基于结构链逆向的内存碎片文件雕刻算法

TP309; 为解决内存映像中碎片证据文件提取问题,针对doc、pdf等常见文件类型,提出了一种基于内存映像的碎片文件雕刻模型.基于该模型,设计了基于文件对象结构链逆向的碎片文件雕刻算法,能够获取遗留在内存中的文件数据.实验结果表明,该算法能够成功从内存映像中雕刻出文件相关的元数据信息,例如文件名、文件来源及操作行为等,雕刻精确度达到100%;而且在典型应用情况下,文件内容数据雕刻精度达到87.5%,远高于基于磁盘文件雕刻算法的精确度....

Full description

Saved in:
Bibliographic Details
Published in通信学报 Vol. 42; no. 7; pp. 117 - 127
Main Authors 李炳龙, 周振宇, 张宇, 张和禹, 常朝稳
Format Journal Article
LanguageChinese
Published 信息工程大学密码工程学院,河南 郑州 450001 25.07.2021
Subjects
内存碎片
结构逆向
碎片连接
文件雕刻
内存取证
Online AccessGet full text
ISSN1000-436X
DOI10.11959/j.issn.1000-436x.2021143

Cover

More Information
Summary:TP309; 为解决内存映像中碎片证据文件提取问题,针对doc、pdf等常见文件类型,提出了一种基于内存映像的碎片文件雕刻模型.基于该模型,设计了基于文件对象结构链逆向的碎片文件雕刻算法,能够获取遗留在内存中的文件数据.实验结果表明,该算法能够成功从内存映像中雕刻出文件相关的元数据信息,例如文件名、文件来源及操作行为等,雕刻精确度达到100%;而且在典型应用情况下,文件内容数据雕刻精度达到87.5%,远高于基于磁盘文件雕刻算法的精确度.
ISSN:1000-436X
DOI:10.11959/j.issn.1000-436x.2021143