-
题名基于结构链逆向的内存碎片文件雕刻算法
- 1
-
-
作者
李炳龙
周振宇
张宇
张和禹
常朝稳
-
机构
信息工程大学密码工程学院
-
出处
《通信学报》
EI
CSCD
北大核心
2021年第7期117-127,共11页
-
基金
国家自然科学基金资助项目(No.60903220)。
-
文摘
为解决内存映像中碎片证据文件提取问题,针对doc、pdf等常见文件类型,提出了一种基于内存映像的碎片文件雕刻模型。基于该模型,设计了基于文件对象结构链逆向的碎片文件雕刻算法,能够获取遗留在内存中的文件数据。实验结果表明,该算法能够成功从内存映像中雕刻出文件相关的元数据信息,例如文件名、文件来源及操作行为等,雕刻精确度达到100%;而且在典型应用情况下,文件内容数据雕刻精度达到87.5%,远高于基于磁盘文件雕刻算法的精确度。
-
关键词
文件雕刻
内存取证
内存碎片
碎片连接
结构逆向
-
Keywords
file carving
memory forensics
memory fragment
fragment adjacent
structure reverse
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名基于集合论的E-mail碎片雕刻模型及算法
- 2
-
-
作者
李炳龙
张传富
韩宗达
王清贤
-
机构
解放军信息工程大学四院
解放军信息工程大学数学工程与先进计算国家重点实验室
解放军信息工程大学三院
-
出处
《计算机工程》
CAS
CSCD
2014年第5期317-320,F0003,共5页
-
基金
国家自然科学基金资助项目(60903220)
郑州市科技攻关计划基金资助项目"基于内存及存储介质的网络取证调查系统"
-
文摘
为获取存储介质中的碎片E-mail证据,利用集合论原理对邮件碎片文件雕刻问题进行分析,确定基于集合论划分思想的碎片文件雕刻思路。设计包含预处理、E-mail文件碎片子集确定、E-mail碎片间的连接关系确定等过程的邮件碎片文件雕刻算法模型。利用十六进制编辑器,阐述E-mail文件的内部结构特征,结合碎片邮件头尾和内嵌的html文件特征,论述存储介质上碎片的属性,给出碎片间的集中特性、跟随特性、线性特性以及信息特性的连接规则。实验结果表明,碎片邮件文件雕刻算法能更有效地获取邮件证据。
-
关键词
E-mail文件雕刻
数字犯罪调查
碎片子集
特征标识
复合文件类型
碎片连接规则
-
Keywords
E-mail file carving
digital crime investigation
fragment subset
characteristic identifier
compound file type
fragment adjacent rule
-
分类号
TP301.6
[自动化与计算机技术—计算机系统结构]
-
