计算机取证中的内存镜像获取的研究与实现
发布时间:2021-04-28 07:08
随着计算机科学技术的迅猛发展和网络普及,以计算机信息系统为工具和j巳罪对象的各式新型j巳罪案件频繁发生,造成的巨大危害也越来越大。怎么可以最大程度地获取计算机j巳罪相关的计算机证据,将犯罪人员绳之以法,己成为司法部门和计算机领域中需要解决的新问题。由于司法机关在处理高科技j巳罪方面缺乏必要的技术保证和支持,所以为了更好地提高打击计算机j巳罪的能力,计算机取证人员应该对该领域进行更加有效的研究,开发出一些切实有效的取证工具,以应对现今社会的需要。目前计算机取证技术作为计算机和法学两个领域的一门交叉学科正成为人们研究与关注的焦点。本文介绍了计算机取证技术的历史、现状和发展情况,然后介绍一下开机取证。对计算机证据进行了分类易失性数据和非易失性数据,由于对非易失性数据的研究与获取已经得到完善地处理,所以易失数据取证在取证分析和异常相应领域方面变得越来越重要。随着计算机取证工具混合使用的方案的增加,恶意软件编写者将系统的内存作为探测安全性的最后突破口,而内存隐藏技术日益流行,获取一个物理内存镜像也就变得越来越重要。鉴于需要向系统内存加载内存捕获程序,那么获取镜像的操作将会改变系统的状态。所以我们...
【文章来源】:吉林大学吉林省 211工程院校 985工程院校 教育部直属院校
【文章页数】:68 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第1章 绪论
1.1 研究背景
1.2 国内外研究现状
1.3 国内研究现状
1.4 论文的研究内容
第2章 计算机取证基础
2.1 计算机取证的定义
2.2 开机取证
2.2.1 诺卡德交换原理
2.2.2 非易失性数据
2.2.3 易失性数据
2.3 内存取证
2.3.1 内存分析史
2.3.2 获取物理内存镜像的工具及其优缺点
第3章 windows内存分析
3.1 内存管理器
3.2 进程的虚拟地址空间
3.2.1 虚拟地址空间的布局结构
3.2.2 x86用户地址空间的布局结构
3.2.3 x86系统的布局结构
3.2.4 进程地址空间的页面分类
3.3 EPROcEss块的介绍
3.4 x86虚拟地址转译
3.4.1 虚拟地址的组成部分
3.4.1.1 页目录
3.4.1.2 页表和页表项
3.4.2 转译一个虚拟地址的基本步骤
3.4.3 物理地址扩展的内存映射模式
3.4.4 转译地址的例子
3.4.5 页面错误处理
第4章 获取windows内存镜像技术的实现
4.1 利用驱动程序来访问物理内存
4.1.1 驱动程序的概念
4.1.2 用DDK编译环境编译驱动程序
4.1.2.1 makefile文件
4.1.2.2 dirs文件
4.1.2.3 sources文件
4.1.3 驱动程序的基本结构
4.1.3.1 驱动程序对象和设备对象
4.1.3.2 驱动入口函数
4.1.3.3 DriverUnload例程
4.1.3.4 IRP与派遣函数
4.1.3.5 驱动程序的加载与卸载
4.2 获取物理内存镜像的实现
4.2.1 对完整的物理内存进行镜像
4.2.1.1 如何获得内核对象
4.2.1.2 驱动程序与应用程序的交互
4.2.1.3 内存映射文件和内存镜像的保存
4.2.2 获取指定进程的内存镜像
4.2.2.1 获取指定进程
4.2.2.2 获取指定进程的内存信息
4.2.2.3 指定进程内存区域的读取
4.2.2.4 物理内存镜像的保存
第5章 物理内存镜像获取的相关测试
5.1 对所获取内存镜像的正确性分析
5.2 对获取物理内存镜像的时间分析
5.2.1 cPu的性能
5.2.2 物理内存的大小
5.3 内存分析平台测试
5.3.1 显示进程列表的实现与测试
5.3.2 显示进程虚拟内存与堆的分布情况的实现与测试
5.3.3 特定值查询的实现与测试
5.3.4 区域变化查询的实现与测试
5.3.5 完整内存镜像、特定进程内存镜像的实现与测试
第6章 总结与未来展望
参考文献
致谢
【参考文献】:
期刊论文
[1]Windows内核对象的查找方法研究[J]. 高宇航,高珩,鲍鹏,纪永强. 硅谷. 2009(19)
[2]Windows内存取证的研究与应用[J]. 张辉,周柳阳,丁承林. 科技传播. 2009(03)
[3]Windows内存防护机制及其脆弱性分析[J]. 吴优雅,高丰. 计算机安全. 2009(07)
[4]计算机动态取证系统模型研究[J]. 钟秀玉. 微计算机信息. 2006(24)
[5]一种计算机取证中需求定义的方法[J]. 孙波,刘欣然,孙玉芳. 电子学报. 2006(05)
[6]分布式计算机动态取证模型[J]. 梁昌宇,吴强,曾庆凯. 计算机应用. 2005(06)
[7]基于UNIX系统的计算机取证研究[J]. 曹辉,刘建辉. 计算机安全. 2005(06)
[8]电子数据职证研究概述[J]. 孙波,孙玉芳,张相锋,梁彬. 计算机科学. 2005(02)
[9]计算机取证技术及其发展趋势[J]. 王玲,钱华林. 软件学报. 2003(09)
[10]3D网格数字水印研究进展[J]. 张新宇,彭维,张三元,叶修梓. 计算机辅助设计与图形学学报. 2003(08)
博士论文
[1]计算机取证方法关键问题研究[D]. 孙波.中国科学院研究生院(软件研究所) 2004
本文编号:3165044
【文章来源】:吉林大学吉林省 211工程院校 985工程院校 教育部直属院校
【文章页数】:68 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第1章 绪论
1.1 研究背景
1.2 国内外研究现状
1.3 国内研究现状
1.4 论文的研究内容
第2章 计算机取证基础
2.1 计算机取证的定义
2.2 开机取证
2.2.1 诺卡德交换原理
2.2.2 非易失性数据
2.2.3 易失性数据
2.3 内存取证
2.3.1 内存分析史
2.3.2 获取物理内存镜像的工具及其优缺点
第3章 windows内存分析
3.1 内存管理器
3.2 进程的虚拟地址空间
3.2.1 虚拟地址空间的布局结构
3.2.2 x86用户地址空间的布局结构
3.2.3 x86系统的布局结构
3.2.4 进程地址空间的页面分类
3.3 EPROcEss块的介绍
3.4 x86虚拟地址转译
3.4.1 虚拟地址的组成部分
3.4.1.1 页目录
3.4.1.2 页表和页表项
3.4.2 转译一个虚拟地址的基本步骤
3.4.3 物理地址扩展的内存映射模式
3.4.4 转译地址的例子
3.4.5 页面错误处理
第4章 获取windows内存镜像技术的实现
4.1 利用驱动程序来访问物理内存
4.1.1 驱动程序的概念
4.1.2 用DDK编译环境编译驱动程序
4.1.2.1 makefile文件
4.1.2.2 dirs文件
4.1.2.3 sources文件
4.1.3 驱动程序的基本结构
4.1.3.1 驱动程序对象和设备对象
4.1.3.2 驱动入口函数
4.1.3.3 DriverUnload例程
4.1.3.4 IRP与派遣函数
4.1.3.5 驱动程序的加载与卸载
4.2 获取物理内存镜像的实现
4.2.1 对完整的物理内存进行镜像
4.2.1.1 如何获得内核对象
4.2.1.2 驱动程序与应用程序的交互
4.2.1.3 内存映射文件和内存镜像的保存
4.2.2 获取指定进程的内存镜像
4.2.2.1 获取指定进程
4.2.2.2 获取指定进程的内存信息
4.2.2.3 指定进程内存区域的读取
4.2.2.4 物理内存镜像的保存
第5章 物理内存镜像获取的相关测试
5.1 对所获取内存镜像的正确性分析
5.2 对获取物理内存镜像的时间分析
5.2.1 cPu的性能
5.2.2 物理内存的大小
5.3 内存分析平台测试
5.3.1 显示进程列表的实现与测试
5.3.2 显示进程虚拟内存与堆的分布情况的实现与测试
5.3.3 特定值查询的实现与测试
5.3.4 区域变化查询的实现与测试
5.3.5 完整内存镜像、特定进程内存镜像的实现与测试
第6章 总结与未来展望
参考文献
致谢
【参考文献】:
期刊论文
[1]Windows内核对象的查找方法研究[J]. 高宇航,高珩,鲍鹏,纪永强. 硅谷. 2009(19)
[2]Windows内存取证的研究与应用[J]. 张辉,周柳阳,丁承林. 科技传播. 2009(03)
[3]Windows内存防护机制及其脆弱性分析[J]. 吴优雅,高丰. 计算机安全. 2009(07)
[4]计算机动态取证系统模型研究[J]. 钟秀玉. 微计算机信息. 2006(24)
[5]一种计算机取证中需求定义的方法[J]. 孙波,刘欣然,孙玉芳. 电子学报. 2006(05)
[6]分布式计算机动态取证模型[J]. 梁昌宇,吴强,曾庆凯. 计算机应用. 2005(06)
[7]基于UNIX系统的计算机取证研究[J]. 曹辉,刘建辉. 计算机安全. 2005(06)
[8]电子数据职证研究概述[J]. 孙波,孙玉芳,张相锋,梁彬. 计算机科学. 2005(02)
[9]计算机取证技术及其发展趋势[J]. 王玲,钱华林. 软件学报. 2003(09)
[10]3D网格数字水印研究进展[J]. 张新宇,彭维,张三元,叶修梓. 计算机辅助设计与图形学学报. 2003(08)
博士论文
[1]计算机取证方法关键问题研究[D]. 孙波.中国科学院研究生院(软件研究所) 2004
本文编号:3165044
本文链接:https://www.wllwen.com/shekelunwen/gongan/3165044.html
