会议专题

基于windows日志的电子证据获取与分析方法研究

查看全文→
  日志记录了计算机系统以及应用程序运行过程中的操作,是计算机取证中重要的线索和证据来源。针对Windows日志的实时获取问题,提出了两种日志实时获取方法。在实时获取日志的基础上,提出了将日志文件与原子攻击功能关联的方法,将对日志文件的分析转换成对原子攻击功能的分析,大大减少了日志文件分析的时间。提出了一种基于时间的日志关联分析和事件重构方法,实现对计算机犯罪场景的还原。最后通过实验,验证了这些方法的效果。

计算机取证 Windows日志 获取 分析 事件重构

董晓梅 刘旭东 李晓华 费雅洁

东北大学 信息科学与工程学院, 沈阳 110004 沈阳工程学院 信息工程系, 沈阳 110136

国内会议

第十九届全国网络与数据通信学术会议

长沙

中文

1-8

2012-11-01(万方平台首次上网日期,不代表论文的发表时间)