基于函数映射的恶意程序逆向取证方法研究

恶意程序的静态逆向分析方法需要取证人员阅读大量汇编源代码,取证周期漫长、效率低下,不能满足公安工作实际需要。提出一种基于函数映射的恶意程序逆向分析方法,首先取证人员分析恶意程序调用了哪些系统函数,之后初步判断恶意程序主要功能,再通过关键函数断点设置来进一步完成取证分析工作。这种方法不需要取证人员完整阅读汇编代码,通过关键函数局部汇编代码分析来完成取证工作,在提高取证效率、缩短取证周期的同时,最大限度地保证检验结论的准确性和完整性。     

木马恶意程序电子数据取证环境的构建

在实际的电子数据取证工作中,经常会碰到木马程序恶意行为方面的鉴定要求。针对这种需求,本文结合实践应用中的实际需要,从程序逆向分析、内存信息调查、系统文件监控、网络数据传输等方面论述木马恶意程序电子数据取证环境构建所需的相关工具与技术,并归纳总结取证调查过程中需要注意的事项,希望能够为公安实战部门的电子数据取证和侦查工作提供一定的技术帮助。     

第三方SDK暗刷流量的取证分析与应用

随着移动互联网的高速发展,Android开发者为了提高开发效率,会选择在其开发的应用程序中内置第三方SDK。由于第三方SDK存在的代码程序安全隐患问题,被违法犯罪人员利用,使其成为暗刷流量违法获利的工具。为了应对暗刷流量类案,对APP内置的第三方SDK进行逆向分析尤为重要,对SDK实现的原理及取证分析技术的探究可以为侦办相关案件提供重要参考。     

反汇编与逆向分析在电子取证中的应用

随着软件技术的发展及其在各个领域的广泛应用,作为网络安全执法者,我们可以对病毒、木马等破坏性软件程序进行反汇编逆向分析,从根本上了解其数据结构、程序设计思路等。本文以信息收集型网络游戏盗号木马为例,通过程序脱壳、反汇编逆向分析寻找出此木马的收信地址。为计算机犯罪侦查和电子数据取证提供一种新方法。     

基于ADB调试的电子数据取证技术及研究

为应对电子数据取证活动中不同的鉴定要求,新的电子数据取证手段不断被开发。Android debug bridge可以实现与虚拟机或Android设备的交互,在对智能手机类别检材的电子数据取证过程中,通过Android debug bridge调试技术,可从检材中获取某些正常取证手段无法获取的信息。     

Office Word文档溯源方法研究

基于最广泛使用的Microsoft Office Word文件结构格式分析,集中关注编辑过程还原主题,立足document.xml与core.xml文件内容,挖掘OOXML格式中独特的RI值变化规则,进而完成文件来源的取证分析,并通过自主研发的软件使得分析工作智能化工具化。电子数据取证实践证明,所述方法准确高效。     

Android手机恶意软件取证技术研究

通过分析Android系统恶意软件实例,采用静态取证技术进行APK包反编译和源代码分析,提取恶意代码的关键数据。通过动态取证技术实时跟踪恶意软件的运行进程和API调用,提取与恶意行为相关的关键数据,为进一步获取线索和证据提供技术方法。     

Android系统地理位置取证研究

智能手机已经融入人们的日常生活，手机上大量的用户行为信息成为办案人员重要的线索来源，也是犯罪行为的有力证据。文章主要研究Android系统的地理位置取证，通过逻辑取证取得保存在Android系统中不同应用程序上的地理位置信息，从而提出了一种网络数据包取证的方式，并验证了在应用程序发出包含地理位置信息的服务请求时可以成功取证到地理位置信息，为Android系统的地理位置取证提供了另一种思路和模式。     

Android手机微信语音聊天数据提取研究

对电子数据取证而言,手机微信语音是一个重要提取内容。通常情况下,很多人只知道微信语音文件的存放路径,但不知道如何与聊天消息记录进行关联,也就无法提取到对应的微信语音数据。介绍一种新的Android手机微信语音提取方法,此方法利用逻辑算法将微信语音与对应的消息记录进行关联,并通过还原解码得到相应的微信语音数据。     

传销案件的计算机取证问题研究

本文首先分析了传销案件的特点,然后通过传销案件计算机取证的示例,介绍了传销案件的取证特点和取证程序,以及计算机取证过程中注意的事项,最后,指出了在今后涉及传销案件的计算机取证工作中要重点解决的问题。     

网页挖矿木马的取证方法

网页挖矿木马因其具有较高的隐蔽性和传播性,已成为全球最主要的网络安全威胁之一。目前,针对网页挖矿木马的取证流程及技术方法仍不健全。通过梳理在Android、Windows以及Linux等不同操作系统中的取证流程,可以发现基于网络数据层、网页代码层、可信时间戳、其他木马固定的“四维取证”方法不失为一种针对网页挖矿木马的有效取证方法。     

刑侦工作中智能手机调查取证模型研究

近年来,刑事侦查中涉及到智能手机取证的工作越来越多。随着智能手机及其服务技术的迅猛发展,智能手机的种类愈发繁多,功能愈发复杂,也对手机取证工作提出了新的挑战。智能手机调查取证的流程为:取证准备—提取证据—检验证据—分析证据—提交证据。当前智能手机取证存在着法律程序规定不明、手机实名滞后、手机取证硬件不协调等问题。     

论未成年人言词证据取证机制的创新

目前我国关于未成年人言词证据的取证立法十分匮乏,取证人员缺乏未成年人言词证据的取证知识,取证程序也亟待规范。因此,必须在确立未成年人言词证据的取证原则的基础上,建立以现代科学技术为基础的未成年人言词证据取证机制,建立未成年人言词证据的专业取证队伍和特别取证程序,并适当运用一些符合未成年人特点的取证方法。     

WinRAR压缩文件的电子数据取证方法探讨

从常规取证方法、临时文件(夹)分析、ADS文件调查等方面入手,详细讨论了针对WinRAR压缩文件的电子数据取证方法,并对过程中涉及到的具体技术与注意事项予以阐述。     

基于$UpCase元文件的RAID5磁盘阵列重组方法研究

针对电子数据取证中RAID5磁盘阵列重组问题,提出一种基于$UpCase元文件的RAID5磁盘阵列重组方法。公安机关在办理涉服务器案件时,经常会遇到犯罪嫌疑人蓄意破坏、异常关闭服务器等情况,若服务器采用RAID5磁盘阵列存储数据,这些破坏行为会造成阵列配置信息丢失,公安机关在进行取证前必须对磁盘阵列进行数据重组。介绍了在对未知磁盘序列的RAID5磁盘阵列进行取证分析时,通过$UpCase元文件的特点,确定磁盘阵列中数据条带大小,并归纳总结了利用MBR、DBR及条带大小等已知信息计算$MFT元文件在成员盘中起始位置的方法,通过数据块与校验块的位置确定磁盘次序,实现磁盘重组,进而读取数据完成取证分析。该方法通过$UpCase元文件判断数据块信息,再利用计算结果快速定位$MFT元文件,与现有方法相比,能够大幅度节省全盘搜索时间,提升数据重组效率。     

基于ESE数据库文件分析的IE浏览器取证技术研究

讨论了IE浏览器取证相关的知识,对IE浏览器中保存Web访问记录的ESE数据库文件进行了介绍,并分别以IE6、IE8和IE10为例分析了其ESE数据库文件在Windows系统中的存储位置和方式。重点对Index.dat和Webcachev01.dat两种ESE文件进行了结构解析,并以取证实战为目的,具体分析了IE浏览器取证中的二进制分析法,同时介绍了工具取证法。     

基于Windows内存取证的计算机病毒木马行为分析

随着技术发展,病毒木马对计算机的攻击隐秘性日益提高,只存在和运行于内存中的病毒已经出现,对内存的取证成为当前电子取证工作中重要一环。传统的取证手段已经无法完全满足当前的取证要求,因此,通过内存镜像对病毒木马进行取证研究已迫在眉睫。通过对木马病毒样本进行仿真、取证、分析,提出了一套从Windows内存镜像中对病毒木马行为进行分析研判的方法,该方法能够将内存分析简单模式化,为取证人员提供思路。     

正当性及其在侦查取证程序中的体现

侦查取证程序所查明的事实和获得的证据是实现刑事诉讼程序的实体正义的前提和基础,同时侦查取证程序又承担着保障人权、实现程序正义的重要任务。作为程序正义重要标准之一的正当性在侦查取证程序中应该体现为程序立法正当、程序运行正当与程序监督与制裁正当等三个方面,以确保侦查取证程序正当化的实现。     

基于网络数据还原的远程控制木马取证方法研究

远程控制木马对信息网络安全构成严重威胁,研究远程控制木马的取证方法对公安机关的侦查、办案工作有重要意义。提出了一种基于网络数据还原的远程控制木马取证分析方法。以pcshare木马为例研究了从通信数据中还原键盘记录信息和语音聊天文件的具体方法,应用提出的取证方法可以获得木马存在的直接证据,进而确定攻击行为,提取出攻击者的IP地址和使用的端口号。     

基于Windows 7“系统还原”功能的电子数据取证方法

传统电子数据取证技术难以还原数据文件中被修改过内容的本来面目。Windows操作系统中内置的"系统还原"功能则提供了揭示文件背后所隐藏秘密的新途径。相较Windows XP,Windows 7"系统还原"功能更为全面深入,并采用了全新的文件结构。基于电子数据取证视角,说明Windows 7"系统还原"功能,着重分析该功能所涉及的具体文件(夹)的结构格式,结合实例阐述其在电子数据取证实践中的具体应用。