基于Windows平台的内存数据获取和取证技术研究
发布时间:2024-03-04 22:17
随着信息安全和计算机取证技术的迅猛发展,计算机犯罪的手段和使用的技术也日新月异,犯罪份子使用的技术更加隐蔽、恶意程序更加深入底层、恶意程序驻留的位置也更加多样化,计算机犯罪的定罪也越来越困难。传统的计算机取证技术更多关注的是计算机系统中静态数据,如硬盘、光盘等,而忽略了很多驻留在内存中的潜在证据;而且新型的恶意程序经常隐藏在Bios、Firmware、PCI controller等地方,无法在文件系统中找到;再者,由于硬盘容量的不断增长,导致传统文件系统分析的难度也越来越大;但是不管恶意程序隐藏在哪里,在当前的计算机体系结构中,内存是所有可执行程序运行的地方,当然就会留下曾经运行过的痕迹和证据,加上内存的容量相对于硬盘等磁介质存储器来说还比较小,分析的速度相对来说比较快。因此研究内存取证技术就显得十分重要,可以更有效地打击计算机犯罪行为。 本文的研究基于Windows NT系列操作系统,研究了在该系列平台下,计算机中的物理内存镜像的获取和分析技术,目的是为了建立从镜像获取到取证分析的内存取证的框架,为了达到这个目的,本文深入研究了Windows NT系列操作系统的核心运行机理和虚拟内存...
【文章页数】:79 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第一章 引言
1.1 研究背景
1.2 国内外研究现状
1.2.1 国外研究现状
1.2.2 国内研究现状
1.3 论文主要工作和组织结构
第二章 计算机取证概述
2.1 计算机取证的概念
2.2 计算机取证的分类
2.3 内存镜像获取工具
2.3.1 基于硬件的工具
2.3.2 基于软件的工具
2.4 本章小结
第三章 WINDOWS内核运行机制研究
3.1 WINDOWS虚拟内存管理机制
3.1.1 进程虚拟地址空间概述
3.1.2 分页机制
3.1.3 虚拟地址到物理地址的转换
3.1.4 Pagefile的处理
3.2 WINDOWS物理内存管理机制
3.2.1 \Device\PhysicalMemory对象
3.2.2 物理内存使用分析
3.3 WINDOWSNT系统的核心数据结构
3.3.1 KPCR
3.3.2 KDBG
3.3.3 OBJECT HEADER
3.4 本章小结
第四章 内存取证系统的实现
4.1 物理内存镜像获取
4.2 内存取证分析系统的框架设计
4.3 开发模型和语言的选择
4.4 系统主要支持模块的设计
4.4.1 插件模块
4.4.2 地址空间模块
4.4.3 系统profile模块
4.4.4 对象管理模块
4.4.5 扫描模块
4.5 取证分析模块的实现
4.5.1 映像文件识别模块
4.5.2 枚举进程和线程模块
4.5.3 枚举进程加载的DLL模块
4.5.4 枚举系统加载的驱动的模块
4.5.5 网络行为分析模块
4.5.6 注册表分析模块
4.6 本章小结
第五章 系统测试
5.1 测试环境
5.2 主要功能测试
5.2.1 映像文件识别功能测试
5.2.2 枚举进程功能测试
5.2.3 枚举进程加载DLL功能测试
5.2.4 枚举已加载内核模块功能测试
5.2.5 收集网络行为功能测试
5.3 系统性能测试
5.4 本章小结
第六章 总结与未来展望
致谢
参考文献
攻硕期间取得的研究成果
本文编号:3919250
【文章页数】:79 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第一章 引言
1.1 研究背景
1.2 国内外研究现状
1.2.1 国外研究现状
1.2.2 国内研究现状
1.3 论文主要工作和组织结构
第二章 计算机取证概述
2.1 计算机取证的概念
2.2 计算机取证的分类
2.3 内存镜像获取工具
2.3.1 基于硬件的工具
2.3.2 基于软件的工具
2.4 本章小结
第三章 WINDOWS内核运行机制研究
3.1 WINDOWS虚拟内存管理机制
3.1.1 进程虚拟地址空间概述
3.1.2 分页机制
3.1.3 虚拟地址到物理地址的转换
3.1.4 Pagefile的处理
3.2 WINDOWS物理内存管理机制
3.2.1 \Device\PhysicalMemory对象
3.2.2 物理内存使用分析
3.3 WINDOWSNT系统的核心数据结构
3.3.1 KPCR
3.3.2 KDBG
3.3.3 OBJECT HEADER
3.4 本章小结
第四章 内存取证系统的实现
4.1 物理内存镜像获取
4.2 内存取证分析系统的框架设计
4.3 开发模型和语言的选择
4.4 系统主要支持模块的设计
4.4.1 插件模块
4.4.2 地址空间模块
4.4.3 系统profile模块
4.4.4 对象管理模块
4.4.5 扫描模块
4.5 取证分析模块的实现
4.5.1 映像文件识别模块
4.5.2 枚举进程和线程模块
4.5.3 枚举进程加载的DLL模块
4.5.4 枚举系统加载的驱动的模块
4.5.5 网络行为分析模块
4.5.6 注册表分析模块
4.6 本章小结
第五章 系统测试
5.1 测试环境
5.2 主要功能测试
5.2.1 映像文件识别功能测试
5.2.2 枚举进程功能测试
5.2.3 枚举进程加载DLL功能测试
5.2.4 枚举已加载内核模块功能测试
5.2.5 收集网络行为功能测试
5.3 系统性能测试
5.4 本章小结
第六章 总结与未来展望
致谢
参考文献
攻硕期间取得的研究成果
本文编号:3919250
本文链接:https://www.wllwen.com/shekelunwen/gongan/3919250.html