計(jì)算機(jī)犯罪案件動(dòng)態(tài)取證系統(tǒng)的研究與設(shè)計(jì)

郝姍姍，陳紅玉

(鐵道警官高等專(zhuān)科學(xué)校公安管理系，河南鄭州450053)

作為計(jì)算機(jī)領(lǐng)域、法學(xué)領(lǐng)域和刑事偵查領(lǐng)域的一門(mén)交叉科學(xué)，計(jì)算機(jī)取證技術(shù)因其在捕獲與犯罪相關(guān)的數(shù)字證據(jù)、辨析和確認(rèn)犯罪證據(jù)和嫌疑人、有效打擊計(jì)算機(jī)犯罪等方面的出色表現(xiàn)，逐漸成為人們研究與關(guān)注的焦點(diǎn)。計(jì)算機(jī)取證也稱(chēng)數(shù)字取證，是指把計(jì)算機(jī)看作犯罪現(xiàn)場(chǎng)，運(yùn)用先進(jìn)的辨析方法，以符合法律規(guī)范的形式對(duì)計(jì)算機(jī)、相關(guān)外設(shè)和網(wǎng)絡(luò)中的數(shù)字證據(jù)進(jìn)行識(shí)別、獲取、傳輸、保存、分析和提交的過(guò)程。計(jì)算機(jī)取證的主要目的就是收集數(shù)字證據(jù)，重構(gòu)犯罪現(xiàn)場(chǎng)，為訴訟案件提供可靠、有效的證據(jù)。但數(shù)字證據(jù)本身及計(jì)算機(jī)取證過(guò)程的原則使得傳統(tǒng)計(jì)算機(jī)取證技術(shù)已不能滿(mǎn)足實(shí)際需要，因此對(duì)計(jì)算機(jī)取證技術(shù)的改進(jìn)成為司法和計(jì)算機(jī)科學(xué)等領(lǐng)域的新挑戰(zhàn)［1］。

計(jì)算機(jī)取證分為靜態(tài)取證和動(dòng)態(tài)取證。靜態(tài)取證是在事后對(duì)各種形式的存儲(chǔ)介質(zhì)進(jìn)行提取、分析、取證的過(guò)程。這種方法主要針對(duì)文件系統(tǒng)的恢復(fù)，且不能達(dá)到對(duì)系統(tǒng)完整還原的目標(biāo)。而且隨著計(jì)算機(jī)犯罪手段不斷的升級(jí)和發(fā)展，大部分犯罪嫌疑人會(huì)在入侵后掩蓋、刪改證據(jù)，因而有些數(shù)據(jù)文件即使經(jīng)過(guò)技術(shù)恢復(fù)被恢復(fù)了，但仍可能是被篡改過(guò)的數(shù)據(jù)，因而不能作為呈堂證據(jù)。另外，由于現(xiàn)在大部分入侵攻擊都來(lái)自計(jì)算機(jī)網(wǎng)絡(luò)，采用靜態(tài)取證方法無(wú)法獲取網(wǎng)絡(luò)信息，從而對(duì)網(wǎng)絡(luò)入侵行為無(wú)能為力，所以這種方法存在一定的缺陷。動(dòng)態(tài)取證是將取證技術(shù)結(jié)合到防火墻、入侵檢測(cè)技術(shù)以及蜜罐技術(shù)中，對(duì)所有可能的計(jì)算機(jī)犯罪行為進(jìn)行實(shí)時(shí)數(shù)據(jù)獲取和智能分析，誘敵深入，實(shí)時(shí)監(jiān)控和分析入侵企圖，迅速采取相應(yīng)措施，在確保系統(tǒng)安全的情況下獲取大量的證據(jù)［2］。不難看出，動(dòng)態(tài)取證技術(shù)能更快、更多地獲取入侵信息，實(shí)時(shí)監(jiān)控入侵活動(dòng)，及時(shí)分析入侵者的活動(dòng)企圖，及時(shí)獲取更多的犯罪證據(jù)，也可以隨時(shí)采取相應(yīng)措施，將損失降到最小。

一、計(jì)算機(jī)動(dòng)態(tài)取證的一般步驟

計(jì)算機(jī)取證是主要圍繞數(shù)字證據(jù)展開(kāi)的工作，最終目標(biāo)是要把存在于計(jì)算機(jī)系統(tǒng)中的能體現(xiàn)和證明犯罪事實(shí)的各種犯罪信息以訴訟證據(jù)的形式呈送給法庭。數(shù)字證據(jù)的來(lái)源所具有的形式和內(nèi)容的特殊性，使得它們具有與傳統(tǒng)證據(jù)有別的高科技性、易滅失性、易篡改性、表現(xiàn)形式多樣性，以及保存和傳輸?shù)奶厥庑缘忍匦裕虼耍瑸榱吮ＷC取證工作的順利進(jìn)行，就必須遵從一定的方法步驟。主要包括如下環(huán)節(jié)。

(一)證據(jù)的來(lái)源

數(shù)據(jù)證據(jù)一般可包括靜態(tài)證據(jù)和動(dòng)態(tài)證據(jù)。靜態(tài)證據(jù)主要指存儲(chǔ)在硬盤(pán)和移動(dòng)存儲(chǔ)設(shè)備介質(zhì)中的數(shù)據(jù)信息，而針對(duì)計(jì)算機(jī)動(dòng)態(tài)取證的動(dòng)態(tài)證據(jù)主要來(lái)自計(jì)算機(jī)系統(tǒng)和正在運(yùn)行的網(wǎng)絡(luò)。內(nèi)容形式上主要包括四類(lèi):

1.犯罪行為發(fā)生時(shí)的實(shí)時(shí)主機(jī)運(yùn)行參數(shù);

2.與外網(wǎng)的物理鏈接狀況及網(wǎng)絡(luò)通信情況;

3.相應(yīng)的郵件信息;

4.各種日志信息。

(二)證據(jù)的采集

網(wǎng)絡(luò)攻擊入侵必須依靠網(wǎng)絡(luò)進(jìn)行傳輸通信數(shù)據(jù)，到達(dá)目標(biāo)系統(tǒng)后才能發(fā)起攻擊行為。證據(jù)采集時(shí)可將網(wǎng)卡設(shè)為混雜模式，從而達(dá)到對(duì)經(jīng)過(guò)該網(wǎng)段的數(shù)據(jù)進(jìn)行監(jiān)聽(tīng)的目的，一旦發(fā)現(xiàn)報(bào)警，立即將相關(guān)運(yùn)行信息保存至日志。對(duì)接受的每一個(gè)數(shù)據(jù)包，讀取包頭信息，并與規(guī)則庫(kù)中的相應(yīng)規(guī)則進(jìn)行匹配，不滿(mǎn)足規(guī)則獲取條件的便將其丟棄，否則立即以二進(jìn)制格式按時(shí)間間隔存儲(chǔ)為網(wǎng)絡(luò)數(shù)據(jù)文件，它們既可作為日后呈堂的證據(jù)使用，又可通過(guò)實(shí)時(shí)或事后讀取這些數(shù)據(jù)進(jìn)行在線(xiàn)入侵分析和離線(xiàn)取證分析。

(三)證據(jù)的傳輸

對(duì)犯罪現(xiàn)場(chǎng)勘查過(guò)程中獲取的數(shù)字證據(jù)，可以采用光纜以RS－232為接口通過(guò)異步數(shù)據(jù)傳輸?shù)姆绞?，從被取證的計(jì)算機(jī)系統(tǒng)中安全轉(zhuǎn)移到取證分析機(jī)上。由于計(jì)算機(jī)取證的整個(gè)過(guò)程有不可篡改性的要求，因此，數(shù)據(jù)在傳送前要先對(duì)數(shù)據(jù)進(jìn)行MD5校驗(yàn)、數(shù)字簽名和壓縮等操作，通過(guò)認(rèn)證、加密后使用VPN進(jìn)行傳送。

(四)證據(jù)的保存

鑒于計(jì)算機(jī)證據(jù)作為證據(jù)呈堂時(shí)形式與內(nèi)容的特殊性，因而必須保證被保存證據(jù)的真實(shí)性、可靠性、完整性與合法性。一般在保存證據(jù)時(shí)使用一定的存儲(chǔ)介質(zhì)如硬盤(pán)或光盤(pán)進(jìn)行原始鏡像備份，并可使用加密、物理隔離、數(shù)字簽名、時(shí)間戳等技術(shù)措施來(lái)作保全和固定的保證。

(五)證據(jù)的分析

通過(guò)證據(jù)獲取階段獲取的證據(jù)數(shù)據(jù)量是龐大且不斷更新的，取證系統(tǒng)如何從海量且變化的數(shù)據(jù)中深入地分析出正常與異常數(shù)據(jù)，如何挖掘出有效信息，提取出與計(jì)算機(jī)犯罪案件相關(guān)的、反映案件事實(shí)的相關(guān)信息和直接證據(jù)，并提取、固定可被法庭接受的數(shù)字證據(jù)已成為動(dòng)態(tài)取證過(guò)程的關(guān)鍵。在動(dòng)態(tài)取證的證據(jù)分析階段，通常運(yùn)用專(zhuān)用的輔助分析軟件工具篩選已獲取數(shù)據(jù)，從中尋找、匹配關(guān)鍵詞短語(yǔ)，根據(jù)已獲取的文件或數(shù)據(jù)的用詞、語(yǔ)法和編程風(fēng)格，推斷出作者使用的工具與技術(shù)，挖掘出同一犯罪事件中不同證據(jù)間的聯(lián)系，根據(jù)數(shù)據(jù)進(jìn)行犯罪實(shí)施過(guò)程的確定與再現(xiàn)，包括入侵事件、使用IP地址、修改的文件、增加的文件、刪除的文件、上傳和下載的文件等［3］。

二、動(dòng)態(tài)取證系統(tǒng)基本架構(gòu)

根據(jù)當(dāng)前取證技術(shù)的缺陷和實(shí)際工作需要，本文設(shè)計(jì)的計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)，綜合運(yùn)用計(jì)算機(jī)取證技術(shù)與網(wǎng)絡(luò)監(jiān)控技術(shù)，能自動(dòng)審核全網(wǎng)計(jì)算機(jī)對(duì)注冊(cè)表、文件、網(wǎng)絡(luò)的任何操作，對(duì)存在的可疑文件及操作自行跟蹤并收集數(shù)據(jù)。一旦發(fā)現(xiàn)犯罪行為，取證系統(tǒng)立刻啟動(dòng)，進(jìn)行動(dòng)態(tài)取證，因此能夠較為完整地記錄系統(tǒng)工作及網(wǎng)絡(luò)犯罪事件的全過(guò)程。系統(tǒng)能動(dòng)態(tài)收集、識(shí)別犯罪證據(jù)，并能及時(shí)分析犯罪企圖，將犯罪損失降到最低。同時(shí)系統(tǒng)將經(jīng)過(guò)分析、提取的證據(jù)傳送至證據(jù)庫(kù)作證據(jù)保全［4］。在證據(jù)的傳送、保存過(guò)程中，系統(tǒng)采取認(rèn)證、加密、隔離等安全手段，以確保證據(jù)的真實(shí)性、準(zhǔn)確性及不可篡改性，使其成為有效的法庭證據(jù)。系統(tǒng)在對(duì)取證的事跡、地點(diǎn)、環(huán)境的把握上明顯優(yōu)于靜態(tài)取證。系統(tǒng)采用Client/Server結(jié)構(gòu)，主要由服務(wù)器、取證代理、網(wǎng)絡(luò)取證機(jī)、取證分析機(jī)、管理控制臺(tái)等部分組成。整個(gè)系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)結(jié)構(gòu)圖

三、系統(tǒng)主要功能模塊的設(shè)計(jì)與實(shí)現(xiàn)

本文所討論的動(dòng)態(tài)取證系統(tǒng)不但針對(duì)傳統(tǒng)的來(lái)自網(wǎng)絡(luò)外部的以網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)系統(tǒng)為目標(biāo)的犯罪行為，同時(shí)還獲取包括來(lái)自網(wǎng)絡(luò)內(nèi)部的以計(jì)算機(jī)系統(tǒng)為工具的濫用、越權(quán)使用等犯罪行為。本系統(tǒng)由三個(gè)部分組成:注冊(cè)表狀態(tài)監(jiān)控模塊、文件操作監(jiān)控模塊和上網(wǎng)記錄監(jiān)控模塊。注冊(cè)表狀態(tài)監(jiān)控模塊主要利用鉤子技術(shù)(Hook技術(shù))監(jiān)控注冊(cè)表的活動(dòng)，對(duì)所有注冊(cè)表操作進(jìn)行記錄分析。文件操作監(jiān)控模塊則是對(duì)文件信息的變更、復(fù)制傳播等操作進(jìn)行記錄統(tǒng)計(jì)，必要時(shí)能阻止有威脅的信息傳播。上網(wǎng)記錄監(jiān)控模塊主要利用WinPcap抓獲數(shù)據(jù)包，解析數(shù)據(jù)包，并獲取相關(guān)數(shù)據(jù)。

(一)注冊(cè)表狀態(tài)監(jiān)控模塊

1.注冊(cè)表狀態(tài)監(jiān)控原理

注冊(cè)表狀態(tài)監(jiān)控模塊監(jiān)控并顯示被監(jiān)控機(jī)系統(tǒng)注冊(cè)表的活動(dòng)情況，能夠查詢(xún)系統(tǒng)中注冊(cè)表調(diào)用的情況，借用函數(shù)(Openkey，Closekey，QueryValue，QueryvalueEX，Enumkey等)指出調(diào)用注冊(cè)表的操作以及調(diào)用注冊(cè)表操作的相關(guān)進(jìn)程(指出是哪個(gè)進(jìn)程調(diào)用了注冊(cè)表)，進(jìn)程所關(guān)聯(lián)的注冊(cè)表的位置，該進(jìn)程是否已成功地訪(fǎng)問(wèn)了注冊(cè)表和當(dāng)前所訪(fǎng)問(wèn)注冊(cè)表的鍵值。該模塊具有查找某個(gè)鍵值的功能，可以過(guò)濾出我們要監(jiān)控的鍵值，對(duì)某個(gè)指定的鍵值具有修改性。當(dāng)需要對(duì)注冊(cè)表進(jìn)行寫(xiě)操作時(shí)，如果該鍵值需要保護(hù)，可以給予阻斷。

Windows基于對(duì)象的訪(fǎng)問(wèn)控制權(quán)限要求用戶(hù)要調(diào)用內(nèi)核組件的功能，就必須通過(guò)系統(tǒng)服務(wù)調(diào)用來(lái)實(shí)現(xiàn)。應(yīng)用程序先調(diào)用API函數(shù)，再通過(guò)Ntdll.Dll提供的用戶(hù)模式函數(shù)接口進(jìn)入內(nèi)核模式，然后訪(fǎng)問(wèn)系統(tǒng)服務(wù)調(diào)度表(System Service Dispath Table即SSDT)得到相應(yīng)的服務(wù)函數(shù)入口地址，最后調(diào)用相應(yīng)的系統(tǒng)服務(wù)函數(shù)完成操作。

為了達(dá)到注冊(cè)表監(jiān)控的目的，我們可以修改SSDT所監(jiān)控的系統(tǒng)服務(wù)程序的入口地址，使之變?yōu)樽远x的監(jiān)控函數(shù)的地址。這樣一來(lái)應(yīng)用程序在進(jìn)行系統(tǒng)調(diào)用時(shí)便先執(zhí)行掛接的模塊，然后再執(zhí)行原始系統(tǒng)服務(wù)地址處的函數(shù)，從而實(shí)現(xiàn)了對(duì)注冊(cè)表監(jiān)控的目的。而要實(shí)現(xiàn)監(jiān)控模塊，關(guān)鍵在于定位系統(tǒng)服務(wù)調(diào)度表。在Windows系統(tǒng)中有一個(gè)未公開(kāi)的單元KeService Descriptor Table，通過(guò)它可實(shí)現(xiàn)對(duì)SSDT的訪(fǎng)問(wèn)與修改。該單元對(duì)應(yīng)一個(gè)數(shù)據(jù)結(jié)構(gòu)，其中一個(gè)參數(shù)(定義為Service Table Base)表示系統(tǒng)服務(wù)程序的地址，修改該參數(shù)就可實(shí)現(xiàn)對(duì)相關(guān)系統(tǒng)服務(wù)調(diào)用的Hook。

2.注冊(cè)表狀態(tài)監(jiān)控模塊流程

在本監(jiān)控模塊內(nèi)，我們新建了函數(shù)Hook On及Hook Off來(lái)響應(yīng)開(kāi)啟和關(guān)閉監(jiān)控命令，以達(dá)到掛接目的。當(dāng)某應(yīng)用程序要對(duì)注冊(cè)表進(jìn)行操作時(shí)，先通過(guò)相應(yīng)的API函數(shù)及動(dòng)態(tài)鏈接庫(kù)進(jìn)入內(nèi)核，進(jìn)而調(diào)用相應(yīng)的函數(shù)。我們定義了鉤子函數(shù) ZwSetValueKeyHook，通過(guò)它可以實(shí)現(xiàn):獲取要操作的注冊(cè)表鍵名，與規(guī)則庫(kù)中所定義的鍵名進(jìn)行比較，根據(jù)規(guī)則中要求進(jìn)行下一步操作，如如允許通過(guò)、拒絕、詢(xún)問(wèn)用戶(hù)等。另外，我們還定義了一個(gè)日志函數(shù) Log Txt，該函數(shù)記錄對(duì)注冊(cè)表操作的日期、具體操作的鍵以及處理結(jié)果，再利用On Button Log Saving函數(shù)可將日志導(dǎo)出以便日后查詢(xún)。本模塊是在VC6.0環(huán)境下生成，主要包括Hide Hook驅(qū)動(dòng)及Reg Hook文件。點(diǎn)擊Reg Hook后便先啟動(dòng)后臺(tái)監(jiān)控進(jìn)程Hide Hook，此時(shí)本模塊便處于監(jiān)控狀態(tài)。

(二)文件操作監(jiān)控模塊

文件操作監(jiān)控作為保障信息安全的有效機(jī)制，可以實(shí)現(xiàn)對(duì)本地各類(lèi)文件和用戶(hù)操作的保護(hù)與監(jiān)控。通過(guò)對(duì)文件和用戶(hù)操作等監(jiān)控技術(shù)的深入研究分析，可以更好地根據(jù)系統(tǒng)需求選用適當(dāng)?shù)募夹g(shù)方式，提高監(jiān)控的針對(duì)性，確保系統(tǒng)的穩(wěn)定與高效。

1.文件實(shí)時(shí)監(jiān)控技術(shù)

文件實(shí)時(shí)監(jiān)控技術(shù)的核心就是文件系統(tǒng)的過(guò)濾器驅(qū)動(dòng)(File System Filter Driver)，這種驅(qū)動(dòng)運(yùn)行于操作系統(tǒng)的核心模式，它可以針對(duì)文件的任何操作(打開(kāi)、創(chuàng)建、修改、關(guān)閉、刪除等)進(jìn)行實(shí)時(shí)監(jiān)查，病毒感染文件以及其他任何相關(guān)操作都會(huì)被監(jiān)控［5］。

文件操作監(jiān)控模塊主要是基于Windows API完成的。Windows應(yīng)用程序接口(API)是Windows系統(tǒng)提供給用戶(hù)進(jìn)行系統(tǒng)編程和外設(shè)控制的函數(shù)庫(kù)。其中，與實(shí)現(xiàn)文件變更監(jiān)控相關(guān)的API函數(shù)為Read Directory Changes W。模塊可以利用重定義 Read Directory Changes W函數(shù)進(jìn)行監(jiān)控:用戶(hù)首先通過(guò)定制監(jiān)控目錄選擇要監(jiān)控的網(wǎng)頁(yè)文件。當(dāng)進(jìn)行實(shí)時(shí)監(jiān)控時(shí)，系統(tǒng)啟動(dòng)多個(gè)并發(fā)的監(jiān)控線(xiàn)程對(duì)多個(gè)目錄實(shí)施實(shí)時(shí)監(jiān)控，一個(gè)線(xiàn)程監(jiān)控一個(gè)目錄。傳送控制部分負(fù)責(zé)啟動(dòng)監(jiān)控線(xiàn)程，接收監(jiān)控線(xiàn)程傳來(lái)的目錄變更的消息，并根據(jù)消息將備份文件覆蓋異常文件，產(chǎn)生報(bào)警和審計(jì)信息。

2.模塊系統(tǒng)的運(yùn)行

打開(kāi)應(yīng)用程序后，在主界面窗口可通過(guò)工具欄上的按鈕選項(xiàng)設(shè)置調(diào)出子窗口監(jiān)視選項(xiàng)來(lái)設(shè)置監(jiān)控的內(nèi)容。當(dāng)要監(jiān)控文件時(shí)，只要單擊“選項(xiàng)設(shè)置”就可以彈出如下的監(jiān)視選項(xiàng)窗口，我們可以通過(guò)選擇該窗口中的五個(gè)要監(jiān)控內(nèi)容來(lái)設(shè)置，即通過(guò)更改Settings.ini文件中的m_bAddNew0，m_bDel0，m_ bRename0，m_bModify0，m_bOther0五個(gè)參數(shù)設(shè)置的“0”和“1”兩個(gè)值來(lái)控制。同時(shí)還提供四個(gè)輔助項(xiàng)來(lái)方便使用。設(shè)置完以上信息后，我們可以直接單擊“開(kāi)始監(jiān)控”運(yùn)行程序，而監(jiān)視到的內(nèi)容就會(huì)在工具欄下面的操作顯示列表框中列出來(lái)。

單擊停止監(jiān)控后，可以通過(guò)單擊信息存儲(chǔ)來(lái)保存列表框中的數(shù)據(jù)。通過(guò)定義Save As Text File和Save As Excel File函數(shù)分別實(shí)現(xiàn)利用txt和Excel兩種格式保存列表框中的數(shù)據(jù)。

(三)上網(wǎng)記錄監(jiān)控模塊

上網(wǎng)記錄監(jiān)控模塊主要利用WinPcap抓獲數(shù)據(jù)包，解析數(shù)據(jù)包，并獲取相關(guān)數(shù)據(jù)。具體步驟如下:

第一步:得到網(wǎng)絡(luò)驅(qū)動(dòng)列表;

第二步:打開(kāi)網(wǎng)卡捕獲數(shù)據(jù)包;

第三步:對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾;

第四步:對(duì)數(shù)據(jù)包進(jìn)行解析;

第五步:收集并統(tǒng)計(jì)網(wǎng)絡(luò)流量。

1.抓包過(guò)程

本模塊關(guān)鍵的第一步就是能否抓取數(shù)據(jù)包，如果不能夠抓取數(shù)據(jù)包也就無(wú)法繼續(xù)進(jìn)一步對(duì)數(shù)據(jù)包解析以及獲取相關(guān)的數(shù)據(jù)。

抓取數(shù)據(jù)包的主要過(guò)程。首先，通過(guò)pcap_findalldevs函數(shù)獲取設(shè)備的網(wǎng)絡(luò)接口，再將所獲取的接口給打印出來(lái)。而后獲取的網(wǎng)絡(luò)接口中，一般有1到2個(gè)網(wǎng)絡(luò)接口，選取合適的網(wǎng)絡(luò)接口。緊接著就跳轉(zhuǎn)到選中的適配器，用pcap_open_live函數(shù)打開(kāi)設(shè)備，并設(shè)置好相關(guān)的系數(shù)，包括捕獲數(shù)據(jù)包的大小、選擇過(guò)濾器模式、讀入超時(shí)以及錯(cuò)誤緩沖池等。然后分別用pcap_compile函數(shù)和pcap_setfilte函數(shù)進(jìn)行編譯和設(shè)置過(guò)濾器。最后一步就是等待數(shù)據(jù)包，只要有數(shù)據(jù)包通過(guò)就用pcap_loop函數(shù)將數(shù)據(jù)包進(jìn)行捕獲，然后將數(shù)據(jù)包放入緩沖池內(nèi)以待進(jìn)一步對(duì)數(shù)據(jù)包的分析。

2.數(shù)據(jù)分析

接著下一步就是對(duì)捕獲到的數(shù)據(jù)包進(jìn)行分析以獲取我們想要的相關(guān)信息。而本模塊獲取的數(shù)據(jù)包相關(guān)信息主要包括目的IP地址、源IP地址、目的MAC地址、源MAC地址、端口以及傳輸?shù)膮f(xié)議等信息［6］。對(duì)于分析數(shù)據(jù)包，本模塊則用packet_handler這個(gè)函數(shù)，利用這個(gè)函數(shù)將時(shí)間戳轉(zhuǎn)換成我們可識(shí)別的格式，并且從數(shù)據(jù)包中分別獲取目標(biāo)MAC地址、源MAC地址，獲得UDP首部的位置，將網(wǎng)絡(luò)字節(jié)序列轉(zhuǎn)換成主機(jī)字節(jié)序列，而后將IP地址和UDP端口打印出來(lái)，獲取協(xié)議的類(lèi)型，最后將整個(gè)數(shù)據(jù)包打印出來(lái)。

3.日志審計(jì)

通過(guò)以上的步驟得到了數(shù)據(jù)包的相關(guān)數(shù)據(jù)，然后利用ADO連接Access數(shù)據(jù)庫(kù)，將數(shù)據(jù)庫(kù)與程序相鏈接，將程序中所獲取的相關(guān)數(shù)據(jù)用insert函數(shù)插入到數(shù)據(jù)庫(kù)中，這就生成了日志庫(kù)。而后就是通過(guò)數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)的查詢(xún)，對(duì)此，數(shù)據(jù)庫(kù)用_RecordsetPtr－＞Open函數(shù)進(jìn)行數(shù)據(jù)的查詢(xún)，用_RecordsetPtr－＞GetCollect函數(shù)對(duì)數(shù)據(jù)庫(kù)記錄中字段的索引。

4.測(cè)試

經(jīng)過(guò)在局域網(wǎng)的測(cè)試，在程序啟動(dòng)的情況下，程序處于一種等待的狀態(tài)，只要在局域網(wǎng)中有數(shù)據(jù)流的流動(dòng)，程序就能夠?qū)⑦@些數(shù)據(jù)予以捕獲并將其分析。

由上可知，本模塊可以通過(guò)數(shù)據(jù)包獲得目的MAC地址、源MAC地址、目的IP地址、源IP地址、協(xié)議類(lèi)型以及時(shí)間戳等信息，并且還可以獲得整個(gè)數(shù)據(jù)包的數(shù)據(jù)。

四、系統(tǒng)主要?jiǎng)?chuàng)新之處

在對(duì)現(xiàn)有的監(jiān)控理論技術(shù)深入研究的基礎(chǔ)上，將這些監(jiān)控技術(shù)合理有效地組合，即可制作計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)。本系統(tǒng)包括注冊(cè)表狀態(tài)監(jiān)控模塊、文件操作監(jiān)控模塊和上網(wǎng)記錄監(jiān)控模塊三個(gè)模塊，三大系統(tǒng)模塊各具特色。

1.注冊(cè)表狀態(tài)監(jiān)控模塊能夠及時(shí)發(fā)現(xiàn)應(yīng)用程序運(yùn)行過(guò)程中對(duì)注冊(cè)表敏感部分的讀寫(xiě)、修改操作，從而阻止惡意軟件的相關(guān)操作。

2.文件操作監(jiān)控模塊自動(dòng)記錄硬盤(pán)中的文件操作信息，并儲(chǔ)存到日志庫(kù)中，供用戶(hù)了解文件的操作情況，為用戶(hù)阻止非法活動(dòng)的進(jìn)一步擴(kuò)散提供方便。

3.上網(wǎng)記錄監(jiān)控模塊能夠?qū)τ?jì)算機(jī)的上網(wǎng)行為提供詳細(xì)的審計(jì)信息，它能過(guò)濾全網(wǎng)通過(guò)的數(shù)據(jù)包流，監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)，從而保證網(wǎng)絡(luò)的數(shù)據(jù)傳輸?shù)陌踩?/p>

［1］張?jiān)?計(jì)算機(jī)網(wǎng)絡(luò)犯罪淺析［J］.河南公安高等專(zhuān)科學(xué)校學(xué)報(bào)，2003，(6).

［2］劉琴.判定速算法在計(jì)算機(jī)取證中的應(yīng)用［J］.計(jì)算機(jī)應(yīng)用與軟件，2008，(7).

［3］鐘秀玉，凌捷.計(jì)算機(jī)動(dòng)態(tài)取證的數(shù)據(jù)分析技術(shù)研究［J］.計(jì)算機(jī)應(yīng)用與軟件，2004，(9).

［4］杜建民，任輝.淺談?dòng)?jì)算機(jī)取證［J］.網(wǎng)絡(luò)信息安全，2004，(3).

［5］史偉奇.基于木馬的計(jì)算機(jī)監(jiān)控和取證系統(tǒng)研究［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2007，(10).

［6］李煥洲.一個(gè)基于跟蹤的計(jì)算機(jī)取證過(guò)程模型［J］.微計(jì)算機(jī)信息，2007，(3).