面向闪存物理镜像的通用数据提取和数据恢复方法研究
基本信息
结项摘要
Research on digital forensics of smart devices has become one hotspot in digital forensics area, in which the digital evidences are deeply mined mainly by the data extraction and data recovery from the physical image from the flash memory and its research on data extraction and data recovery is very difficult. However, most of the methods of data extraction and data recovery nowadays are heavily reliant on a certain particularized flash memory or file system and they can’t be applied to the different smart devices. The project objective is to widen the scope of depth evidences extraction application in the forensic practices. The project focuses on studying the universal methods of data extraction and data recovery based on the physical image from the flash memory. We plan to use the adaptable method that is independent of the file system to recover the data objects hidden in the fragmented flash memory without metadata, to introduce the blind recognition model of pseudo-randomizer code sequence used in the communication field to solve the problem of descrambling data in the physical flash image, to identify some important meta data from the physical image by quantitative analysis and to research the algorithm of reconstructing the high-level file system image by using the important data structures of the NFTL layer. The research in this project will not only provide provide the universal data recovery methods for smart device forensics, but also have import referential values on the aspects of improving the application of depth evidences extraction methods.
移动智能设备的取证研究是数字取证领域的研究热点之一,其中基于闪存物理镜像的数据提取和恢复方法是实现电子证据深度提取的主要手段,也是该领域的研究难点。现有大多数方法过于依赖具体的闪存存储器型号或者文件系统类型,难以跨越移动设备软硬件平台多样化的限制。本项目以扩大取证领域电子证据深度提取的应用范围为目标,研究并建立一套面向闪存物理镜像的通用数据提取和恢复方法,拟采用不依赖上层文件系统的方法提取和恢复“裸”闪存物理镜像下的数据对象,借鉴通信领域的伪随机扰码盲识别模型解决闪存物理镜像的解扰乱问题,利用数据特征的定量分析逆向解析闪存重要的元数据字段,探讨基于NAND闪存转换层关键结构的上层文件系统多版本镜像的重组方法。项目研究工作将为移动智能设备的取证实践提供一种可覆盖多种闪存型号以及多文件系统类型的数据提取和恢复方法,对提升电子证据深度提取在取证实践中的应用具有重要的参考价值。
项目摘要
移动设备取证能够有效提取并恢复出闪存内隐藏的数字证据,是快速打击高科技犯罪的有效手段,成为数字取证领域的重要研究内容。闪存数据物理获取方式能够在闪存控制器损坏情况下读取数据同时能读取到闪存设备被删除和隐藏的数据,常用于数字证据的深度提取。然而目前基于闪存物理镜像的数据提取和恢复方法大多依赖闪存元数据和文件系统类型,难以跨越移动设备多样化的软硬件平台限制,阻碍了取证实践中闪存数据的有效提取和恢复。本项目提出将闪存物理镜像作为唯一的取证数据源,研究并建立一套通用的数据提取和恢复方法,研究结果将为移动设备的取证研究提供一套可支持多种NAND存储器和多个文件系统类型的通用数据提取和恢复方法,对深度提取在取证实践中的应用具有重要的指导意义。.本项目利用SQLite文件结构提出一种从闪存页碎片中提取和恢复SQLite数据记录的新方法,该方法以真实的二手手机和2011DFRWS的测试集为对象进行SQLite数据提取和恢复实验,结果表明无论闪存设备采用哪种文件系统,新方法都能成功提取和恢复出多个SQLite数据表。另外提出一种细粒度的闪存碎片数据分类方法,该方法应用混合的机器学习算法来检测flash页面的数据类型。与决策树C4.5算法,SVM算法和Bagging-SVM集成算法作为对比,混合算法的分类准确率最高,达到91.3%,其算法的训练时间介于C4.5算法和SVM算法之间,只占到集成算法bagging训练时间的28%左右,因此其算法的综合性能是最优的。除此之外,提出一种软件配置错误的实时检测和恢复方法,该方法能够准确地对配置项类型进行细粒度分类,通过建立约束规则库能实时检测软件配置的更新异常,并利用文件快照进行快速恢复,最后通过实验验证其有效性。此后,提出一种优化的同步扰码盲识别方法用于解决闪存物理镜像的解扰乱问题,提出一种数据分组融合算法对手机日志文件进行数据分析和挖掘,解决用户行为模式刻画不深入、准确度低的问题。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
论大数据环境对情报学发展的影响
论大数据环境对情报学发展的影响
宁南山区植被恢复模式对土壤主要酶活性、微生物多样性及土壤养分的影响
宁南山区植被恢复模式对土壤主要酶活性、微生物多样性及土壤养分的影响
栓接U肋钢箱梁考虑对接偏差的疲劳性能及改进方法研究
栓接U肋钢箱梁考虑对接偏差的疲劳性能及改进方法研究
物联网中区块链技术的应用与挑战
物联网中区块链技术的应用与挑战
敏感性水利工程社会稳定风险演化SD模型
敏感性水利工程社会稳定风险演化SD模型
张丽的其他基金
相似国自然基金
面向定位的激光雷达与视觉融合数据通用特征提取方法与评估
面向闪存特性的文件系统数据组织优化技术
面向XML数据的通用查询技术研究
面向通用数据库的数据安全保护关键技术研究