面向證據鏈重構的Windows易失性記憶體智慧型取證研究

易失性記憶體取證是計算機取證研究的熱點。現有的Windows易失性記憶體取證方法和技術只能分析單個Windows記憶體鏡像檔案，不具備分析相同性質計算機犯罪案件所共有的典型特徵的智慧型性，難以在邏輯上形成具有推理關係的證據鏈。為此，本項目擬開展面向證據鏈重構的Windows易失性記憶體智慧型取證研究。針對記憶體數據的特點，設計可擴展的、實用的Windows易失性記憶體取證模型；探討符合我國法律規範的、通用的Windows易失性記憶體證據格式；基於功能分析和相關性分析方法將單一獨立的證據整合成具有邏輯推理關係的證據鏈，重構計算機犯罪行為、動機以及嫌疑人特徵；逐步完善計算機犯罪案例庫，進一步深入分析同一類犯罪案件的特徵，力爭在一定程度上能夠對將要發生的計算機犯罪行為進行提前預測，實現從犯罪調查向預防犯罪發生的根本轉變。充分發揮Windows易失性記憶體電子證據的法律效力，嚴厲打擊計算機犯罪。

易失性記憶體取證是計算機取證研究的熱點。現有的Windows易失性記憶體取證方法和技術只能分析單個Windows記憶體鏡像檔案，不具備分析相同性質計算機犯罪案件所共有的典型特徵的智慧型性，難以在邏輯上形成具有推理關係的證據鏈。為此，本項目開展面向證據鏈重構的Windows易失性記憶體智慧型取證研究，並在以下三方面取得重要進展： 首先，針對現有計算機取證模型尚未考慮記憶體數據的易失性、瞬時性、階段穩定性、實體信息多維性、實體相互關聯性等特點，首次提出了一種面向關聯性分析的易失性數據取證分析模型。該模型打破了易失性證據獲取過程中單一時間點的限制，能夠對某個時間點的所有證據對象執行關聯性分析，貫徹了面向證據鏈重構的法學取證思想； 其次，率先構建了能夠同時處理多個記憶體鏡像的進程關聯分析系列算法，設計並實現了包含多記憶體關聯性分析引擎的取證原型系統。與現有同類工作相比，不僅能識別出記憶體中的惡意進程，還能夠有效識別出複雜計算機犯罪場景中相關用戶的合法行為，為跨平台的計算機取證研究以及對大數據量證據信息的智慧型化分析和處理提供了新的思路和解決方案； 最後，首次將推薦算法引入計算機取證可視化分析過程，設計並實現了一個基於推薦的可視化取證分析平台AVFR。與現有的同類工具相比，AVFR不但能夠執行文本呈現和數字證據信息的3D可視化呈現，還具備相關取證檔案推薦功能，即將相互關聯的數字證據檔案在工具中統一呈現給計算機取證人員，一定程度上提高了計算機取證人員可視化分析的工作效率。具體實現過程中主要採用經過最佳化的複合協同過濾算法，有效解決了稀疏問題和冷啟動問題，一定程度上保證了AVFR推薦功能的精確度。 總之，本項目的研究成果能夠獲取與Windows作業系統運行狀態相關的豐富的證據信息，有效提高數字證據的完整性和可靠性，一定程度上解決反取證技術帶來的挑戰，有助於充分發揮Windows易失性記憶體數字證據的法律效力。特別是多記憶體鏡像關聯分析對於識別並取證複雜網路攻擊行為具有一定的實用價值，對於提升我國網路安全自主可控能力具有一定的現實意義。