基于EPROCESS特征的物理内存查找方法

发布时间：2018-06-12 02:39

  本文选题：计算机取证 + EPROCESS　； 参考：《重庆邮电大学学报(自然科学版)》2013年01期

【摘要】：为了快速定位目标活动进程,提取对应的物理内存数据,分析了Windows系统中进程运行时其EPROCESS结构的特性及作用,提出了基于EPROCESS特征的物理内存查找方法。该方法利用EPROCESS结构的特性,定位出活动进程的EPROCESS结构,找出进程页目录基地址,并根据虚拟地址描述符的功能,提取活动进程物理内存。实验结果表明,该方法能快速、有效地定位活动进程,提取出活动进程物理内存,缩小取证分析范围,提高取证效率。
[Abstract]:In order to locate the target active process quickly and extract the corresponding physical memory data, this paper analyzes the characteristics and functions of the EPROCESS structure when the process is running in Windows system, and puts forward a physical memory lookup method based on the EPROCESS feature. This method uses the characteristics of EPROCESS structure to locate the EPROCESS structure of the active process, find the directory base address of the process page, and extract the physical memory of the active process according to the function of the virtual address descriptor. The experimental results show that this method can locate the active process quickly and effectively, extract the physical memory of the active process, reduce the scope of forensic analysis and improve the efficiency of forensics.
【作者单位】： 重庆邮电大学计算机取证研究所;重庆市公安局电子物证司法鉴定中心;
【基金】：重庆市教委科学技术研究项目(KJ110505) 重庆市科技攻关计划项目(CSTC,2011AC2155)~~
【分类号】：TP393.08

【参考文献】

相关期刊论文 前2条

1 陈龙;王国胤;;计算机取证技术综述[J];重庆邮电学院学报(自然科学版);2005年06期

2 郭牧;王连海;;基于KPCR结构的Windows物理内存分析方法[J];计算机工程与应用;2009年18期

【共引文献】

相关期刊论文 前10条

1 王英;邓亚平;曾立梅;;遗传算法在入侵检测中的应用[J];重庆邮电学院学报(自然科学版);2006年02期

2 陈龙;陈武;;基于时间有限状态自动机的事件重建推理算法[J];重庆邮电大学学报(自然科学版);2009年03期

3 陈龙;谭响林;高如岱;;智能取证技术研究[J];重庆邮电大学学报(自然科学版);2009年04期

4 杜江;王石东;;计算机取证中的数据恢复技术研究[J];重庆邮电大学学报(自然科学版);2010年05期

5 陈龙;田健;;基于Steiner三连系的细粒度数据完整性检验方法[J];重庆邮电大学学报(自然科学版);2011年05期

6 刘文俭;;浅谈计算机取证技术[J];电脑知识与技术;2010年28期

7 曹记东;;基于Windows物理内存的计算机取证技术的研究[J];电脑知识与技术;2011年27期

8 张新刚;刘妍;;计算机取证技术研究[J];计算机安全;2007年01期

9 周敏;付国瑜;;一种基于Linux的动态取证策略[J];计算机安全;2010年02期

10 卢细英;;浅析计算机取证技术[J];福建电脑;2008年03期

相关会议论文 前4条

1 方敏;;基于分层有限状态机的计算机取证推理方法[A];2008年计算机应用技术交流会论文集[C];2008年

2 刘晓宇;翟晓飞;杨雨春;;计算机取证分析工具测试方法研究[A];全国计算机安全学术交流会论文集（第二十三卷）[C];2008年

3 黄静宜;陈龙;;计算机取证中一种估计事件发生时间的方法[A];2008'中国信息技术与应用学术论坛论文集（二）[C];2008年

4 张雷;;一种计算机取证的时间Petri网推理方法[A];2008'中国信息技术与应用学术论坛论文集（二）[C];2008年

相关博士学位论文 前3条

1 李炳龙;文档碎片取证关键技术研究[D];解放军信息工程大学;2007年

2 于志宏;视频安全与网络安全若干问题研究[D];吉林大学;2009年

3 陈龙;计算机取证的安全性及取证推理研究[D];西南交通大学;2009年

相关硕士学位论文 前10条

1 刘秀波;基于计算机物理内存分析的Rootkit查找方法研究与实现[D];山东轻工业学院;2011年

2 张亮;面向电子取证的数据获取方法及实现[D];东北大学;2009年

3 刘文俭;基于键盘事件提取的计算机动态取证技术研究[D];四川师范大学;2011年

4 董广龙;基于Windows Server 2003的黑客防范体系的研究[D];山东大学;2006年

5 史光坤;基于网络的动态计算机取证系统设计与实现[D];吉林大学;2007年

6 宋亦青;电子取证若干问题研究[D];中国政法大学;2007年

7 蒋烨;计算机主机隐秘信息取证技术的研究[D];上海交通大学;2008年

8 朱建辉;计算机动态取证系统[D];吉林大学;2009年

9 潘胜刚;计算机安全保护与证据获取系统的设计与实现[D];上海交通大学;2008年

10 陈欣;基于Windows平台的计算机隐秘取证系统的研究与实现[D];上海交通大学;2010年

【相似文献】

相关期刊论文 前10条

1 王振宇;施东炜;;基于BIND域名解析服务管理的设计[J];计算机工程;2007年15期

2 李慧慧;;浅析木马程序的隐藏[J];太原大学教育学院学报;2008年03期

3 刘武,任萍,段海新,向晓林;软件取证和一个身份分析模型MBSFAM[J];计算机应用研究;2004年11期

4 俞晓雯,高强,丁杰;一种入侵检测取证系统模型的设计[J];微机发展;2004年08期

5 丁菊玲,刘晓洁,李涛,仰石,杨频;基于人工免疫的网络入侵动态取证[J];四川大学学报(工程科学版);2004年05期

6 王彩玲;;日志分析在计算机取证中的应用[J];福建电脑;2006年07期

7 鲁庆;;基于数据挖掘技术的计算机取证系统研究[J];计算机与现代化;2008年09期

8 邱洪泽,龚斌,朱大铭;DECNET网络通讯系统的开发[J];小型微型计算机系统;1993年10期

9 王光耀;银行集中综合客户服务系统(ICS)的设计与实现[J];计算技术与自动化;1998年03期

10 冯兴杰,杨国庆;订座数据下载的设计与实现[J];中国民航学院学报;2001年03期

相关会议论文 前10条

1 齐战胜;高峰;腾达;;数据挖掘技术在计算机取证中的应用研究[A];第26次全国计算机安全学术交流会论文集[C];2011年

2 许榕生;刘宝旭;;入侵取证的国际技术动态[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年

3 王卫民;;基于以太网的协议分析方法探讨[A];全国第19届计算机技术与应用（CACIS）学术会议论文集（下册）[C];2008年

4 郑秋生;邵奇峰;郭基凤;裴斐;;基于陷阱网络的入侵行为研究[A];全国第16届计算机科学与技术应用（CACIS）学术会议论文集[C];2004年

5 龚广;李舟军;李智鹏;忽朝俭;;一个高隐蔽性的Windows Rootkit系统的设计与实现[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年

6 杨松;左明;胡军;;数字证据及取证[A];普适计算及其软件新技术——第三届长三角计算机科技论坛文集[C];2006年

7 王志佳;顾健;;一种改进的确定有限自动机入侵检测算法研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年

8 王树广;;分布式数据流上的连续异常检测[A];2008年全国开放式分布与并行计算机学术会议论文集(上册)[C];2008年

9 田庆宜;王琳;黄道丽;;Vsphere架构私有云取证方法研究及其实践[A];第26次全国计算机安全学术交流会论文集[C];2011年

10 王智广;陈明;胡安廷;;内存数据在Web计算中的应用研究[A];第六届全国计算机应用联合学术会议论文集[C];2002年

相关重要报纸文章 前10条

1 阿岛;32M内存也玩Windows 2000[N];电脑报;2001年

2 张琦;网络入侵证据的收集分析[N];中国计算机报;2005年

3 wangy;2003蠕虫王病毒来了[N];电脑报;2003年

4 离子翼;计算机调查取证 证据采集篇[N];中国电脑教育报;2005年

5 高岚;计算机取证有效遏制网络犯罪[N];中国计算机报;2002年

6 江西 陈德敏;清空内存中的DLL“垃圾”[N];电脑报;2005年

7 ;病毒特警[N];中国财经报;2002年

8 方军;计算机中了“毒”怎么办？[N];中国机电日报;2001年

9 刘旭　武兴汉;筑起网络防线[N];解放军报;2002年

10 分析家;让病毒无处可逃[N];电脑报;2003年

相关博士学位论文 前10条

1 于志宏;视频安全与网络安全若干问题研究[D];吉林大学;2009年

2 綦朝晖;计算机入侵取证关键技术研究[D];天津大学;2006年

3 夏洪涛;SSL VPN中非对称隧道等若干关键技术的研究[D];华中科技大学;2007年

4 吴姚睿;基于主动获取的计算机取证方法及实现技术研究[D];吉林大学;2009年

5 周刚;云计算环境中面向取证的现场迁移技术研究[D];华中科技大学;2011年

6 张有东;网络取证技术研究[D];南京航空航天大学;2007年

7 廖年冬;信息安全动态风险评估模型的研究[D];北京交通大学;2010年

8 马建斌;中文Web信息作者同一认定技术研究[D];河北农业大学;2010年

9 周彩章;网络管理信息模型、结构及MIB研究[D];西安电子科技大学;2001年

10 杨晓君;机群通信系统互连接入技术研究[D];哈尔滨工程大学;2005年

相关硕士学位论文 前10条

1 石华;基于系统文件特征属性分析的计算机取证研究[D];大连交通大学;2010年

2 周志刚;数据挖掘技术在计算机取证的研究[D];大连交通大学;2010年

3 于寒冰;基于网络的计算机取证技术研究[D];西南交通大学;2011年

4 韩宝昌;计算机犯罪取证证据分析的研究[D];大连交通大学;2012年

5 张琦;计算机取证中的内存镜像获取的研究与实现[D];吉林大学;2011年

6 钱颖麒;无密码登录计算机取证系统[D];复旦大学;2011年

7 何志鹏;基于windows日志的计算机取证模型设计[D];中山大学;2011年

8 王路遥;分布式动态计算机取证技术的研究与实现[D];电子科技大学;2012年

9 孟杰;计算机主动取证系统技术研究与实现[D];电子科技大学;2011年

10 黎扬;计算机取证中攻击源定位方法研究[D];兰州理工大学;2011年

，

本文编号：2007909