面向入侵的取证系统框架.pdf

No．4 第25卷第4期 计算机应用研究 V01．25 2008年4月 Researchof Apr．2008 Application Computers 面向入侵的取证系统框架 周博文18”，丁丽萍h’2”，王永吉h’1“ (1．中国科学院a．软件研究所互联网软件技术实验室；b．计算机科学重点实验室，北京100080；2．中国科学 院研究生院。北京100049；3．北京人民警察学院，北京100029) 摘要：在分析常见入侵攻击的基础上抽象出入侵过程的一般模式，提出针对入侵攻击的取证系统应满足的特 intrusion 征。提出了入侵取证模型，并基于这一取证模型在操作系统内核层实现了取证系统原型ⅪFs(kernel forensic 统漏洞的本地提升权限攻击的完整过程。 。 关键词：A侵攻击；计算机取证；操作系统；内核 中图分类号：TP393．08文献标志码：A 文章编号：1001—3695(2008)04—1117—03 Frameworkofforensic intrusion。 systemagainst ● ZHOU Bo．wenl。’2，DING Yong-jil‘·16 Li．pin91‘’2·3，WANG laternet SC／- (1．m Technologies，Institute ComputerScience，ChineseAcademyof LaboratoryforSoftware ofSoftware，b．geyLaboratoryfor Police M，彬昭100080，China；2．GraduateSchool，ChineseAcademyof＆切Ⅲ，咖孵100049，Ch／na；3．BeingPeople’j College， 100029，China) 臃qing were anda W88abstractedfromtheseattacks．Based Abstract：Severalintrusions intrusion frequent analyzedgeneral pattern onthisabstractionofintrusion basiccharacteristicsofintrusionforensic Was themo· pattern，the