基于函数映射的恶意程序逆向取证方法研究

恶意程序的静态逆向分析方法需要取证人员阅读大量汇编源代码,取证周期漫长、效率低下,不能满足公安工作实际需要。提出一种基于函数映射的恶意程序逆向分析方法,首先取证人员分析恶意程序调用了哪些系统函数,之后初步判断恶意程序主要功能,再通过关键函数断点设置来进一步完成取证分析工作。这种方法不需要取证人员完整阅读汇编代码,通过关键函数局部汇编代码分析来完成取证工作,在提高取证效率、缩短取证周期的同时,最大限度地保证检验结论的准确性和完整性。     

木马恶意程序电子数据取证环境的构建

在实际的电子数据取证工作中,经常会碰到木马程序恶意行为方面的鉴定要求。针对这种需求,本文结合实践应用中的实际需要,从程序逆向分析、内存信息调查、系统文件监控、网络数据传输等方面论述木马恶意程序电子数据取证环境构建所需的相关工具与技术,并归纳总结取证调查过程中需要注意的事项,希望能够为公安实战部门的电子数据取证和侦查工作提供一定的技术帮助。     

第三方SDK暗刷流量的取证分析与应用

随着移动互联网的高速发展,Android开发者为了提高开发效率,会选择在其开发的应用程序中内置第三方SDK。由于第三方SDK存在的代码程序安全隐患问题,被违法犯罪人员利用,使其成为暗刷流量违法获利的工具。为了应对暗刷流量类案,对APP内置的第三方SDK进行逆向分析尤为重要,对SDK实现的原理及取证分析技术的探究可以为侦办相关案件提供重要参考。     

基于ADB调试的电子数据取证技术及研究

为应对电子数据取证活动中不同的鉴定要求,新的电子数据取证手段不断被开发。Android debug bridge可以实现与虚拟机或Android设备的交互,在对智能手机类别检材的电子数据取证过程中,通过Android debug bridge调试技术,可从检材中获取某些正常取证手段无法获取的信息。     

反汇编与逆向分析在电子取证中的应用

随着软件技术的发展及其在各个领域的广泛应用,作为网络安全执法者,我们可以对病毒、木马等破坏性软件程序进行反汇编逆向分析,从根本上了解其数据结构、程序设计思路等。本文以信息收集型网络游戏盗号木马为例,通过程序脱壳、反汇编逆向分析寻找出此木马的收信地址。为计算机犯罪侦查和电子数据取证提供一种新方法。     

Office Word文档溯源方法研究

基于最广泛使用的Microsoft Office Word文件结构格式分析,集中关注编辑过程还原主题,立足document.xml与core.xml文件内容,挖掘OOXML格式中独特的RI值变化规则,进而完成文件来源的取证分析,并通过自主研发的软件使得分析工作智能化工具化。电子数据取证实践证明,所述方法准确高效。     

Android手机恶意软件取证技术研究

通过分析Android系统恶意软件实例,采用静态取证技术进行APK包反编译和源代码分析,提取恶意代码的关键数据。通过动态取证技术实时跟踪恶意软件的运行进程和API调用,提取与恶意行为相关的关键数据,为进一步获取线索和证据提供技术方法。     

Android系统地理位置取证研究

智能手机已经融入人们的日常生活，手机上大量的用户行为信息成为办案人员重要的线索来源，也是犯罪行为的有力证据。文章主要研究Android系统的地理位置取证，通过逻辑取证取得保存在Android系统中不同应用程序上的地理位置信息，从而提出了一种网络数据包取证的方式，并验证了在应用程序发出包含地理位置信息的服务请求时可以成功取证到地理位置信息，为Android系统的地理位置取证提供了另一种思路和模式。     

Android手机微信语音聊天数据提取研究

对电子数据取证而言,手机微信语音是一个重要提取内容。通常情况下,很多人只知道微信语音文件的存放路径,但不知道如何与聊天消息记录进行关联,也就无法提取到对应的微信语音数据。介绍一种新的Android手机微信语音提取方法,此方法利用逻辑算法将微信语音与对应的消息记录进行关联,并通过还原解码得到相应的微信语音数据。     

传销案件的计算机取证问题研究

本文首先分析了传销案件的特点,然后通过传销案件计算机取证的示例,介绍了传销案件的取证特点和取证程序,以及计算机取证过程中注意的事项,最后,指出了在今后涉及传销案件的计算机取证工作中要重点解决的问题。