1、在當(dāng)今計(jì)算機(jī)安全形式日益嚴(yán)峻的情況下，計(jì)算機(jī)取證技術(shù)對(duì)于打擊計(jì)算機(jī)犯罪具有重要的作用和意義。計(jì)算機(jī)犯罪行為都會(huì)在計(jì)算機(jī)中留下歷史記錄，并存儲(chǔ)在文件系統(tǒng)中。這些歷史記錄將作為重要證據(jù)將犯罪人員繩之以法。狡猾的犯罪分子會(huì)不惜一切代價(jià)刪除這些記錄，掩蓋犯罪事實(shí)。然而計(jì)算機(jī)反刪除取證技術(shù)可以從刪除痕跡中提取有價(jià)值的證據(jù)信息，作為呈堂證供，起訴犯罪分子。
　　傳統(tǒng)的取證工具大多基于操作系統(tǒng)本身，然而運(yùn)行中的操作系統(tǒng)會(huì)頻繁讀寫(xiě)硬盤(pán)，有可能覆蓋

2、犯罪行為留下的痕跡?；赨EFI（Unified Extensible Firmware Interface，統(tǒng)一可擴(kuò)展固件接口）的取證工具完全獨(dú)立于操作系統(tǒng)運(yùn)行，不改寫(xiě)硬盤(pán)的內(nèi)容，避免犯罪痕跡被二次覆蓋。因此，本文針對(duì)基于UEFI的取證工具進(jìn)行了如下研究工作:
　　(1)設(shè)計(jì)基于UEFI取證工具的總體結(jié)構(gòu)，并描述了該取證工具的工作流程。其中GPT/NTFS分析模塊與取證模塊為該結(jié)構(gòu)的核心模塊。GPT/NTFS分析模塊拿到磁盤(pán)的控

3、制權(quán)，識(shí)別GPT分區(qū)格式以及NTFS文件系統(tǒng)，初始化NTFS系統(tǒng)的各項(xiàng)參數(shù)，并提供文件讀取、恢復(fù)以及刪除痕跡提取等接口給取證模塊使用。取證模塊位于該系統(tǒng)的業(yè)務(wù)層，根據(jù)取證的類型劃分為多個(gè)子模塊實(shí)現(xiàn)，其中，取證模塊中的反刪除取證子模塊的實(shí)現(xiàn)是本文重點(diǎn)研究?jī)?nèi)容。
　　(2)提出文件反刪除取證技術(shù)的兩種實(shí)現(xiàn)方案，實(shí)現(xiàn)上述工具中的文件反刪除取證模塊。探討NTFS文件的刪除機(jī)制，得出文件刪除過(guò)程中NTFS的變化規(guī)律，提出了兩種文件反刪除取證

4、方案:遍歷空閑文件記錄（未分配文件記錄）方案以及索引分析方案。遍歷空閑文件記錄方案通過(guò)分析被刪除的文件記錄，提取有取證價(jià)值的信息，并恢復(fù)文件內(nèi)容。索引分析方案將文件記錄或索引緩沖區(qū)中的殘留數(shù)據(jù)劃分為多個(gè)殘留塊，并識(shí)別殘留塊中的殘留索引項(xiàng)，提取有取證價(jià)值的信息。并從提取的被刪文件數(shù)量與文件信息的完整度上對(duì)兩種方案進(jìn)行了對(duì)比分析。最后通過(guò)實(shí)驗(yàn)驗(yàn)證上述方案的可行性。
　　(3)提出注冊(cè)表項(xiàng)值反刪除取證技術(shù)的兩種實(shí)現(xiàn)方案，實(shí)現(xiàn)上述工具中的

5、注冊(cè)表項(xiàng)值反刪除取證模塊。探討注冊(cè)表項(xiàng)值的刪除機(jī)制，得出注冊(cè)表項(xiàng)值刪除后注冊(cè)表文件內(nèi)部的變化規(guī)律，并提出注冊(cè)表項(xiàng)值反刪除取證的兩種方案，分別遍歷空閑記錄（未分配記錄）方案與父項(xiàng)分析方案。遍歷空閑記錄方案通過(guò)識(shí)別并分析被刪除的項(xiàng)記錄與值記錄以及它們的關(guān)聯(lián)記錄，提取被刪除的項(xiàng)值信息。父項(xiàng)分析方案在剖析項(xiàng)值刪除操作細(xì)節(jié)的基礎(chǔ)上，嘗試進(jìn)行刪除操作的逆操作來(lái)提取被刪的項(xiàng)值信息。并從提取到的被刪項(xiàng)值的數(shù)量與信息的完整度上對(duì)兩種方案進(jìn)行了對(duì)比分析。最