基于结构链逆向的内存碎片文件雕刻算法

作     者：李炳龙 周振宇 张宇 张和禹 常朝稳 LI Binglong;ZHOU Zhenyu;ZHANG Yu;ZHANG Heyu;CHANG Chaowen

作者机构：信息工程大学密码工程学院河南郑州450001 

基　　金：国家自然科学基金资助项目(No.60903220) 

出 版 物：《通信学报》 (Journal on Communications)

年 卷 期：2021年第42卷第7期

页      码：117-127页

摘      要：为解决内存映像中碎片证据文件提取问题,针对doc、pdf等常见文件类型,提出了一种基于内存映像的碎片文件雕刻模型。基于该模型,设计了基于文件对象结构链逆向的碎片文件雕刻算法,能够获取遗留在内存中的文件数据。实验结果表明,该算法能够成功从内存映像中雕刻出文件相关的元数据信息,例如文件名、文件来源及操作行为等,雕刻精确度达到100%;而且在典型应用情况下,文件内容数据雕刻精度达到87.5%,远高于基于磁盘文件雕刻算法的精确度。

主 题 词：文件雕刻 内存取证 内存碎片 碎片连接 结构逆向 

学科分类：0839[0839] 08[工学] 081201[081201] 0812[工学-测绘类] 

核心收录：

D　O　I：10.11959/j.issn.1000−436x.2021143

馆 藏 号：203104640...