为解决windows环境下U盘在计算机中的读写操作难以记录和保存的问题,对U盘与计算机的整个交互流程和U盘的惟一性标识开展研究,在该基础上设计了基于日志的U盘取证系统模型。该模型采用特殊的日志文件结构,通过基于WDM框架的过滤驱动程序来获取U盘在系统中留下的痕迹,并采用特殊的方式进行存储。分析结果表明,该模型切实可行,能够记录U盘从系统中获得的数据及行为,构建有效的证据链供司法取证调查使用。

• 单位
  西安电子科技大学; 河南理工大学; 北京电子科技学院