芻議面向Windows的計(jì)算機(jī)取證系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn)

冷鏡宇 湖南省長沙市周南中學(xué)

面向Windows的計(jì)算機(jī)系統(tǒng)在近些年中具有了非常大的發(fā)展空間。原因在于，這種計(jì)算機(jī)系統(tǒng)的應(yīng)用可以對傳遞的信息進(jìn)行科學(xué)、客觀、準(zhǔn)確、有效、實(shí)時(shí)的傳遞，并且可以將其轉(zhuǎn)化為數(shù)字信號(hào)，并且能夠進(jìn)行科學(xué)的計(jì)算、分析、處理。因此，我們需要對于面向Windows的計(jì)算機(jī)發(fā)展現(xiàn)狀、面向Windows的計(jì)算機(jī)取證系統(tǒng)關(guān)鍵技術(shù)進(jìn)行全面的分析與研究，以便于我們提高面向Windows的計(jì)算機(jī)系統(tǒng)應(yīng)用的質(zhì)量與水平，使得其具有非常大的市場前景，創(chuàng)造出更大的經(jīng)濟(jì)效益與社會(huì)效益。

1 面向Windows的計(jì)算機(jī)發(fā)展的現(xiàn)狀

Windows技術(shù)是互聯(lián)網(wǎng)發(fā)展中一個(gè)非常關(guān)鍵的技術(shù)，非常注重互聯(lián)網(wǎng)信息的實(shí)際使用情況，滿足用戶的不同需求。隨著時(shí)代的發(fā)展與社會(huì)的進(jìn)步，用戶對于計(jì)算機(jī)系統(tǒng)具有了更高的要求，因此對于Windows的計(jì)算機(jī)系統(tǒng)來說，有著許多新的挑戰(zhàn)，需要對于其關(guān)鍵性的一些技術(shù)進(jìn)行充分的研究、分析、應(yīng)用、在實(shí)踐中不斷進(jìn)行技術(shù)上的改進(jìn)與提高，有利于保障Windows技術(shù)在未來的應(yīng)用價(jià)值。比如:用戶的需求有:具有操作簡單、方便快捷的特點(diǎn)，使得不同類型的用戶只需要掌握基本的操作流程就可以進(jìn)行整個(gè)系統(tǒng)的基本操作。定制性。隨著時(shí)代的進(jìn)步，一些用戶為了滿足自己的個(gè)性，要求對于 Windows技術(shù)的計(jì)算機(jī)系統(tǒng)進(jìn)行個(gè)性化定制。具有基本的協(xié)調(diào)能力與信息共享，使得用戶對于系統(tǒng)的真實(shí)使用情況可以及時(shí)反映給研發(fā)的企業(yè)或公司，使得它們應(yīng)用最新的科研成果進(jìn)行系統(tǒng)的升級(jí)與改造。

2 面向Windows的計(jì)算機(jī)取證系統(tǒng)關(guān)鍵技術(shù)

2.1 云計(jì)算

云計(jì)算指的是以互聯(lián)網(wǎng)技術(shù)為核心，以必要的應(yīng)用平臺(tái)為內(nèi)容的一種應(yīng)用的程序。它具有虛擬化、通用性、可擴(kuò)展化、經(jīng)濟(jì)性高的特點(diǎn)。云計(jì)算主要由三種技術(shù)。第一種為海量分布性存儲(chǔ)技術(shù)，即對于重要的數(shù)據(jù)和信息具有強(qiáng)大的存儲(chǔ)功能，有效的提高了云計(jì)算存儲(chǔ)數(shù)據(jù)的質(zhì)量和安全。第二種技術(shù)為數(shù)據(jù)管理，即對于云計(jì)算高速運(yùn)行中的數(shù)據(jù)可以進(jìn)行存儲(chǔ)、比較、分析、提取等，避免因?yàn)閿?shù)據(jù)或信息的丟失造成嚴(yán)重的損失。第三種為并行編程模式技術(shù)，即對于云計(jì)算的各種應(yīng)用服務(wù)進(jìn)行科學(xué)化的編程、提高云計(jì)算的運(yùn)行質(zhì)量和水平。

2.2 快速文件內(nèi)容搜索技術(shù)

快速文件內(nèi)容搜索技術(shù)主要體現(xiàn)在以下幾個(gè)方面。第一，字符編碼轉(zhuǎn)換。Windows系統(tǒng)當(dāng)中，有ANSI編碼、Unicode編碼，可以完成對于字符編碼的轉(zhuǎn)換。第二，Office系列文件的格式解析。其中Office2003系列文檔文字內(nèi)容進(jìn)行提取的步驟為:開始、文件內(nèi)容的類型判斷、文件結(jié)構(gòu)的分析、對于特定類型的stream進(jìn)行讀取、從特定的record中進(jìn)行文字的讀取、是否到達(dá)stream的末尾。對于上面步驟中的stream的末尾，如果沒有到達(dá)，還可以通過從特定的record中進(jìn)行文字的讀取來進(jìn)行下面的操作。而Office2007系列文檔文字內(nèi)容進(jìn)行提取的步驟為:開始、對于文件類型進(jìn)行判斷、應(yīng)用zip進(jìn)行文件解壓、對存放文字內(nèi)容的文件進(jìn)行讀取、去XML格式進(jìn)行文字的提取、存放文件的內(nèi)容瀏覽完畢、結(jié)束。第三，PDF文件格式解析。PDF文件格式具有廣泛的應(yīng)用性，可以實(shí)現(xiàn)跨平臺(tái)、跨架構(gòu)、跨操作系統(tǒng)的應(yīng)用，具有非常強(qiáng)大的應(yīng)用功能。而其文字內(nèi)容提取的流程為:開始、對于文件尾進(jìn)行解析獲取交叉引用的列表位置、解析交叉引用的列表、讀取obj、obj中有文字內(nèi)容、流對象解碼、文字內(nèi)容提取、對于obj中文字全部瀏覽完畢、結(jié)束。

2.3 系統(tǒng)痕跡提取技術(shù)

系統(tǒng)痕跡提取技術(shù)有不少的類型。比如:注冊表痕跡提取技術(shù)、主流瀏覽器上網(wǎng)痕跡提取技術(shù)、Windows7跳轉(zhuǎn)列表痕跡提取技術(shù)。這些提取技術(shù)的應(yīng)用使得系統(tǒng)痕跡提取技術(shù)對于保障系統(tǒng)的質(zhì)量與安全發(fā)揮出了重要的作用。而其應(yīng)用的具體流程是:開始、獲取跳轉(zhuǎn)列表并且對于文件存放路徑記錄、讀取跳轉(zhuǎn)列表文件、跳過跳轉(zhuǎn)列表頭部、Link Data結(jié)構(gòu)匹配、匹配成功、證據(jù)獲取、跳過 Destlist階段、到達(dá)文件的結(jié)尾、文件全部瀏覽完畢、結(jié)束。

2.4 深度痕跡提取技術(shù)

深度痕跡提取技術(shù)主要是針對于被人為刪除的系統(tǒng)痕跡，實(shí)現(xiàn)對磁盤二進(jìn)制數(shù)據(jù)的直接讀取，完成系統(tǒng)痕跡的取證。其中上網(wǎng)深度痕跡提取技術(shù)的流程為:開始、讀取磁盤數(shù)據(jù)、條目頭部匹配、匹配成功、URL與ENTRY、FILEMAP進(jìn)行結(jié)構(gòu)性匹配、匹配成功、cookie頭與Http進(jìn)行匹配、匹配成功、證據(jù)提取、依據(jù)URL與ENTRY、FILEMAP的結(jié)構(gòu)大小進(jìn)行標(biāo)識(shí)位的移動(dòng)、讀取完全匹配的數(shù)據(jù)、磁盤數(shù)據(jù)完全讀取、結(jié)束。

3 結(jié)論

對于面向Windows的計(jì)算機(jī)取證系統(tǒng)關(guān)鍵技術(shù)進(jìn)行科學(xué)研究與分析，有利于我們高中生對于Windows的計(jì)算機(jī)取證系統(tǒng)關(guān)鍵技術(shù)進(jìn)行更深的了解與認(rèn)識(shí)，并且在今后的學(xué)習(xí)與發(fā)展中應(yīng)用這些技術(shù)方便我們的生活，使得我們的學(xué)習(xí)與發(fā)展有良好的計(jì)算機(jī)知識(shí)積累。

[1]鄧金城.面向Windows的計(jì)算機(jī)取證系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].電子科技大學(xué),2013.

[2]袁琳.面向Windows的計(jì)算機(jī)系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[J].電腦編程技巧與維護(hù),2015,24:39-40.

[3]黃燦.基于Windows平臺(tái)的計(jì)算機(jī)取證系統(tǒng)研究與實(shí)現(xiàn)[D].電子科技大學(xué),2014.

[4]文少勇,王箭,李劍.基于Windows平臺(tái)的動(dòng)態(tài)取證系統(tǒng)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2012,02:13-17.