Windows环境下可执行文件操作痕迹分析方法

电子数据取证（特别是针对恶意程序进行调查）实践中,可执行文件操作信息在揭示犯罪分子行为细节方面发挥着重要作用。通常,可执行文件操作痕迹涵盖可执行文件名称、功能、位置、运行次数、运行时问、操作用户等多种信息。依靠Windows操作系统自带的系统命令或工具无法深入完整的挖掘出上述信息，因此针对此类痕迹分析方法的研究具有非常积极而重要的意义。

一种基于安全散列加密算法的数据库操作痕迹可证明追踪算法

在数据库使用过程中存在一类特殊的安全性问题,即合法用户通过访问数据库系统获得一些重要敏感数据,在数据的使用过程中造成泄密事故,或者恶意修改一些数据以达到非法目的。数据管理方希望能够以一种可信方式证明追踪合法用户对特定数据的访问顺序及操作类型,用于辅助划定或区分事故责任,为实现该目标设计出一种基于安全散列加密算法的数据库操作痕迹可证明追踪算法。该算法显著区别于系统安全日志的可全程演进数据访问行为而证明力弱的特点,它引入安全散列加密算法,对操作行为以加密形式全程记录操作过程,为后期辅助判定事故责任提供强有力的技术支持。

基于EXT3系统的文件内容操作痕迹提取软件设计

EXT3文件系统是大多数Linux主机的默认硬盘分区格式,EXT3格式的硬盘中可能存储了大量涉案文件,识别出嫌疑人对这些涉案文件内容执行的增、删、改操作行为,提取出被修改的相关数据对公安机关的调查、取证工作有重要意义。文章对不同类型文件的操作痕迹进行了分析;介绍了EXT3日志文件的基本结构;研究了从日志中提取出文件名称和inode结点信息的方法 ;提出了基于inode编号链表的操作痕迹提取方法 ;设计了用于痕迹提取的状态转换机。设计的操作痕迹提取软件可以直接运行在Linux主机上,通过扫描日志文件完成痕迹提取,经过大量实际测试,软件可以有效提取EXT3文件系统中未被覆盖的操作痕迹。

计算机操作痕迹清除系统探析

现在的计算机越来越普及,人们在上网的时候会产生很多操作痕迹,但是在清除操作痕迹的时候或多或少会留下一些没有清理掉的使用痕迹。本文对计算机操作痕迹清除系统进行一系列的探究,以解决清除不干净的问题。