大,几乎每天都有计算机被用于从事犯罪活动。随着计算机网络、硬件和软件的构成越来越复杂,加之其与传统证据的勘验、检查策略以及取证对象等的不同,也增加了将其用于犯罪活动的可能性与取证的难度。由于在软件测试中,黑盒测试策略无法获知源程序是否被篡改,犯罪分子有可能利用程序的封装性所造成的取证难度加大而隐藏了犯罪证据。逆向工程可从本质上分析程序代码结构以及程序的运转流程,从而得到犯罪分子的犯罪证据。
  1 逆向工程简介
  计算机程序一般是用C、C++等高级语言编写后,由编译器编译成机器语言形式的目标文件后,再通过链接过程最终生成可执行的程序。逆向工程(Reverse Engineering)是将某封装好的可执行程序还原成高级语言、汇编语言或是二进制代码的一种技术。通常源程序与逆向分析后的结果存在不同,运转的结果虽然相同,但是代码会发生很大变化,这就需要分析侦查人员对软件测试、计算机低级语言甚至程序运转原理有着深刻的认识和理解。
  目前逆向工程常用的分析软件分为两大类:动态反汇编分析以及静态反汇编分析软件。在“动态分析”过程中,调试器加载程序,并以调试模式运转,分析者可以在程序的执行过程中获知程序运转的流程以及最终的结果。但是实际的分析中,很多情况并不能实际的运转目标程序,比如某一个无法单独运转的模块、恶意代码、硬件环境与程序不兼容而导致无法运转……而所谓的“静态分析”,是相对于“动态分析”而言的。调试工具Ollydbg具有动态分析的功能,但是其反汇编辅助分析功能有限,所以一般使用功能极为强大的反汇编静态分析工具IDA Pro。
  2 利用逆向技术分析计算机物证实例
  本文以某个已经捆绑了一个隐藏的未知程序的可执行程序为例,此已知的可执行程序为一个常见的应用程序,并无危害,但是其内部捆绑了一个未知的程序,普通的黑盒测试中是无法判断其危害性,进而也无法取得这种情况下的电子物证。下面通过逆向技术的分析,来判定这个未知程序的作用以及取得该电子物证。
  实验环境为Windows 8.1下的VMWare虚拟机配置的Windows XP SP3的操作系统环境。某未知程序,其运转后效果为系统提供的cmd.exe程序,但是由于其被附加了另一个未知程序,不能判定该程序类型、功能,所以我们利用互式反编译工具IDA Pro来进行分析。图1为使用IDA Pro打开该程序后的界面。
  图1 使用IDA Pro打开该程序后的界面
  从图1可以得出该文件是一个Win32 PE文件。Win32 PE(Protable Execute)文件名称为可移植执行文件,日常所用的exe、com、sys等后缀名的文件都属于PE文件类型,该文件是windows系统上的程序文件,其有可能直接执行,也有可能以动态链接库(dll)的形式间接运转。我们在调试VC++开发的程序时,总是从main(或是WinMain)函数开始,实际上,在这两个函数被调用运转之前,已经有真正的入口函数被调用,通常入口函数是mainCRTStartup、wmainCRTStartup、WinMainCRTStartup以及wWinMainCRTStartup,具体情况和编译器的选项有关。用IDA Pro的程序树视图(图2)可以看到,IDA Pro已经把真正的入口函数部分隐藏,它会直接分析出WinMain函数所在位置并且直接显示出来,这对于分析人员进行逆向分析降低了一定的难度。
  图2 IDA Pro的程序树视图
  在windows绝大部分的程序调用中,实际上程序调用时会释放到临时变量中,载入内存,然后再运转程序。本文所用的程序也属于这种情况,所以分析时从CreateFile和WriteFile两个函数入手,详细分析出该程序具体实现的功能。
  在IDA Pro的导入信息函数窗口(Imports)中,找到CreateFileA与WriteFileA函数,由于这两个函数总是成对出现,所以分析时只观察一个即可。列出所有CreateFileA被用引用过的窗口(图3)发现本程序共调用了4次CreateFile函数,说明其共创建了4份临时文件。
  图3 列出所有CreateFileA被用引用过的窗口
  查看用户变量文件夹,在运转qqq.exe之后,变量文件夹内产生了3个临时文件(图4)。
  图4 运转qqq.exe之后,变量文件夹内产生了3个临时文件
  也证明了该程序确实调用了4个CreateFile函数,第一个CreateFile函数创建了程序本身,后三个函数分别创建了qqq.exe,iexpoler.exe,svchsot.exe三个应用程序。现通过十六进制文本编辑器来分离其中的一部分程序。利用010edit编辑器打开qqq.exe文件,在识别的ASCII字符串中可发现MZ文件头,MZ文件头是PE文件类型的标志之一,这使得PE文件成为一个合法的DOS可执行文件。通过筛选几处MZ字符串,发现此程序是由两部分组合而成,将最后的MZ标识之后的所有数据都复制到记事本中,修改后缀名为exe,运转结果如图5所示:
  图5 修改后缀名为exe后的运转结果结束,原程序是由cmd制约台程序与上述MessageBox程序捆绑组合而成。这里我们利用了IDA Pro分析了程序构造,以及利用了十六进制文本编辑器进行了程序的分离操作, 全文地址:http://www.7ctime.com/rgznlw/lw29676.html
论文写作技巧论文写作技巧

关于谈基于逆向工程的计算机取证方案论文范文由7彩论文网整理编辑提供免费阅读硕士毕业论文