返回
内存镜像中word文本证据的分析

内存镜像中word文本证据的分析

ID:32263841

大小:8.43 MB

页数:54页

时间:2019-02-02

内存镜像中word文本证据的分析_第1页
内存镜像中word文本证据的分析_第2页
内存镜像中word文本证据的分析_第3页
内存镜像中word文本证据的分析_第4页
内存镜像中word文本证据的分析_第5页
资源描述:

《内存镜像中word文本证据的分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得重麽由Ⅱ电太堂或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。学位论文作者签名:务价{签字日期:秒B年岁月迓日学位论文版权使用授权书本学位论文作者完全了解重麽由&电太堂有关保留、使用学位论文的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文

2、被查阅和借阅。本人授权重麽由Ⅸ电太堂可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。(保密的学位论文在解密后适用本授权书)学位论文作者签名:专、佛耳导师签名:瞄,饭签字日期:加7j年上月这日签字日期:切3年多月落日重庆邮大学硕士论文摘要网络和科技的发展给人们的工作和生活带来了极大的便利,与此同时,也给计算机犯罪带来了可乘之机。计算机取证技术,可以有效打击计算机和网络犯罪,为提高社会稳定和维护法律秩序提供了强有力的支持,在信息安全领域起到重要作用。计算机取证分

3、为离线取证和在线取证两种方式,在线取证的出现弥补了离线取证的不足,由于在线取证的内容大都储存在计算机内存之中,所以对物理内存的取证分析就显得尤为重要,通过内存取证可以获取当前的进程信息等传统离线方式难以获取的证据信息。内存取证是计算机取证的补充和辅助,能够为计算机犯罪案件的侦破提供一种重要的线索。在内存取证当中,文档的提取工作显得越来越重要,论文就选取较为普遍的Word文档提取进行研究。为了提取Word文本证据,论文分析了Windows内存管理模式,采用基于EPROCESS特征的物理内存查找方法,找出页目录基地址,并

4、根据虚拟地址描述符提取活动进程空间。然后论文根据场景需要设计了两种提取Word文本韵方法。第一种方法在进程空间内基于Word文件头特征字符串进行匹配,确定Word的文件头位置,根据虚拟空间的连续性提取Word页面,直到取得Word的文件尾特征串所在的页面。第二种方法是先提取若干特定页,然后依据文本特征和熵差,筛选出这些页面中的Word文本碎片,再依据文本内容搜索镜像中对应的Word物理页提取出若干Word文本分块。最后对这两种方法进行了实现,开发了一个取证工具。实验测试结果表明,本方法可以提取出活动进程的Word文本

5、数据。关键词:计算机取证,内存取证,Word文本,内存分析AbstractWi吐1merapiddevelopmentofcomputertechnology,theprogress。fscienceaIldteclmologyhaStakegreatconveniencetopeople’sworkandlife·HoweVer,ittal(esillegalc曲1eto。urlife.Computercrimeishightechnol。gYcrimes诵mmedeVel叩ment。ftimes,whichhas

6、becomeamajorsocialproblemalloVermeworld,c。mputercme,judicial。rgansagainsttheability,hastheimportantpracticalsignificance·⋯Computerforensicsisdividedintoofflineandonlineforensicevidence·U11l眦forensicsmakesupthedeficiencyofofflineforensics.Becauseofonlinefo心nslcs

7、contentStomgincomputermemory,theforensicanalysisofthephysicalmemo巧1sp硼毗arlyimportant,weCallextractthecurrentprocessinformationandother缸aditio砌whichommmodecannot.Memoryforensicscarlprovideall1mpon觚tcluefor廿1ecoInputercrimeinvestigation,whichiscomplementaryandaux

8、iliaryotcomputerforensics.InMemoryforensics,documentrecoverybecomesmore趾omoreimport趾t.ThisdissertationstudiesonextractionofcommonWbrddoc哪ent·Inorderto嘲ract迦Wordtext,thisdiss

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。