76深度解析计算机取证中的时间信息
尹丹1 陈浩2
1 公安部第一研究所 北京 100048
2 日电信息系统中国有限公司 北京 100191
摘要:本文详细阐述了文件时间信息的形成、存储方式及如何使用十六进制编辑器查看解析文件时间信息,并列举了几种
时间信息伪造及识别方法。
关键词:计算机取证;时间取证;电子证据;MFT;FDT
0 前言
时间信息是计算机取证的重要方面,是涉及事件再现以及把虚拟的数字世界和真实世界关联起来的最基本最重要的数字证据。它通常作为联系电子证据和传统证据的桥梁,是证据链形成的关键。由于计算机系统中的时间信息具有复杂性和易变性,因此,深入解析计算机系统中的时间信息,并不断发掘更深层的时间关联,才能推动计算机取证水平的不断提高。
1 相关概念
1.1 GMT(Greenwich Mean Time,格林威治平均时)
从19世纪开始,世界各国来往频繁,而欧洲大陆、美洲大陆和亚洲大陆都有各自的时区,为避免混乱,1884年在华盛顿召开的国际经度会议决定以经过英国伦敦格林威治天文台的零度经线作为本初子午线,即世界计算时间和地理经度的起点。格林威治标准时间因而诞生。
1.2 UTC (Universal Time Coordinated,协调世界时)UTC是由国际无线电咨询委员会规定和推荐,并由国际时间局(BIH)负责保持的,由原子钟提供计时,以秒为基础的时间标度。UTC相当于本初子午线(即经度0度)上的平均太阳时,UTC的本质强调的是比GMT更为精确的世界时间标准。不过对于大部分应用来说,GMT与UTC的功能与精确度是没有差别的。
1.3 时区
1884年在华盛顿召开的国际径度会议上,规定将全球划分为24个时区。它们是中时区(零时区)、东1-12区,西1-12区。每个时区横跨经度15度,时间差正好是1小时。1.4 当地时间
当地时间就是基于GMT/UTC,计算了当地所在时区偏差所得出的时间。
1.5 夏时制(Daylight Saving Time)
又称“日光节约时制”和“夏令时间”,是一种为节约能源而人为规定地方时间的制度,在这一制度实行期间所采用的统一时间称为“夏令时间”。一般在天亮早的夏季人为将时间提前一小时,可以使人早起早睡,充分利用光照资源,从而节约照明用电。各个采纳夏时制的国家具体规定不同。目前全世界仍有近110个国家每年要实行夏令时。1986年至1991年,我国在全国范围实行了六年夏时制,由于省电效果不抵需要适应时间的弊端,1992年4月5日后不再实行。本文研究未考虑夏时制。
2 时间信息的形成和存储
2.1 时间信息的形成
计算机系统时间以CMOS(互补金属氧化物半导体)时间作为基准,CMOS是主板上的一块半导体芯片,它包含一个简单的时钟用来计算当前时间,并依靠一个小的钮扣电池维持其在交流电失去时的工作。绝大多数操作系统使用中断调用0xlA来读取CMOS时钟作为系统时间的来源,文件在创建、修改、被访问时,再读取系统时间以形成文件的时间属性。文件时间属性的形成见图1所示。
这里需要注意的是,虽然时间的最初形成都来源于CMOS时间,但是不同的操作系统缺省看待CMOS时间的方
式却不一样。
作者简介:尹丹(1979-),女,公安部第一研究所信息安全技术事业部工程师,硕士,研究方向:计算机物证。陈浩(1979-),男,日电信息系统中国有限公司工程师,硕士,研究方向:计算机应用。
2009.12
2009.12
77
图1 文件时间属性的形成
Windows 操作系统将当前主板CMOS时间认定默认为当地时间,即操作系统中显示的时间跟BIOS中显示的CMOS时间是一样的,不用进行时区转换。
Linux和苹果操作系统默认将当前主板CMOS时间认定为格林威治标准时间,操作系统中显示的时间是CMOS时间经过时区校正后得来的,比如说北京时间是GMT+8,则系统中显示的时间就应该是CMOS时间+8。
2.2 时间信息的存储和解析
2.2.1 FAT32文件系统的时间属性信息
文件系统的时间属性和文件内容存储于不同区域。FAT32文件系统的文件时间属性存储在文件目录项FDT(FileDirectory Table,文件目录项)中。FDT位于FAT(File Alloca-tion Table,文件分配表)表后,数据区前。每个文件都在FDT中都对应一个目录项,一个目录项占32字节,全部32字节的定义如表1:
表1 FAT32文件目录项的内容及含义
本文使用十六进制编辑器WinHex,以存储在FAT32文件系统中的test1.doc文件为例,讲解解析test1.doc的时间属性信息的方法。
在WinHex中点选“test1.doc”,然后点击右键,在弹出列表中选择“位置”,选择“转到 目录项”,就可以打开test1.doc的文件目录项信息,如图2所示。
test1.doc的32字节的目录项内容如图3所示。对照表1,可以看到从00040730D开始到00040730F的三个字节存储了test1.doc的文件创建时间。这三个字节为“4907 46”。由于Intel的x86系列CPU采用Little Endian(小端字节序)方式存储数据,即低位字节数据存储在低地址处,高位
字节数据存储在高地址处,因此实际的文件创建时间值为
“46 07 49”。将十六进制“46 07 49”转换为二进制为“010001100000011101001001”。对照表1,将得到的这24位二进制进行解析,其中的高5位“01000”为小时,次6位“110000”为分钟,再次5位“00111”的倍数为秒。可得到文件的创建时间为08时48分14秒。同理,可推出test1.doc的其它时间信息。计算机系统中的任意信息在磁盘上都以二进制形式进行存储,掌握了文件的时间信息在磁盘上的存储位置和解析方法,不仅有利于取证人员深入理解文件的时间信息,同时也可看到时间信息的修改非常容易。使用十六进制编辑器WinHex就可以直接对磁盘的任何内容进行修改。
图2 打开test1.doc的文件目录项信息
图3 查看test1.doc的文件目录项信息内容
2.2.2 NTFS文件系统的时间属性信息
NTFS文件系统的文件时间属性存储在主文件表MFT(Master File Table,主文件表)中。每个文件都在MFT中对应着一个索引,该索引称为文件记录,每个文件记录占用两个
扇区,即每个文件记录大小固定为1KB。
与FAT32文件系统不同,NTFS文件系统在文件记录中以UTC (Coordinated Universal Time)格式来保存时间属性。UTC时间使用一个64位数计算时间,单位是100个纳秒(等于10-7秒),表示从1601年1月1日零点以来过去了多少个这样的时间单位。NTFS文件系统以这种格式来存储时间值。MFT中存储了文件创建时间、修改时间、MFT修改时间和最后访问时间。
这里仍然使用十六进制编辑器WinHex,以存储在NTFS文件系统中的test2.doc文件为例,讲解解析test2.doc的时间
属性信息的方法。
78在WinHex中点选“test2.doc”,然后点击右键,在弹出列
表中选择“位置”,选择“转到 文件记录”,就可以打开test2.doc的文件记录信息,如图4所示。
图4 打开test2.doc的文件记录信息
test2.doc的时间信息如图5所示。
图5 查看test2.doc的文件记录信息内容
MFT分别用8个字节存储文件的创建时间、修改时间、MFT修改时间和最后访问时间,利用WinHex对其进行解析非常简单。在WinHex菜单下点击“选项”,选择“数据解释器”,在弹出的窗口中选择“Win32文件时间(64位)”。WinHex的数据解释器就会自动对这些时间信息进行解析。在数据解释器中还可以直接对时间信息进行修改。在这里作者就利用WinHex把test2.doc的创建年份修改成了2019年。
2.2.3 文件头中的时间信息
某些文件在数据区的文件头中也会存有时间属性。如MS Office文档的文件头中包含创建日期、最后一次保存的日期、最后一次打印的时间等,拍摄的JPG图片中包含相片拍照日期。这些时间信息可以通过点选文件,然后右键选择“属性”,选择“摘要”标签进行查看,如图6所示。在掌握各类文件的文件头的数据结构的基础上,这些信息同样可以使用WinHex进行查看解析。
了解文件头中的时间信息有三个作用:①为取证工作提供更多的时间信息;②如果文件已被删除,文件在FDT或者MFT中的时间属性信息已被覆盖,而文件在磁盘数据区存储的文件头保存尚好,也可能得出文件的某些时间信息;③将文件头中的时间信息与FDT或者MFT中的时间信息进行比对,有助于对文件状态的判断。例如,通常情况下,当本地开始编辑一个文件时,其文件头记录的创建时间一般不会与文件系统记录的创建时间相差太远,比如Office文档,新建文件的时间即为文件系统记录的创建时间,编辑后按保存按钮记录的为文件头记录的创建时间,由于Office默认10分钟保存一次,所以对于Office文档,如果文件头中存储的创建时间与文件系统记录的创建时间差小于10分钟的话,则该文档很有可能为最初原件。
图6 查看test3.doc的文件头时间信息
3 时间信息的校正
随着网络化时代的到来,经常会出现位于不同时区的计算机系统之间进行文件传输的情况,这时就面临着时区不同如何保证时间正确转换的问题。以UTC时间存储文件的时间属性,可以较好地解决这个问题。对于以UTC时间存储的时间信息,本地的计算机系统会根据当前系统的时区设置对其进行校正,校正后得到当地时间。在Windows NT/2000/XP系统中,系统时区设置被存储于注册表的HKEY_LOCAL_MAC-HINE\SYSTEM\CurrentControlSet\Control\TimeZoneInform-ation\中。
4 时间信息伪造识别
4.1 时间信息伪造方法
日期伪造的方法有很多种,如:
方法一:改变系统时间,然后再创建文档或对文档进行
修改等操作。
2009.12
2009.12
79
方法二:直接利用特殊软件改变文件的时间信息。如使用十六进制编辑器WinHex。
4.2 时间信息伪造识别方法
4.2.1 根据各种时间信息互相验证进行识别
各种时间信息互相验证进行识别的方法有很多,比如:如果发现文件系统记录的文件创建时间晚于文件访问时间,这显然就是不合逻辑的,时间信息很可能被人为伪造。
对于本地建立并编辑的原始文件,其文件系统记录的创建时间同文件头记录的文件创建时间通常较为接近,一般不会超过一天,而对于拷贝或是从网络下载的文件,其文件系统记录的文件创建时间应晚于文件头记录的文件创建时间,否则就可能是进行了修改系统时间等时间信息伪造。
作为一项挑战,近年来一些研究人员已经在数字调查中对时间戳解析的难题进行了研究。Bradley Schatz (InformationSecurity Institute at the Queensland University of Technology澳大利亚)等人建议,通过从Web服务器上得到存储在计算机Web缓存区中记录的时间戳,建立时间戳相互联系可降低解决难度。Michael C. Weil(Defense Computer Forensics Labora-tory美国)和Chars Boyd(National Technical Assistance Centre英国)等人也提出了类似的相关性方法,通过使用存储在被调查计算机中来自其他时钟的时间戳,例如来自动态生成的Web网页来建立相关性。
4.2.2 据因果关系进行识别
Svein(National Computer Crime Center挪威)提出了根据日志文件序列号的因果关系和根据文件在磁盘上实际存储顺序的因果关系对时间伪造进行识别的方法。
许多文件系统包含了具有序列号项的文件系统日志。例如在NTFS文件系统的主文件表MFT中,每一个文件记录中都存有一个用64位数进行标记的序列号LSN(Log File SequenceNumber,日志文件序列号)。这个序列号是严格递增的,按LSN对产生最后更新事件的文件进行排序,可以得到一个具有时间先后的因果顺序。
NTFS文件系统的主文件表MFT使用具有子代标记(generation-markers)的首次匹配(first-fit)的存储方式,即每次产生新的文件记录时都从头查找,找到第一个可用的位置进
行存储的方式。每一个文件记录中都存有一个子代标记,称为项目序列号(entry sequence number)。通过项目序列号可以识别该文件记录是该存储位置上产生的第几代数据。例如,当某个存储位置上的数据是第一次写入,则该位置标记为第0代数据;当该位置的数据被删除,再次写入时,则该位置标记为第一代数据,以此类推。如果项目序列号显示某文件记录是该存储位置上的第0代数据,则该存储位置是第一次写入的初始数据,即该存储位置是新分配的一个存储空间,根据first-fit的存储特点,该存储位置后面的存储空间也一定都还未分配。因此位于第0代数据后面的存储空间存储数据的时间也一定在其后,这样就可以得到一个具有时间先后的因果顺序。
5 结束语
本文重点解析了存储于文件属性中的时间信息,时间信息其实还广泛存在于文件内容、日志记录等计算机中的任何一个角落,对于计算机取证人员,在取证过程中能够解析的时间信息越多,就会得到越多的证据或线索,因此还需要不断地去进行探索与学习。
参考文献
[1]刘浩阳.数字时间取证的技术原理与应用.全国计算机安全学术交流会论文集(第二十四卷).2009.
[2]张俊,麦永浩,龚德忠.计算机取证的时间分析方法.湖北警官学院学报.2009.
[3]汪中夏,刘伟.数据恢复高级技术.电子工业出版社.2006.[4]刘晓宇,翟晓飞,许榕生.一种用于事件重构的时间分析框架.信息网络安全.2009.
[5]B. Schatz,G. Mohay,A.Clark.A correlation method for estab-lishing provenance of timestamps in digital evidence.DigitalInvestigation.2006.
[6] M.C.Weil.Dynamic Time & Date Stamp Analysis.InternationalJournal of Digital Evidence.2002.
[7]C. Boyd,P. Forster.Time and date issues in forensic computing- a case study.Digital Investigation.2004.
[8]Svein Yngvar Willassen.Finding Evidence of Antedating in Digi-tal Investigations.ARES 2008.
Facebook归因深度解析 设想一下,在某一特定时间内,你的Google广告活动记录了500次转换,而在同一时期,Facebook广告活动显示出700次转换,但Google Analytics中的转换总数接近1000次而不是1200次?我每天都看到这一最让数字营销人员沮丧的问题一——让人很难理解营销活动的真正影响。 随着对数字营销的投资不断增加,我们看到营销人员为触达目标消费者而使用的广告渠道明显分散了。随着渠道的多样化,追踪消费者浏览网站的路线变得更加复杂,而传统的归因方法在报告不同营销活动的真实价值方面也有所欠缺。 归因的保证 归因的保证是令人兴奋的——这是市场营销人员自该领域诞生之初就渴望的东西。John Wanamaker在21世纪初提出了挑战——“我花在广告上的钱有一半被浪费了,但问题是我不知道是哪一半。”尽管这样概括有点简单,但问题依然是——我的营销组合效果如何,我应该在哪里投资才能实现增长? 从根本上说,归因由两个部分组成: ?客户旅程地图:检测有关客户跨设备和时间的营销接触点(点击次数和展示次数) ?应用模型:包括基于规则和数据驱动的模型。一般来说,大多数营销人员都专注于Last Touch,因为这是大多数分析平台中应用的默认模型,还包括First Touch、Linear、Position-Based、Time-Decay & Data-Driven。 在过去的几年里,我观察了我们作为营销人员谈论归因的方式:几乎完全关注应用模型,而很少对客户旅程进行思考。这可能是因为我们放弃了这样一个看起来太复杂的解决方案,允许我们在同一客户旅程地图中跨平台结合点击数和浏览数。无论是什么原因,随着Facebook 归因的推出,我们终于可以更加清晰和确定地展望未来。 在我们深入研究Facebook归因为什么会给营销技术上带来巨大飞跃之前,了解归因的输出是很重要的。归根结底,归因最重要的是要了解各种导致转化的跨渠道之间的交互以及应用于每次交互之间的相对权重。归因不会规定前进的道路,相反,它是一个解决方案,可以告知并指导营销组合决策向前发展。 为什么选择Facebook?
计算机专业就业形势分析 根据当前计算机专业毕业生就业情况以及网上相关数据资料,本文着重从以下几个方面分析计算机专业毕业生目前就业形势。 一、近几年计算机专业就业的基本情况 通过网络以及一些其他手段的调查发现,就计算机专业近几年的就业数据来看,主要呈现以下几个趋势: 1、就业率居高不下,计算机人才市场需求潜力仍然很大 计算机专业人才的市场需求具有很大的潜力,这无疑是在很大程度上为我们将来的就业提供了很大的帮助,更多的网络意见是目前的该专业大学生就业难只是一种表象,原因是大学生自身的心理定位没有调整好。 2、考研率持续上升,说明大学生在摆脱就业压力和个人追求方面有新的认识 从不同的角度来说,为了提高自己的专业修养以及知识储备方面来说,考研绝对是值得大家考虑的;然而也有些人认为,自己所学到的知识越多越好,获得证书越多越好,因此有些人读完硕士还要读博士,从而就在一定程度上忽略了自身其他能力的培养。综合来看,选择继续读书或是提前毕业找工作要根据个人的兴趣爱好以及自身的实际情况选取合适的定位。 3、热门城市就业比率下降,对计算机人才需求标准逐渐提高 根据网上调查、等大型城市近几年对计算机人才的招募情况来看,这几所城市对计算机人才的需求相对呈现饱和趋势,对毕业生的需求量也是逐渐减少。同时,其招聘标准也是逐年呈现“水涨船高”的趋势,很多企业只钟情于硕士研究生、博士生等高端人才,因此必然导致毕业生去向不佳。 4、毕业生选择企业方面思想日渐成熟 随着近年来三资企业用人制度的透明性,劳动价值比得不合理、淘汰现象日渐浮出水面,使得一些毕业生对三资企业持严谨态度。很多毕业生在工作过程中也会对所选企业的各个方面提出质疑,这就必然导致很多人在工作过程中选择跳槽,这也充分说明了当今大学生在选择用人单位方面思想的成熟。 5、毕业生对就业的期望值有待进一步提升 根据目前的市场就业反应来看,大学生再就业方面的期望值有待进一步的提升,在找工作方面还不能完全放开自己,在一定程度上受到家人及朋友各方面意见的影响,会在不知不觉中和自己的学长一类的有一定工作经验的人作出比较,这就在一定程度上限制了大学生自己再就业时展示自己的机会,因此也在一定程度上影响了就业形势。 二、业就业的几点看法 1、难就业——必须的人生历练 根据近几年的就业形势来看,计算机专业的毕业生再就业方面存在着明显的两极分化现象:好的太好,坏的太坏。但是,在整个就业的过程中,更多的毕业生越来越表现出高度的理性,不再盲目跟随,而是更多的从自身的角度出发来选择适合自己的职业,这就在一定程度上需要有超过其他竞争者的优势,因此,对于当今的大学生来说,在学习知识的同时,一定得人生经历以及自身的磨练是必不可少的。
VA深度解析之VA开发者访谈 【编者按】通过采访“V A虚拟应用管理平台”(以下简称V A)的主要设计和开发者们,我了解到他们为自己制定了一个很大的目标——管理不同的应用,在系统性能管理、安全管理、用户管理、其它应用环境的管理等方面,为用户提供集中化的管理平台。下面,就让我们一起来了解一下他们对VA中承载的众多新功能、性能的看法以及设计研发的思路。 提问(编者):感觉VA功能很丰富,宣传的“亮点”也不少。你认为,就VA这个产品而言,主要是为IT用户解决哪些问题? 回答(郗阳产品策划、技术服务): 这要从目前IT用户面临的挑战说起。主要包括: 低质量或不一致的应用性能——带宽受限的连接,如分支机构使用的xDSL 连接,导致应用性能低下,网络成本很高。IT部门需要可靠而高效的方式来向企业用户、分支机构及远程站点提供一致的应用性能。 数据盗用和丢失风险——公司业务不断发展,不断提高的移动性、远程工作、分支机构扩张,笔记本电脑或移动存储介质丢失,使得数据保护、知识产权控制等问题变得更加严峻。分散在各地的PC中的数据安全性存在很大的风险。 控制应用和数据访问——全球化、分布式计算环境和与日俱增加的移动或者远程用户等因素,使得接入方式复杂多样。IT部门无法有效地控制用户访问和对企业应用及文件的使用,也无法监控使用情况。 我们着重帮助用户解决这些问题: ●分布式服务本身缺乏安全性,只有通过集中化全方位的应用管理才能有 效保护,而建立集中化架构是确保全面控制和安全性的唯一有效方式。 ●传统VPN仅仅解决通讯层安全,VA是在通讯层之上对显示画面信息进行 封装,在应用层进行管理,大大提高通讯效率,并且进一步提高安全性。 ●传统应用部署相关的许多运行环境相关的兼容性、安全性和维护挑战, VA通过“虚拟应用”这一模式,将应用的部署全部在服务端完成。 ●仅使用Microsoft Terminal Services或单一功能产品,面临安全性、系统性 能、管理问题。VA作为综合性的管理和操作平台,为用户提供一个集成
计算机的深层解读 一、计算机网络设备有哪些?各有什么用途? 计算机网络的组成主要有主机、终端、通信控制处理机、通信设备和通信线路等。 主机:是计算机网络中承担数据处理的计算机系统,可以是单机系统也可以是多机系统。 终端:是网络中用量大、分布广的设备。 通信控制处理机:也称前端处理机,是计算机与通信线路单元间设置的计算机,负责通信控制和通信处理工作。 通信设备:是数据传输设备,包括集中器、信号变换器和多路复用器等。集中器设置在终端较集中的地方,它把若干个终端用低速线路先集中起来,再与高速通信线路连接。信号变换器提供不同信号间的变换,不同传输介质采用不同类型的信号变换器。 通信线路:是用来连接上述各部分并在各部分之间传输信息的载体。 2、计算机网络的分类 按网络的作用范围划分:局域网、广域网、城域网 按照网络的拓扑结构划分:星型网络、树型网络、总线型网络、环型网络、网状型网络。 3、什么是TCP/IP网络协议,有什么作用? TCP/IP(Transmission Control Protocol/Internet Protocol)即传输控制协议/网间协议,是一个工业标准的协议集,它是为广域
网(WANs)设计的。它是由ARPANET网的研究机构发展起来的。有时我们将TCP/IP描述为互联网协议集"Internet Protocol Suite",TCP 和IP是其中的两个协议。由于TCP和IP是大家熟悉的协议,以至于用TCP/IP或IP/TCP这个词代替了整个协议集。 作用其中包括两个部分: (1)寻址与路由。 (a)用IP地址来标识Internet的主机:在每个IP数据报中,都会携带源IP地址和目标IP地址来标识该IP数据报的源和目的主机。IP数据报在传输过程中,每个中间节点(IP 网关)还需要为其选择从源主机到目的主机的合适的转发路径(即路由)。IP协议可以根据路由选择协议提供的路由信息对IP数据报进行转发,直至抵达目的主机。 (b)IP地址和MAC地址的匹配,ARP协议。数据链路层使用MAC地址来发送数据帧,因此在实际发送IP报文时,还需要进行IP地址和MAC地址的匹配,由TCP/IP协议簇中的ARP(地址解析协议)完成。 (2)分段与重组。 (a) IP数据报通过不同类型的通信网络发送,IP数据报的大小会受到这些网络所规定的最大传输单元(MTU)的限制。 参考文献:卜庆锋电子商务S31
移动云计算专业深度解析 移动云计算专业深度解析 移动云计算专业是随着互联网的不断普及以及云计算市场爆发性增长应运而生 的“互联网+”专业,该专业主要由“移动”+“云”+“移动云”的三个主要技术要点构成,以培养高层次、创新型人才为目标,通过引进企业导师授课、与企业共建联合实验室,成为高校与企业间的桥梁,打造创新人才培养模式,为高校、政府、企业、产业园区等客户提供定制化教育解决方案及人力资源服务方案。该专业重在培养学生的理论知识和动手实践能力,整体课程采用逐层递进的方式,学生在完成每个学期的理论授课后,均有两个企业项目实战跟进,学生所学内容能够及时的得到运用,在项目中延展技术深度与宽度,做到理论与实践的充分结合。根据笔者的研究,目前北京航天航天大学、上海交通大学、西安交通大学和贵州大学等在国内率先开设了移动云计算专业,并且已经为移动云计算行业提供和输送了一大批优秀人才。 专业背景 在互联网的不断普及和渗透下,云计算市场呈爆发性增长,云计算,互联网技 术成为企业走向成功的重要因素,随之云计算专业人才成为“稀缺资源”~2015年,约有700万云计算相关的岗位空缺; 未来三年,云计算相关的岗位需求将以每年26%的速度增长,, 社会各行业对云计算人才求贤若渴~ 同时,从专业人才培养的角度,因其本身所具有的跨学科跨专业性,如何培养 出适合社会需求的云计算人才、如何提升在校学生的专业就业竞争力,给高校和教师带来了新的挑战。
校企融合专业共建,快速高效培养云计算相关专业人才显得各位重要和迫切。此时, 图:云计算市场规模 专业发展现状 填补移动云计算专业人才巨大缺口的最有效办法无疑还需要依托众多的高等院校来培养输送,但互联网发展一日千里,云计算和移动云计算技术、手段日新月异,企业所需要的非常接地气的人才培养对于传统以培养学术型、科研型人才为主要使命的高校来说还真有些难度。幸好这个问题已经被全社会关注,政府更是一再提倡产教融合、校企合作来创办 新型前沿几乎以及“互联网+”专业方向,也已经有一些企业大胆开始了这方面的创新步伐。据我了解,慧科教育就是国内最早尝试高校校企合作的一家企业,其率先联合各大高校最早开设了互联网营销,这也是它们的优势专业,后来慧科教育集团又先后和北京航空航天大学、上海交通大学、西安交通大学和贵州大学等高校在硕、本两个层次开设了移动云计算专业方向,在课程体系研发、教学授课及实
2015年全国硕士研究生入学统一考试 计算机学科专业基础综合试题 一、单项选择题:140小题,每小题2分,共80分。下列每题给出的四个选项中,只有一个选项符合题目要求。请在答题卡上将所选项的字母涂黑。 1.已知程序如下: int s(int n) { return (n<=0) ? 0 : s(n-1) +n; } void main() { cout<< s(1); } 程序运行时使用栈来保存调用过程的信息,自栈底到栈顶保存的信息一次对应的是A.main()->S(1)->S(0) B.S(0)->S(1)->main() C.m ain()->S(0)->S(1) D.S(1)->S(0)->main() 【参考答案】D 【考查知识点】栈的基本概念和函数调用的原理。 2.先序序列为a,b,c,d的不同二叉树的个数是 A.13 B.14 C.15 D.16 【参考答案】C 【考查知识点】二叉树的基本概念。 3.下列选项给出的是从根分别到达两个叶节点路径上的权值序列,能属于同一棵哈夫曼树的是 A.24,10,5和24,10,7 B.24,10,5和24,12,7 C.24,10,10和24,14,11 D.24,10,5和24,14,6 【参考答案】C 【考查知识点】哈夫曼树的原理。 4.现在有一颗无重复关键字的平衡二叉树(A VL树),对其进行中序遍历可得到一个降序序列。下列关于该平衡二叉树的叙述中,正确的是 A.根节点的度一定为2 B.树中最小元素一定是叶节点 C.最后插入的元素一定是叶节点D.树中最大元素一定是无左子树
【考查知识点】树的中序遍历和A VL树的基本概念。 5.设有向图G=(V,E),顶点集V={V0,V1,V2,V3},边集E={
对于ROM与RAM的深度解析 ROM:(Read Only Memory)程序存储器 在单片机中用来存储程序数据及常量数据或变量数据,凡是c文件及h文件中所有代码、全局变量、局部变量、’const’限定符定义的常量数据、startup.asm文件中的代码(类似ARM 中的bootloader或者X86中的BIOS,一些低端的单片机是没有这个的)通通都存储在ROM 中。 RAM:(Random Access Memory)随机访问存储器 用来存储程序中用到的变量。凡是整个程序中,所用到的需要被改写的量,都存储在RAM 中,“被改变的量”包括全局变量、局部变量、堆栈段。 程序经过编译、汇编、链接后,生成hex文件。用专用的烧录软件,通过烧录器将hex文件烧录到ROM中(究竟是怎样将hex文件传输到MCU内部的ROM中的呢?),因此,这个时候的ROM中,包含所有的程序内容:无论是一行一行的程序代码,函数中用到的局部变量,头文件中所声明的全局变量,const声明的只读常量,都被生成了二进制数据,包含在hex文件中,全部烧录到了ROM里面,此时的ROM,包含了程序的所有信息,正是由于这些信息,“指导”了CPU的所有动作。 可能有人会有疑问,既然所有的数据在ROM中,那RAM中的数据从哪里来?什么时候CPU将数据加载到RAM中?会不会是在烧录的时候,已经将需要放在RAM中数据烧录到了RAM中? 要回答这个问题,首先必须明确一条:ROM是只读存储器,CPU只能从里面读数据,而不能往里面写数据,掉电后数据依然保存在存储器中;RAM是随机存储器,CPU既可以从里面读出数据,又可以往里面写入数据,掉电后数据不保存,这是条永恒的真理,始终记挂在心。 清楚了上面的问题,那么就很容易想到,RAM中的数据不是在烧录的时候写入的,因为烧录完毕后,拔掉电源,当再给MCU上电后,CPU能正常执行动作,RAM中照样有数据,这就说明:RAM中的数据不是在烧录的时候写入的,同时也说明,在CPU运行时,
职业技能深度解析 2061 ?对现如今市场上众多的?游,你更倾向于哪?类型的游戏呢?玩法丰富、画?绚丽、战?激烈,?论选择哪?类型的?游,你在体验游戏的时候都不可能缺少?样东西——智慧。只有你在充分展现??智慧的时候,才能体验到游戏的真正魅?。 09年8?15?,超酷炫战争?游《2061》在数万玩家的期待中全?启动公测体验服,同时拥有全新内容的游戏版本也将与你见?,带你进?新的物种、新的?命形式、新的能量体组成的全新游戏世界。此次公测所推出的全新版本中,加?了能量护送、能源通动、猎??札等全新系统,以及更具挑战的全新副本,但是若想充分体验全新内容带来的游戏乐趣,了解和熟悉职业技能是必不可少的,同样这也是玩家间智慧的?拼。 《2061》的世界中?共为我们提供了原?者、潜伏者、意识者、?存者4种不同的职业,为了能够让玩家更好的理解职业技能,本次我们先对意识者和?存者这两个职业的技能展开深度解析。 意识者 意识者技能介绍: 脉冲:将意识能量凝聚成?个球体,推射出去 灼烧:控制能量射线,追踪伤害?标 炎压:瞬间将某?处的空间压缩产?强烈的爆炸 瞬转:集中意识转变??的维度,出现在另?个地?,同时伴随空间撕裂 易伤:对?标意识体直接的侵略,导致?标的防御能?降低 冲击:?量意识能量集中,对某?个?向直接释放,形成线状的范围攻击 错乱:脑部意识攻击,让周围的?标意识由于恐惧?陷?混乱 分?:意识能量完全凝聚,实体化,能辅助攻击,不过并不能持续太长的时间 电离风暴:在?个区域内制造出?个巨?意识风暴,??夹杂着电流的能量 箴?术:古?的密术和意识能量的结合,瞬间将?标完全瘫痪,?法做出任何动作 脉冲、灼烧、炎压,是意识者初级阶段中必须要学习的技能,同样这三个技能也是所有技能中的单体技能,前期对意识者有着极其重要的作?。?这三个技能,是意识者前期升级,乃?P K时都要使?的技能,所以注定要将这三个技能随着?物等级的提升?逐渐加满,这样才可以让意识者渐渐显现出??作为魔法师的本?。 前期练级时,玩家可以不?考虑技能间的搭配问题,只需考虑?个问题——升级的速度,升级时的宗旨便是有技能便?,这也是意识者在升级时的优势所在。不过在P K的时候,虽然前期只有区区的三个技能,同样是要讲究技能之间的组合。 当意识者在学习冲击、电离风暴两个技能后,才可以称得上真正意义上的魔法师。冲击、电离风暴两个技能均为群体攻击技能,可以??增加玩家升级的速度,此时意识者在练级??的优势毫?遮掩的完全显现。不过需要提醒你的是,虽然意识者拥有冲击、电离风暴两个极其恐怖的群体攻击技能,但是也不可放弃之前所学习的基础技能,最简单的?点便是这两个技能均有冷却时间,搭配之前的基础技能才是关键。 冲击,属于直线攻击技能,你只需掌握好使?技能的时间、?位便可,更可怕的事,当冲击技能的等级在不断被提?之后,可以增加使地?眩晕2秒的负?效果,这可是意识者在战?时最常?,也是最钟爱的技能。 电离风暴,?可厚?的成为意识者拥有伤害最?的招牌技能,此技能为连续性伤害技能,唯?不?的是冷却时间?较长,在战?中应把握时机慎重使?。同时,电离风暴的释放速度极快,造成伤害的范围极?,确实是不可缺少的极品技能。 除此之外,意识者在拥有单体、群体攻击技能的同时,还拥有更多的控制技能和辅助技能,使得意识者将??全副武装。瞬转、错乱、箴?术,都可以从不同程度上使得??或敌?受到相应的控制。瞬转作为意识者必备的技能,?论是逃跑或是追杀都极其好?,更会让你操作的过程中变的轻巧灵便。错乱、箴?术着着实实的属于控制技能,同时会随着技能等级的提升控制多个敌?,试想
76深度解析计算机取证中的时间信息 尹丹1 陈浩2 1 公安部第一研究所 北京 100048 2 日电信息系统中国有限公司 北京 100191 摘要:本文详细阐述了文件时间信息的形成、存储方式及如何使用十六进制编辑器查看解析文件时间信息,并列举了几种 时间信息伪造及识别方法。 关键词:计算机取证;时间取证;电子证据;MFT;FDT 0 前言 时间信息是计算机取证的重要方面,是涉及事件再现以及把虚拟的数字世界和真实世界关联起来的最基本最重要的数字证据。它通常作为联系电子证据和传统证据的桥梁,是证据链形成的关键。由于计算机系统中的时间信息具有复杂性和易变性,因此,深入解析计算机系统中的时间信息,并不断发掘更深层的时间关联,才能推动计算机取证水平的不断提高。 1 相关概念 1.1 GMT(Greenwich Mean Time,格林威治平均时) 从19世纪开始,世界各国来往频繁,而欧洲大陆、美洲大陆和亚洲大陆都有各自的时区,为避免混乱,1884年在华盛顿召开的国际经度会议决定以经过英国伦敦格林威治天文台的零度经线作为本初子午线,即世界计算时间和地理经度的起点。格林威治标准时间因而诞生。 1.2 UTC (Universal Time Coordinated,协调世界时)UTC是由国际无线电咨询委员会规定和推荐,并由国际时间局(BIH)负责保持的,由原子钟提供计时,以秒为基础的时间标度。UTC相当于本初子午线(即经度0度)上的平均太阳时,UTC的本质强调的是比GMT更为精确的世界时间标准。不过对于大部分应用来说,GMT与UTC的功能与精确度是没有差别的。 1.3 时区 1884年在华盛顿召开的国际径度会议上,规定将全球划分为24个时区。它们是中时区(零时区)、东1-12区,西1-12区。每个时区横跨经度15度,时间差正好是1小时。1.4 当地时间 当地时间就是基于GMT/UTC,计算了当地所在时区偏差所得出的时间。 1.5 夏时制(Daylight Saving Time) 又称“日光节约时制”和“夏令时间”,是一种为节约能源而人为规定地方时间的制度,在这一制度实行期间所采用的统一时间称为“夏令时间”。一般在天亮早的夏季人为将时间提前一小时,可以使人早起早睡,充分利用光照资源,从而节约照明用电。各个采纳夏时制的国家具体规定不同。目前全世界仍有近110个国家每年要实行夏令时。1986年至1991年,我国在全国范围实行了六年夏时制,由于省电效果不抵需要适应时间的弊端,1992年4月5日后不再实行。本文研究未考虑夏时制。 2 时间信息的形成和存储 2.1 时间信息的形成 计算机系统时间以CMOS(互补金属氧化物半导体)时间作为基准,CMOS是主板上的一块半导体芯片,它包含一个简单的时钟用来计算当前时间,并依靠一个小的钮扣电池维持其在交流电失去时的工作。绝大多数操作系统使用中断调用0xlA来读取CMOS时钟作为系统时间的来源,文件在创建、修改、被访问时,再读取系统时间以形成文件的时间属性。文件时间属性的形成见图1所示。 这里需要注意的是,虽然时间的最初形成都来源于CMOS时间,但是不同的操作系统缺省看待CMOS时间的方 式却不一样。 作者简介:尹丹(1979-),女,公安部第一研究所信息安全技术事业部工程师,硕士,研究方向:计算机物证。陈浩(1979-),男,日电信息系统中国有限公司工程师,硕士,研究方向:计算机应用。 2009.12
计算机专业考研科目及细节分析 计算机学科专业基础综合考试涵盖数据机构、计算机组成原理、操作系统和计算机网络等学科专业基础课程。要求考生比较系统地掌握上述专业基础课程的概念、基本原理和方法,能够运用所学的基本原理和基本方法分析、判断和解决有关理论问题和实际问题。 考研的具体信息如下: 一、试卷满分及考试时间:本试卷满分为150分,考试时间为180分钟。 二、答题方式:答题方式为闭卷、笔试 三、试卷具体内容结构: 数据结构(45分) 计算机组成原理(45分) 操作系统( 35分) 计算机网络 (25分) 四、试卷题型结构: 单项选择题 80分(40小题,每小题2分) 综合应用题 70分 五、考查范围: 数据结构 1、理解数据结构的基本概念;掌握数据的逻辑结构、存储结构及其差异,以及各种基本操作的实现。 2、掌握基本的数据处理原理和方法的基础上,能够对算法进行设计与分析。 3、能够选择合适的数据结构和方法进行问题求解. (一)线性表 (1)线性表的定义和基本操作.
(2)线性表的实现: 1、顺序存储结构 2、链式存储结构 3、线性表的应用 (二)栈、队列和数组 (1)栈和队列的基本概念 (2)栈和队列的顺序存储结构 (3)栈和队列的链式存储结构 (4)栈和队列的应用 (5)特殊矩阵的压缩存储 (三)、树与二叉树 (1)树的概念 (2)二叉树: 1、二叉树的定义及其主要特征 2、二叉树的顺序存储结构和链式存储结构 3、二叉树的遍历 4、线索二叉树的基本概念和构造 5、二叉排序树 6、平衡二叉树 (3)树、森林: 1、书的存储结构 2、森林与二叉树的转换 3、树和森林的遍历 (4)树的应用:
深度解析互联网金融产品设计 来源|P2P圈 作者|张骋骅 前言支付、融资、风险管理、投资理财已经不断走到大众面前,称为大家可以耳熟能详的金融理财概念。在目前互联网+的大潮中,对于网贷平台来说,是机遇与挑战并存的时刻。本文主要分析在金融产品设计过程中一些主要的要素和结 构化理财产品设计时一些风险点。在目前互联网+的大潮中,支付、融资、风险管理、投资理财已经不断走到大众面前,称为大家可以耳熟能详的金融理财概念。在投资人知识体系不断完善,理财技能不断提高,专业水平不断提升的大环境中,对于我们网贷平台来说,是机遇与挑战并存的时刻。如何完善金融产品形态,如何协调平台稳定性和投资人更多更迫切更复杂的需求之间的平衡关系,如何在法律与政策的大环境下,运用好金融产品工具建立在互金领域的利基市场,会成为我们需要不断自我挑战的一些课题。这次分享主要关注两个部分,第一个是在金融产品设计过程中一些主要的要素,和结构化理财产品设计时一些风险点。目前在P2P网贷平台,有直接购买债券的散标模式,债券转让模式和借助结构化方法的理财计划模式。在“短债长投”的现实因素下,在 对优质资产处于白热化的争夺过程中,产品面临着收益与流
动性的双重挑战。互联网产品具备的一些基本描述有:投资期限(1个月,3个月,6个月等),对于散标,投资期限等于借款期限,对于理财计划,投资期限与借款期限不挂钩,过程中通过债券转让,货基等申购赎回的动作实现对于理财计划的持有,并在退出时一次性还本付息。收益率(年化):通常网站使用年化收益率的定义,年化收益率是把当前收益率(日收益率、周收益率、月收益率)换算成年收益率来计算的,是一种理论收益率,并不是真正的已取得的收益率。发行额度:基于平台资产储备和资金管理规划,按照一定可投总金额上限。在金融产品设计过程中,我们需要权衡的是投资人,借款人和平台的三方博弈。因此在流动性风险,盈利指标,投资人的体验,以及借款人的融资需求之间,不能厚此薄彼,要充分考虑各方关系。散标的设计相对比较简单,投资人直接投资于借款人的标的。除了在风险保证金承诺上,需要承担一定的信用风险,相对来说现金流的走向是有一个可靠的预期的。但是,在如上所说的短债长投的大环境下,灵活进出并且收益有保障的理财产品成为投资人一个比较关注的产品门类。那这部分产品,对于平台的流动性风险控制能力有着很大的挑战。所以,这里介绍给大家一些在控制流动性风险时一些思考的小工具,就是期限与定价。简单来说,平台现在随着P2P到,P2B,P2C,P2G,A2P等不断的推陈出新,借贷产品、票据、基金、信托、保险、保
大数据技术与应用专业深度解析(含课程说明、师资介绍) 大数据技术与应用专业是是新兴的“互联网+”专业,该专业将大数据分析挖掘与处理、 移动开发与架构、人软件开发、云计算等前沿技术相结合,并引入企业真实项目演练,依托产学界的雄厚师资,旨在培养适应新形势,具有最新思维和技能的“高层次、实用型、国际 化”的复合型大数据技术与应用专业人才。 专业背景 近几年来,互联网行业发展风起云涌,而移动互联网、电子商务、物联网以及社交媒体 的快速发展更促使我们快速进入了大数据时代。截止到目前,人们日常生活中的数据量已经 从TB(1024GB=1TB)级别一跃升到PB(1024TB=1PB)、EB(1024PB=1EB)乃至ZB(1024EB=1ZB)级别,数据将逐渐成为重要的生产因素,人们对于海量数据的运用将预示着新一波生产率增长 和消费者盈余浪潮的到来。大数据时代,专业的大数据人才必将成为人才市场上的香饽饽。 当下,大数据从业人员的两个主要趋势是:1、大数据领域从业人员的薪资将继续增长;2、大数据人才供不应求。 图示说明:2012-2020年全球数据产生量预测 专业发展现状 填补大数据技术与应用专业人才巨大缺口的最有效办法无疑还需要依托众多的高等院 校来培养输送,但互联网发展一日千里,大数据技术、手段日新月异,企业所需要的非常接 地气的人才培养对于传统以培养学术型、科研型人才为主要使命的高校来说还真有些难度。 幸好这个问题已经被全社会关注,政府更是一再提倡产教融合、校企合作来创办新型前沿几
乎以及“互联网+”专业方向,也已经有一些企业大胆开始了这方面的创新步伐。据我了解, 慧科教育就是一家最早尝试高校校企合作的企业,其率先联合各大高校最早开设了互联网营 销,这也是它们的优势专业,后来慧科教育集团又先后和北京航空航天大学、对外经济贸易大学、贵州大学、华南理工大学、宜春学院、广东开放大学等高校在硕、本、专各个层次开 设了大数据技术与应用专业方向,在课程体系研发、教学授课及实训实习环节均有来自BAT 以及各大行业企业一线的技术大拿参与,所培养人才能够很好地满足企业用人需求。 专业示例 笔者在对慧科教育的大数据技术与应用专业做了专门研究,共享一些主要特色给大家参考: 1.培养模式 采用校企联合模式,校企双方(即慧科教育集团和合作校方)发挥各自优势,在最大限 度保证院校办学特色及专业课程设置的前提下,植入相应前沿科技及特色人才岗位需求的企 业课程。 2.课程体系 笔者对慧科教育的大数据技术与应用专业做了专门研究,现分享一下慧科专业共建的课 程给大家参考。慧科教育集团的专业课程重在培养学生的理论知识和动手实践能力,学生在完成每个学期的理论学习后,至少有两个企业项目实战跟进,让学生在项目中应用各类大数 据技术,训练大数据思路和实践步骤,做到理论与实践的充分结合。 大数据技术与应用专业的课程体系包括专业基础课、专业核心课、大数据架构设计、企业综合实训等四个部分。
C语言深度剖析读书笔记 第1章关键字 1.1、定义与声明的区别:定义创建了对象并为对象分配了内存,声明没有分配内存 1.2、register请求编译器尽可能将变量存在CPU寄存器中以提高访问速度,register变量必须为CPU寄存器所能接受的类型,它须是一个单一的值,并且长度<=整型的长度,由于register变量可能不放在内存中,故不可以用”&”来获取它的地址 1.3、函数前面加static使得函数成为静态函数,它的作用域仅限于本文件中,故又称内部函数 1.4、case关键字后面只能是整数或字符型的常量或常量表达式。 const int a = 5; case a: //const只读变量,编译出错,case label does not reduce to an integer constant case 1.1: //小数,编译出错,case label does not reduce to an integer constant case 3/2: //没有问题,分数会被转换成整数 1.5、“跨循环层”的概念本身是说,由外层循环进入内层循环是要重新初始化循环计数器的,包括保存外层循环的计数器和加载内层循环计数器,退出内层的时候再恢复外层循环计数器。把长循环放在里面可以显著减小这些操作的数量,还可以增加cache的命中率。在多重循环中,如果有可能,应当将最长的循环放在最内层,最短的循环放在最外层,以减少CPU跨切循环层的次数。 for(i = 0; i < 50; i++){ for(j = 0; j < 10000; j++){ } } 效率比下面这个高 for(i = 0; i < 10000; i++){ for(j = 0; j < 50; j++){ }