-
题名基于磁盘碎片熵值特征的文件雕刻算法研究
被引量:2
- 1
-
-
作者
李炳龙
暴占彪
王鲁
王清贤
-
机构
解放军信息工程大学电子技术学院
河南财经政法大学现代教育技术中心
-
出处
《计算机工程》
CAS
CSCD
2012年第16期40-43,48,共5页
-
基金
国家自然科学基金资助项目(60903220)
郑州市科技攻关计划基金资助项目"基于内存及存储介质的网络取证调查系统"
解放军信息工程大学校博士启动基金资助项目(42413621V)
-
文摘
为获取受损存储介质或者有意隐藏在存储介质中的数字证据,设计一种文档碎片熵值特征提取算法,以区分不同文件类型文档碎片的熵值范围。在该算法的基础上,结合文件在存储介质中的存储位置特性,设计碎片文件雕刻框架,提出基于碎片熵值特征的文件雕刻算法。实验结果表明,与现有雕刻算法相比,该算法能够更有效地雕刻存储介质中的碎片文件。
-
关键词
数字取证调查
数字证据
文档碎片
碎片熵值特征
文件雕刻
-
Keywords
digital forensic investigation
digital evidence
document fragment
fragment entropy value feature
file carving
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名基于结构链逆向的内存碎片文件雕刻算法
- 2
-
-
作者
李炳龙
周振宇
张宇
张和禹
常朝稳
-
机构
信息工程大学密码工程学院
-
出处
《通信学报》
EI
CSCD
北大核心
2021年第7期117-127,共11页
-
基金
国家自然科学基金资助项目(No.60903220)。
-
文摘
为解决内存映像中碎片证据文件提取问题,针对doc、pdf等常见文件类型,提出了一种基于内存映像的碎片文件雕刻模型。基于该模型,设计了基于文件对象结构链逆向的碎片文件雕刻算法,能够获取遗留在内存中的文件数据。实验结果表明,该算法能够成功从内存映像中雕刻出文件相关的元数据信息,例如文件名、文件来源及操作行为等,雕刻精确度达到100%;而且在典型应用情况下,文件内容数据雕刻精度达到87.5%,远高于基于磁盘文件雕刻算法的精确度。
-
关键词
文件雕刻
内存取证
内存碎片
碎片连接
结构逆向
-
Keywords
file carving
memory forensics
memory fragment
fragment adjacent
structure reverse
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名文件系统取证分析技术及其发展趋势
被引量:1
- 3
-
-
作者
李炳龙
吴熙曦
韩宗达
-
机构
解放军信息工程大学
-
出处
《信息网络安全》
2013年第4期84-86,共3页
-
基金
国家自然科学基金资助项目[60903220]
郑州市科技攻关项目"基于内存及存储介质的网络取证调查系统"
-
文摘
文件系统取证是数字犯罪取证调查领域重要技术之一。文章首先分析了文件系统取证层次模型。然后根据该模型,分析了文件系统类取证技术、元数据类取证技术、内容类取证技术以及文件名类取证技术等,以及相应技术的关键算法流程,结合当前研究热点,分析了文件系统取证分析技术的发展趋势。
-
关键词
文件系统
FAT取证
NTFS取证
文件雕刻
-
Keywords
file system forensics
FAT structure
NTFS structure
file carving
-
分类号
TP391.1
[自动化与计算机技术—计算机应用技术]
D918.2
[政治法律—法学]
-
-
题名基于集合论的E-mail碎片雕刻模型及算法
- 4
-
-
作者
李炳龙
张传富
韩宗达
王清贤
-
机构
解放军信息工程大学四院
解放军信息工程大学数学工程与先进计算国家重点实验室
解放军信息工程大学三院
-
出处
《计算机工程》
CAS
CSCD
2014年第5期317-320,F0003,共5页
-
基金
国家自然科学基金资助项目(60903220)
郑州市科技攻关计划基金资助项目"基于内存及存储介质的网络取证调查系统"
-
文摘
为获取存储介质中的碎片E-mail证据,利用集合论原理对邮件碎片文件雕刻问题进行分析,确定基于集合论划分思想的碎片文件雕刻思路。设计包含预处理、E-mail文件碎片子集确定、E-mail碎片间的连接关系确定等过程的邮件碎片文件雕刻算法模型。利用十六进制编辑器,阐述E-mail文件的内部结构特征,结合碎片邮件头尾和内嵌的html文件特征,论述存储介质上碎片的属性,给出碎片间的集中特性、跟随特性、线性特性以及信息特性的连接规则。实验结果表明,碎片邮件文件雕刻算法能更有效地获取邮件证据。
-
关键词
E-mail文件雕刻
数字犯罪调查
碎片子集
特征标识
复合文件类型
碎片连接规则
-
Keywords
E-mail file carving
digital crime investigation
fragment subset
characteristic identifier
compound file type
fragment adjacent rule
-
分类号
TP301.6
[自动化与计算机技术—计算机系统结构]
-
-
题名基于交换分区主机行为安全检测系统设计与实现
- 5
-
-
作者
李炳龙
姜皇勤
龙腾
-
机构
信息工程大学电子技术学院
-
出处
《信息网络安全》
2010年第2期51-53,共3页
-
文摘
通过分析Windows系统中常见文件系统(如FAT32、NTFS等)底层数据结构及其关系,设计了一种从硬盘底层获取交换分区文件(pagefile.sys)算法。然后分析网站、电子邮件以及JPEG文件特征模式,构建相应的特征库,研究了网站、电子邮件访问行为分析机制,并设计了JPEG图像文件浏览行为分析算法。最后,设计并实现了基于交换分区的主机行为检测系统。实验数据表明,该系统能够检测用户主机的网站、电子邮件访问行为,以及JPEG图像浏览行为。
-
关键词
交换分区
文件雕刻
访问行为
信息检测
安全检测
-
分类号
TP393.06
[自动化与计算机技术—计算机应用技术]
-
