图像取证

微软系统IT取证工具集 浏览器取证: ChromeCacheView, ChromePass, IECacheView, IECookiesView, IEHistoryView, MozillaCacheView, MozillaHistoryView, MozillaCookiesView, OperaCacheView 密码恢复: ChromePass, IE PassView, MessenPass, Network Password Recovery, PasswordFox, Protected Storage PassView, PstPassword, Remote Desktop PassView, WirelessKeyView 系统分析: accesspv.zip, ActiveX Compatibility Manager, FavoritesView, LiveContactsView, LSASecretsDump, LSASecretsView, MyLastSearch, NK2View, OfficeIns, OpenedFilesView, SiteShoter, SkypeLogView, SniffPass

为解决现有数据挖掘取证分析效率低下的问题，该方法利用免疫克隆算法构建基于频繁长模式的行为轮廓。 该方法将行为数据和频繁项集的候选模式分别视为抗原和抗体，将抗原对抗体的支持度作为亲和度函数，将关键属性作为约束条件，将最小支持度作为筛选条件。通过对抗体进行免疫克隆操作，构建基于频繁长模式的行为轮廓，并采用审计数据遍历行为轮廓匹配对比的分析方法检测异常数据。实验结果表明，相较于基于 Apriori-CGA 算法的取证分析方法，该方法能够显著缩短行为轮廓建立时间和异常数据检测时间。

关联规则技术能发现不同犯罪之间的相似性，以及犯罪人之间的关联，在计算机取证分析中应用该技术可挖掘潜在关联。

提供了基于MATLAB的变异中值滤波代码，支持图像取证领域的研究与评估。作者Kang Hyeon RHEE在其论文中详细描述了使用相邻线对的变异中值滤波检测方法，这对于图像取证具有重要意义。

1.2 国内外研究现状 1.2.1 Linux内存取证研究现状在对计算机系统进行取证调查时，具备获取和分析物理内存(RAM)数据的能力是至关重要的。因为，物理内存中不仅保存有最近运行程序、打开文件以及访问网络等操作所留下的痕迹信息，并且还能检索到一些只在内存中出现且未曾保存到硬盘上的数据信息，例如恶意代码入侵的痕迹信息以及磁盘加密文件的解密密钥等易失性数据信息。与此类似的是，在进行Android手机取证调查时，同样需要具备获取和分析物理内存（也称作运行内存）数据的能力。由于Android系统是基于Linux内核开发的，因此可以把Linux内存取证的研究思路和方法借鉴到Android物理内存取证的研究工作中。 Linux内存的获取方法获取Linux内存镜像传统的方法是在dev/mem目录下使用dd命令获取物理内存的映射文件，但只可以获取到物理内存前896MB的数据。如果物理内存的大小超过896MB，则无法获取完整的内存数据。随着Linux内核安全机制的增强，从内核版本Linux 2.6开始这种方法便在所有的Linux系统发行版中被禁止了。为了获取物理内存中完整的内容，J. Sylve和A. Case[3]开发了可导入内核模块LiME（以前被称为DMD）[4]，取证调查人员把该内核模块加载到系统内核就可以获取到Linux和Android系统的完整内存(RAM)镜像。这虽然被公认为目前最好的方法，但是加载...

这是由意大利佛罗伦萨大学媒体集成和传播中心（MICC）的I. Amerini，L. Ballan和G. Serra开发的WARD方法Matlab代码，用于复制移动伪造检测，特别是在司法鉴定中使用SIFT功能。该代码等效于MICC网页上的初始版本（2012年5月8日-版本1.0），用于检测复制移动攻击和进行转换恢复。如果您使用此代码，请引用I. Amerini等人在IEEE Transactions on Information Forensics and Security（TIFS）2011年的相关研究文章。此程序包含了他们在TIFS 2011中提出的复制移动检测方法的Matlab实现。

Matlab开发-将图像转换为黑白图像。利用无背景切片图像技术，实现彩色图像向黑白图像的转换。

在图像处理中，图像的几何变换是一个重要的主题。包括图像平移、正变换和逆变换，以及形态学结构元素的创建和应用。这些技术在处理图像时起着至关重要的作用。

ImageAccess.rar 文件包含与图像访问相关的资源和工具。

此程序为基于图的图像分割提供了更新版本，支持彩色图像。使用方法如下： 编译：GraphSeg_compile 读取图像：img = imread('图片/rice.jpg') 分割：[L, 轮廓] = graph_segment(img, 1, 3, 100) 显示结果： 原始图像：imshow(img), title('原始图像') 分割结果：imshow(label2rgb(L)), title('分段结果')