面向证据链重构的Windows易失性内存智能取证研究

易失性内存取证是计算机取证研究的热点。现有的Windows易失性内存取证方法和技术只能分析单个Windows内存镜像文件，不具备分析相同性质计算机犯罪案件所共有的典型特征的智能性，难以在逻辑上形成具有推理关系的证据链。为此，本项目拟开展面向证据链重构的Windows易失性内存智能取证研究。针对内存数据的特点，设计可扩展的、实用的Windows易失性内存取证模型；探讨符合我国法律规范的、通用的Windows易失性内存证据格式；基于功能分析和相关性分析方法将单一独立的证据整合成具有逻辑推理关系的证据链，重构计算机犯罪行为、动机以及嫌疑人特征；逐步完善计算机犯罪案例库，进一步深入分析同一类犯罪案件的特征，力争在一定程度上能够对将要发生的计算机犯罪行为进行提前预测，实现从犯罪调查向预防犯罪发生的根本转变。充分发挥Windows易失性内存电子证据的法律效力，严厉打击计算机犯罪。

易失性内存取证是计算机取证研究的热点。现有的Windows易失性内存取证方法和技术只能分析单个Windows内存镜像文件，不具备分析相同性质计算机犯罪案件所共有的典型特征的智能性，难以在逻辑上形成具有推理关系的证据链。为此，本项目开展面向证据链重构的Windows易失性内存智能取证研究，并在以下三方面取得重要进展：.首先，针对现有计算机取证模型尚未考虑内存数据的易失性、瞬时性、阶段稳定性、实体信息多维性、实体相互关联性等特点，首次提出了一种面向关联性分析的易失性数据取证分析模型。该模型打破了易失性证据获取过程中单一时间点的限制，能够对某个时间点的所有证据对象执行关联性分析，贯彻了面向证据链重构的法学取证思想；.其次，率先构建了能够同时处理多个内存镜像的进程关联分析系列算法，设计并实现了包含多内存关联性分析引擎的取证原型系统。与现有同类工作相比，不仅能识别出内存中的恶意进程，还能够有效识别出复杂计算机犯罪场景中相关用户的合法行为，为跨平台的计算机取证研究以及对大数据量证据信息的智能化分析和处理提供了新的思路和解决方案；.最后，首次将推荐算法引入计算机取证可视化分析过程，设计并实现了一个基于推荐的可视化取证分析平台AVFR。与现有的同类工具相比，AVFR不但能够执行文本呈现和数字证据信息的3D可视化呈现，还具备相关取证文件推荐功能，即将相互关联的数字证据文件在工具中统一呈现给计算机取证人员，一定程度上提高了计算机取证人员可视化分析的工作效率。具体实现过程中主要采用经过优化的复合协同过滤算法，有效解决了稀疏问题和冷启动问题，一定程度上保证了AVFR推荐功能的精确度。.总之，本项目的研究成果能够获取与Windows操作系统运行状态相关的丰富的证据信息，有效提高数字证据的完整性和可靠性，一定程度上解决反取证技术带来的挑战，有助于充分发挥Windows易失性内存数字证据的法律效力。特别是多内存镜像关联分析对于识别并取证复杂网络攻击行为具有一定的实用价值，对于提升我国网络安全自主可控能力具有一定的现实意义。