Skip to main content
Nubint
QUICK REVIEW

[论文解读] Towards a standardised strategy to collect and distribute application software artifacts

Thomas Laurenson, Stephen G. MacDonell|arXiv (Cornell University)|Jan 1, 2015
Digital and Cyber Forensics参考文献 18被引用 3
一句话总结

本文提出了一种标准化、自动化的应用软件构件收集与分发策略,采用实时差异取证分析和一种新型数据抽象格式——应用配置文件XML(APXML)。该方法将文件系统和Windows注册表构件整合为单一、可机器验证的XML结构,从而实现高效、可重复的应用软件逆向工程,适用于数字取证。

ABSTRACT

Reference sets contain known content that are used to identify relevant or filter irrelevant content. Application profiles are a type of reference set that contain digital artifacts associated with application software. An application profile can be compared against a target data set to identify relevant evidence of application usage in a variety of investigation scenarios. The research objective is to design and implement a standardised strategy to collect and distribute application software artifacts using application profiles. An advanced technique for creating application profiles was designed using a formalised differential analysis strategy. The design was implemented in a live differential forensic analysis tool, LiveDiff, to automate and simplify data collection. A storage mechanism was designed based on a previously standardised forensic data abstraction. The design was implemented in a new data abstraction, Application Profile XML (APXML), to provide storage, distribution and automated processing of collected artifacts.

研究动机与目标

  • 解决数字取证中应用软件构件收集与共享缺乏标准化的问题。
  • 通过自动化减少手动工作量,提高应用配置文件生成的一致性。
  • 实现多源证据(文件系统与注册表)的存储、分发与自动化处理,统一于一种标准化格式。
  • 支持对不同版本和配置的应用软件进行快速、可扩展的逆向工程。
  • 通过将目标系统与预先生成并验证的应用配置文件进行快速比对,提升取证调查效率。

提出的方法

  • 开发了LiveDiff,一种可移植的Windows工具,用于实时差异取证分析,能够捕获应用生命周期各阶段的系统变化。
  • 实施了形式化的差异分析策略,通过比较软件安装、运行和卸载前后系统的快照进行分析。
  • 设计了APXML,一种基于XML的数据抽象标准,扩展了DFXML以包含文件系统和注册表构件,并增加生命周期阶段分类。
  • 定义了模式文件(apxml.xsd),用于XML验证,确保不同工具与系统间应用配置文件的一致性与互操作性。
  • 将文件路径、哈希值和注册表键等元数据属性整合至APXML,排除系统特定值(如时间戳和分区信息)。
  • 以DFXML和RegXML标准为基础,通过增加生命周期元数据和Dublin Core用于溯源信息。

实验结果

研究问题

  • RQ1如何开发一种标准化、自动化的机制,以跨不同生命周期阶段收集应用软件构件?
  • RQ2何种数据抽象格式能够有效存储、分发并验证多源取证证据(文件系统与注册表)且具备法医学可靠性?
  • RQ3如何在实时系统上应用差异分析,以生成一致且可重复的应用配置文件?
  • RQ4哪些元数据属性对于跨不同目标系统的构件关联至关重要,而哪些应被排除以避免误报?
  • RQ5如何实现生成的应用配置文件在数字取证工具与从业者之间可靠地验证与共享?

主要发现

  • LiveDiff成功实现了在Windows系统上的实时差异取证分析自动化,能够捕获应用在安装、运行和卸载过程中的系统变化。
  • APXML提供了一种标准化、可扩展且可机器验证的格式,用于存储包含文件系统和注册表构件的应用配置文件。
  • 引入生命周期阶段分类(安装、执行、卸载、重启)可实现对应用使用情况的更精确法医推断。
  • APXML模式文件(apxml.xsd)确保了数据完整性和互操作性,使工具能够可靠地验证和处理配置文件。
  • 该方法减少了手动逆向工程的工作量,并支持新版本或更新版本软件应用配置文件的快速生成。
  • 该方法支持应用配置文件的自动化处理,提升了数字取证调查中的可扩展性与一致性。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。