通信学报
通信學報
통신학보
JOURNAL OF CHINA INSTITUTE OF COMMUNICATIONS
2012年
z2期
125-134
,共10页
董晓梅%刘旭东%李晓华%费雅洁
董曉梅%劉旭東%李曉華%費雅潔
동효매%류욱동%리효화%비아길
计算机取证%Windows日志%获取%分析%事件重构
計算機取證%Windows日誌%穫取%分析%事件重構
계산궤취증%Windows일지%획취%분석%사건중구
为解决Windows日志的实时获取问题,针对2种日志文件格式,分别提出了相应的日志实时获取方法.在实时获取日志的基础上,提出了将日志文件与原子攻击功能关联的方法,将对日志文件的分析转换成对原子攻击功能的分析,大大减少了日志文件分析的时间.提出了一种基于时间的日志关联分析和事件重构方法,实现对计算机犯罪场景的还原.实验结果表明,提出的方法可以有效获取日志证据,重构犯罪过程.
為解決Windows日誌的實時穫取問題,針對2種日誌文件格式,分彆提齣瞭相應的日誌實時穫取方法.在實時穫取日誌的基礎上,提齣瞭將日誌文件與原子攻擊功能關聯的方法,將對日誌文件的分析轉換成對原子攻擊功能的分析,大大減少瞭日誌文件分析的時間.提齣瞭一種基于時間的日誌關聯分析和事件重構方法,實現對計算機犯罪場景的還原.實驗結果錶明,提齣的方法可以有效穫取日誌證據,重構犯罪過程.
위해결Windows일지적실시획취문제,침대2충일지문건격식,분별제출료상응적일지실시획취방법.재실시획취일지적기출상,제출료장일지문건여원자공격공능관련적방법,장대일지문건적분석전환성대원자공격공능적분석,대대감소료일지문건분석적시간.제출료일충기우시간적일지관련분석화사건중구방법,실현대계산궤범죄장경적환원.실험결과표명,제출적방법가이유효획취일지증거,중구범죄과정.
