返回
内存转储中的进程与线程研究

内存转储中的进程与线程研究

ID:46541099

大小:187.50 KB

页数:18页

时间:2019-11-25

内存转储中的进程与线程研究_第1页
内存转储中的进程与线程研究_第2页
内存转储中的进程与线程研究_第3页
内存转储中的进程与线程研究_第4页
内存转储中的进程与线程研究_第5页
资源描述:

《内存转储中的进程与线程研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、SearchingforprocessesandthreadsinMicrosoftWindowsmemorydumpsMicrosoftWindows内存转储中的进程与线程研究Abstract摘要CurrenttoolstoanalyzememorydumpsofsystemsrunningMicrosoftWindowsusuallybuildontheconceptofenumeratinglistsmaintainedbythekerneltokeeptrackofprocesses,t

2、hreadsandotherobjects.ThereforetheywillfrequentlyfailtodetectobjectsthatarealreadyterminatedorwhichhavebeenhiddenbyDirectKernelObjectManipulationtechniques.现在用于分析运行MicrosoftWindows的内存转储系统的工具,通常建立在被内核维护的、用于跟踪进程、线程以及其它对象的枚举列表概念之上。因此,在探测那些已经被终止或者己经被直接内核

3、对象操纵技术(DKOM)隐藏的对象时,它们经常失败。Thisarticleanalyzesthein-memorystructureswhichrepresentprocessesandthreads・Itdevelopssearchpatternswhichwillthenbeusedtoscanthewholememorydumpfortracesofsaidobjects,independentfromtheaforementionedlists.Asdemonstratedbyaproo

4、f-of-conceptimplementationthisapproachcouldrevealhiddenandterminatedprocessesandthreads,undersomecircumstancesevenafterthesystemunderexaminationhasbeenrebooted.本文分析了表示进程和线程的内存储结构。木文研究的搜索模式,将会用于扫描整个内存转储,以跟踪独立于上述列表的所述对象。由一•种概念证明实施的证明,该方法能够揭示隐藏或被终止的进程和线

5、程,甚至是在检测屮被重启过的系统。Keywords:Digitalevidence,Forensicexamination,MicrosoftWindows,Volatiledata,Incidentpostmortem关键词:数字证据,法律检查,MicrosoftWindows,不稳定数据,事件检视1.Introduction弓I入ThephysicalmemoryofacomputerrunningMicrosoftWindows2000oroneofitsdescendantscontai

6、nsallmetainformationnecessarytomanagetheprocessesthatarecurrenHyexecuted・AsChow,Pfaff,GarfinkelandRosenblumshowed,suchmeta-informationinkernelmemorycansurviveperiodsover14daysandlongerwhilethesystemisinuse(Chowetal.,2005).Despiteitsvolatilenaturekern

7、elmemorythusisausefulinformationsourceinaforensicexamination.在一台运行MicrosoftWindows2000或具后续版本系统的计算机上,其实体存储包括所有管理正在运行进程的必耍元信息。正如Pfaff,Garfinkel和Rosenblum所述,在内核存储中的这类元信息,在系统被使用时能够存留14天甚或更长。不考虑它的易挥发特性,这种内核存储是用于鉴定的实用信息源。Severalmethodsexisttodumpthephysica

8、lmemory'scontentstoafile.CarrierandGrand(2004)provideacomprehensivedescription.OntheMicrosoftWindowsplatformtherearetwomethodscommonlyused・Copying\.DevicePhysicalMemorytoafilewiththehelpofdd(Garner,2004;NicholasHarbour,2005)isstillverypopularandre

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。