瀏覽器隱私模式下的內(nèi)存取證研究.pdf

1、隨著計算機網(wǎng)絡技術(shù)的快速發(fā)展，網(wǎng)絡犯罪日益增多，犯罪手段也日益多元化。這時計算機離線取證存在的許多不足就逐漸顯露出來，比如:很多易失數(shù)據(jù)如內(nèi)存映射文件等將會丟失，內(nèi)核級別的病毒或木馬有可能為運行于用戶態(tài)的取證工具提供虛假信息，因此離線取證已經(jīng)不再滿足需求，基于這些不足動態(tài)取證應運而生。越來越多的網(wǎng)絡安全問題需要使用動態(tài)取證去解決，如瀏覽器隱私模式，在這種模式下用戶的瀏覽行為將會被瀏覽器自動擦除，而不在本地磁盤中留下任何痕跡，傳統(tǒng)的磁盤取

2、證就不再適用。基于此，本文針對瀏覽器隱私模式這一典型應用進行了內(nèi)存取證的研究工作，主要包括以下幾點:
　　 (1)隨著網(wǎng)絡技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)應用產(chǎn)品也不斷推陳出新。作為使用最廣泛的互聯(lián)網(wǎng)入口的web瀏覽器也不斷升級，現(xiàn)在就出現(xiàn)了一種應用可以消除用戶的瀏覽痕跡，即隱私瀏覽模式。本文對多個主流瀏覽器的隱私模式進行了測試，檢測隱私模式是否真能消除瀏覽痕跡。
　　 (2)通過上述實驗發(fā)現(xiàn)，瀏覽器的隱私模式使得用戶的瀏覽痕跡無

3、法存留于本地硬盤中，為了解決由此引發(fā)的取證難題，這里提出了一種新的內(nèi)存數(shù)據(jù)獲取方法。傳統(tǒng)的內(nèi)存取證方式主要是先獲取整個物理內(nèi)存的鏡像文件，再通過KPCR結(jié)構(gòu)的分析，從鏡像文件中獲取指定進程中的內(nèi)存數(shù)據(jù)。但是這種方法存在明顯的不足:針對性不強，運行速度慢。為了克服這些不足，本文提出一種方法，通過對進程的CR3寄存器內(nèi)容的替換實現(xiàn)對指定進程內(nèi)存空間的提取。
　　 (3)為了驗證上述數(shù)據(jù)獲取方法的正確性，本文首先設計了一個網(wǎng)頁并用瀏覽