基于Windows平臺(tái)的內(nèi)存數(shù)據(jù)獲取和取證技術(shù)研究.pdf

1、隨著信息安全和計(jì)算機(jī)取證技術(shù)的迅猛發(fā)展，計(jì)算機(jī)犯罪的手段和使用的技術(shù)也日新月異,犯罪份子使用的技術(shù)更加隱蔽、惡意程序更加深入底層、惡意程序駐留的位置也更加多樣化，計(jì)算機(jī)犯罪的定罪也越來(lái)越困難。傳統(tǒng)的計(jì)算機(jī)取證技術(shù)更多關(guān)注的是計(jì)算機(jī)系統(tǒng)中靜態(tài)數(shù)據(jù)，如硬盤(pán)、光盤(pán)等，而忽略了很多駐留在內(nèi)存中的潛在證據(jù)；而且新型的惡意程序經(jīng)常隱藏在 Bios、Firmware、PCI controller等地方，無(wú)法在文件系統(tǒng)中找到；再者，由于硬盤(pán)容量的不斷增

2、長(zhǎng)，導(dǎo)致傳統(tǒng)文件系統(tǒng)分析的難度也越來(lái)越大；但是不管惡意程序隱藏在哪里，在當(dāng)前的計(jì)算機(jī)體系結(jié)構(gòu)中，內(nèi)存是所有可執(zhí)行程序運(yùn)行的地方，當(dāng)然就會(huì)留下曾經(jīng)運(yùn)行過(guò)的痕跡和證據(jù)，加上內(nèi)存的容量相對(duì)于硬盤(pán)等磁介質(zhì)存儲(chǔ)器來(lái)說(shuō)還比較小，分析的速度相對(duì)來(lái)說(shuō)比較快。因此研究?jī)?nèi)存取證技術(shù)就顯得十分重要，可以更有效地打擊計(jì)算機(jī)犯罪行為。
　　本文的研究基于Windows NT系列操作系統(tǒng)，研究了在該系列平臺(tái)下，計(jì)算機(jī)中的物理內(nèi)存鏡像的獲取和分析技術(shù)，目的是為

3、了建立從鏡像獲取到取證分析的內(nèi)存取證的框架，為了達(dá)到這個(gè)目的，本文深入研究了Windows NT系列操作系統(tǒng)的核心運(yùn)行機(jī)理和虛擬內(nèi)存管理機(jī)制，重點(diǎn)研究了PAE模式下虛擬地址到物理地址的轉(zhuǎn)譯過(guò)程、內(nèi)核對(duì)象訪問(wèn)技術(shù)以及系統(tǒng)的核心數(shù)據(jù)結(jié)構(gòu) KPCR、KDBG、EPROCESS的作用和相互之間的聯(lián)系等；通過(guò)理論和實(shí)踐驗(yàn)證的方式研究了地址轉(zhuǎn)譯過(guò)程、\Device\PhysicalMemory對(duì)象的訪問(wèn)、在映像文件中掃描特定證據(jù)的方法；提出了通過(guò)內(nèi)