一种基于闪存物理镜像的FAT文件系统重组方法

文件系统重组是闪存设备取证研究进行数据恢复的主要手段.传统的文件系统重组方法需要同时获取闪存设备在同一时刻的逻辑镜像和物理镜像,该条件在取证实践中常常难以满足,故提出一种仅依赖闪存物理镜像重组文件分配表(FAT)文件系统的方法.在引入统计分析法从物理镜像中提取逻辑地址字段和页状态字段的基础上,给出利用最新页状态值准确重组闪存设备最新FAT文件系统镜像的算法.最后以MTK6229闪存设备物理镜像的FAT文件系统重组过程为例,验证上述重组算法及相关方法是正确的.

基于闪存物理镜像的ECC算法逆向识别方法

针对脱焊提取法获取到的闪存物理镜像存在错误数据的问题,提出一种基于闪存物理镜像逆向识别硬件ECC算法关键参数的方法,用ECC软件实现对物理镜像的数据纠错。利用BCH和RS算法生成的不同校验位长度规律、不同码字组合规则和码根统计值逆向识别ECC算法的码长、生成多项式等关键参数。实验验证和性能分析结果表明,该方法适用于二进制本原BCH码、本原BCH码的缩短形式,具有较低的计算复杂度和时间复杂度。

非root条件下获取安卓手机物理镜像

在电子物证检验工作的检材中,安卓系统的智能手机占有很大比例。以往在获取安卓系统手机中的数据时,为了尽可能全面提取和恢复数据,常采用获取root权限(系统最高权限)后进行物理镜像的方法进行数据固定。随着安卓手机系统版本的不断升级,获取手机root权限的难度越来越高,同时也伴随着破坏手机存储数据的风险,因此在非root条件下获取安卓手机的机身镜像数据是更符合司法取证规范的数据固定方法。在实际办案工作中,通过第三方recovery、专用通讯接口或安卓系统的特殊引导模式等方法可以有效提高安卓手机镜像获取的成功率。

基于Windows物理内存取证系统设计与实现

随着信息安全技术的快速发展,数字取证调查技术已经成为重要技术之一。由于物理内存中包含计算机操作的大量信息,针对物理内存的实时取证分析已成为当前数字犯罪调查领域中的热点研究问题之一。文章通过研究物理内存获取技术,内存进程管理模式,信息关键词搜索技术等相关技术背景,实现对Windows物理内存的镜像获取,内存中的隐藏进程和异常进程的检测,内存中敏感信息的检测分析三方面功能。通过对用户主机进行调查检测,掌握用户大量的操作行为和有用信息,为计算机犯罪取证调查和信息安全检查提供了一种很好的方法手段。

移动终端存储介质中的信息读取新技术

针对破损手机、进水手机、有锁屏密码手机及平板电脑等逻辑手段无法解决信息读取的情况,给出了各种物理解决方案,对这些技术方案及其原理进行了详细阐述,并在实际案例进行了应用。

手机数据取证分析仪

通过对手机内用户数据提取方案及解析技术的研究，分析现有手机系统的取证方案，基于逻辑提取和物理提取两种工作原理，探索不同手机的合理操作步骤，并结合现有成熟仪器在真实案件中的实际应用，介绍了手机取证的各种手段及发展水平。