计算机取证物理内存镜像获取技术的研究与实现

计算机取证物理内存镜像获取技术的研究与实现

ID:36569009

大小:5.23 MB

页数:85页

时间:2019-05-12

计算机取证物理内存镜像获取技术的研究与实现_第1页
计算机取证物理内存镜像获取技术的研究与实现_第2页
计算机取证物理内存镜像获取技术的研究与实现_第3页
计算机取证物理内存镜像获取技术的研究与实现_第4页
计算机取证物理内存镜像获取技术的研究与实现_第5页
资源描述:

《计算机取证物理内存镜像获取技术的研究与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、山东轻工业学院硕士学位论文摘要随着信息技术的发展,计算机与网络成为社会政治、经济、文化生活的重要组成部分,而与此相关的各种计算机犯罪现象也日益突出。计算机取证技术成为打击计算机犯罪的重要手段,是目前计算机界和法学界共同研究、关注的重点。本文介绍了计算机取证技术的现状和发展情况,比较了现有的计算机取证模式,分析了离线取证模式的不足,指出了在线取证模式研究的必要性。物理内存取证是在线取证的重要环节,也是当今的研究热点。本文旨在研究物理内存取证中的物理内存镜像获取技术。现有技术是在用户态打开kDeviceWhysicalMe

2、mory内核对象来访问物理内存,然而在W'mdows2003及Vista等版本下,用户态访问此内核对象受到限制,只有通过内核态才能访问。因此,需要通过驱动程序的方法。本文开发的基于内核驱动的物理内存镜像获取工具,可以解决DD等当前取证工具在W'mdows高端版本下使用受限的问题。研究物理内存,首先要了解Windows操作系统内存管理机制。Windows操作系统采用请求分页的虚拟存储管理技术,通过在虚拟地址空间的页与物理地址空间的页之间建立映射,实现虚拟地址到物理地址的变换。地址变换过程由内存管理单元(删)自动完成,但是

3、对取证过程中的数据比对分析,需要手工完成地址变换过程。以往的研究对地址变换的描述都是基于X86体系模型,与当前大量使用的采用物理地址扩展(PAE)模式的XP系统并不完全吻合。本文结合WindowsXPSP2版本提出地址变换公式。同时,由于一直以来大量的相关文献都依赖微软所颁布的技术资料,仅以虚拟地址空间的观点来解释虚拟地址转换的过程,无法解释任意进程的虚拟地址,如何映射到物理地址空间中。本文使用进程和物理内存的观点来研究地址变换,清晰的说明了任意进程的虚拟地址空间如何在物理地址空间中定位。本文结合Windows系统结构

4、,阐述了内核驱动程序访问物理内存的基本原理,依照驱动程序基本框架,开发了内核驱动程序和用户态调用程序,来获取物理内存镜像,并提供了程序的核心代码。然后,对实验结果进行了分析评价。虚拟内存文件镜像的获取,也是物理内存镜像获取的重要方面。目前还没有相关的软件。由于Ⅻ下pagefile.sys是隐藏文件,需要在磁盘上准确定位该文件。本文详细阐述了磁盘的文件系统原理,分别针对NTFS和FAT32两种文件系统,设计出获取该文件的实现方法。关键词:计算机取证;物理内存镜像;内核驱动:文件系统:虚拟内存山东轻工业学院硕士学位论文AB

5、STRACTWiththedevelopmentofinformationtechnology,computerandnetworka托playingamoreandmoreimportantroleinsocial,political,economyandculturalareas,computercrimesindi.gitalworlda他becomingseriousissuesconsequently.Computerforensicsisanessentialapproachtochargingcomput

6、ercrimesandhasbecomethecommonconcernofstudyinthecomputerscienceandlawfield.Thethesisintroducesthecurrentstateanditsdevelopmentoncomputerforensics.Itcomparesthecurrentcomputerforensicsmode,analysesthedeficiencyoftheofflinemodeandindicatesthenecessityofresearching

7、onlinemode.Physicalmemoryforensicsistheimportantpartoftheonlineforensicsandalsothecurrentresearchhotspot.11舱thesisaimsatresearchingtheacquisitionofphysicalmemoryimageinphysicalmemoryforensics.ThecurrentmethodsvisitphysicalmemorybyopeningPhysicaIMemorykernelobjec

8、tinusermode.However,itisprohibitedto啊sitkernelobjoctinusermodeunderWindows2003,Vista,andSOon.ItCanbevisitedonlybykerneldrivers.So,itisnecessarytodevelopdrivers.Thetoo

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。