论文检索
论文发表
当前位置:主页 > 社科论文 > 公安论文 >

面向Windows 8物理内存镜像文件的内存取证技术研究

发布时间:2017-10-30 01:28

  本文关键词:面向Windows 8物理内存镜像文件的内存取证技术研究


  更多相关文章: Windows8 内存取证 进程 线程 句柄


【摘要】:随着计算机硬件、软件技术的快速发展和信息技术在各行各业的普及,当今利用计算机等相关电子设备进行犯罪的手段和类型日趋复杂化、多元化,这对人们的日常生活和工作构成了极大的威胁。为了有效打击这些利用高科技的犯罪,在取证调查分析中,如何进行最大限度地获取计算机犯罪的相关电子证据,已成为信息安全领域一个新的热点,而解决这一问题的有效途径被称作计算机取证。 计算机取证包括离线取证技术和在线取证技术。在线取证技术中基于物理内存镜像文件的内存取证分析是近年来研究的热点课题,目前正处于快速发展阶段,还尚未形成一套完整的系统理论和方法。另外,由于Windows系统更新换代,系统内核中的数据结构以及内部管理机制的改变,导致目前的计算机取证工具并不能正确地提取分析出Windows8系统中的进程、线程和对象句柄等信息。 针对上述情形,本文主要研究Windows8下基于物理内存镜像文件的内存取证,论文的主要工作如下所示: ①通过深入理解微软最新操作系统Windows8下内存取证的相关原理和方法,并运用逆向工程等分析手段,本文研究了Windows8系统地址空间的结构、系统内存池分配、页式内存管理、段式内存管理、地址转译原理等许多涉及系统内核层的机制。 ②通过对内核对象结构、进程和线程内部工作机制、对象句柄等信息进行分析,从内核对象结构中可提取出相应特征签名信息。基于这些特征签名信息,本文提出了一种能够从物理内存镜像文件中得到系统当前进程和线程信息的算法。该算法通过重构内核活动进程链表可以成功提取系统隐藏进程和非隐藏进程。从而能够获得各个进程相关的线程信息、DLL模块加载信息。 ③通过研究对象句柄表结构以及句柄关联的对象,,本文给出了对象句柄信息的提取方法,理论分析和实验结果都表明该方法具有较好的准确率和通用性。
【关键词】:Windows8 内存取证 进程 线程 句柄
【学位授予单位】:重庆大学
【学位级别】:硕士
【学位授予年份】:2013
【分类号】:TP309;D918.2
【目录】:
  • 摘要3-4
  • ABSTRACT4-8
  • 1 绪论8-13
  • 1.1 研究背景8-9
  • 1.2 研究现状9-11
  • 1.2.1 国外研究现状9-10
  • 1.2.2 国内研究现状10-11
  • 1.3 本文主要工作11-12
  • 1.4 本文章节安排12-13
  • 2 Windows 取证技术13-19
  • 2.1 计算机取证相关概念13-14
  • 2.1.1 计算机取证定义13
  • 2.1.2 计算机取证技术13-14
  • 2.2 取证类型14-16
  • 2.2.1 离线取证技术14-15
  • 2.2.2 在线取证技术15-16
  • 2.3 取证的原则和步骤16-18
  • 2.3.1 计算机取证基本原则16-17
  • 2.3.2 计算机取证一般步骤17-18
  • 2.4 Windows 8 系统概述18
  • 2.5 本章小结18-19
  • 3 Windows 内存管理19-37
  • 3.1 内存管理概述19-21
  • 3.2 系统内存池21
  • 3.3 虚拟地址空间21-23
  • 3.4 页式内存管理23-29
  • 3.4.1 页式管理概述23-26
  • 3.4.2 物理地址扩展26
  • 3.4.3 PAE 关闭模式26-27
  • 3.4.4 PAE 开启模式27-29
  • 3.5 段式内存管理29-32
  • 3.6 地址转译实例32-36
  • 3.7 本章小结36-37
  • 4 内存信息获取37-63
  • 4.1 内核对象37-41
  • 4.1.1 内核对象概述37-38
  • 4.1.2 内核对象演变38-41
  • 4.2 句柄41-44
  • 4.2.1 对象句柄概述41-42
  • 4.2.2 句柄表42-44
  • 4.3 进程内部机制44-52
  • 4.3.1 数据结构分析44-50
  • 4.3.2 进程创建流程50-52
  • 4.4 线程内部机制52-56
  • 4.4.1 数据结构分析53-55
  • 4.4.2 线程创建流程55-56
  • 4.5 进程线程信息提取56-58
  • 4.5.1 进程线程信息提取流程56-58
  • 4.5.2 模块信息提取流程58
  • 4.6 对象句柄信息提取58-60
  • 4.7 实验60-62
  • 4.7.1 实验环境60
  • 4.7.2 实验结果及分析60-62
  • 4.8 本章小结62-63
  • 5 总结与展望63-64
  • 5.1 工作总结63
  • 5.2 下一步工作63-64
  • 致谢64-65
  • 参考文献65-68
  • 附录68
  • A. 作者在攻读硕士学位期间发表的论文目录68
  • B. 作者在攻读硕士学位期间参加的科研项目68

【参考文献】

中国期刊全文数据库 前7条

1 陈龙;王国胤;;计算机取证技术综述[J];重庆邮电学院学报(自然科学版);2005年06期

2 胡亮;王文博;赵阔;;计算机取证综述[J];吉林大学学报(信息科学版);2010年04期

3 张晶,刘焱;高智能犯罪研究[J];法学;2005年03期

4 丁丽萍;论计算机取证的原则和步骤[J];中国人民公安大学学报(自然科学版);2005年01期

5 蔡立明;沙晶;姚伟;;计算机反取证相关问题研究[J];电信科学;2010年S2期

6 郭牧;王连海;;基于KPCR结构的Windows物理内存分析方法[J];计算机工程与应用;2009年18期

7 殷联甫;计算机反取证技术研究[J];计算机系统应用;2005年10期



本文编号:1115528

资料下载
论文发表

本文链接:https://www.wllwen.com/shekelunwen/gongan/1115528.html

上一篇:中山市公安局对外公共关系研究  
下一篇:个体恐怖犯罪概念辨析
论文发表
最近更新
教材专著
热点文章

Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户7f23e***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com