利用KPCR结构获取内存敏感信息-论文.pdf

《利用KPCR结构获取内存敏感信息-论文.pdf》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、2015年第O3期利用KPCR结构获取内存敏感信息罗文华，沈成轩(中国刑事警察学院网络犯罪侦查系，辽宁沈阳110854)摘要：传统的内存取证分析侧重于依赖操作系统中软件实现所使用的数据结构进行敏感信息抽取，在搜集深度与广度上存在一定局限性。文章有别于传统的方法，基于底层硬件管理使用的控制结构进行关键内容追踪与拓展，说明其定位方法，并重点讨论内部格式的电子数据取证特性，为内存空间电子数据取证提供了新的思路与方法。实例分析部分，则以目前广泛使用的Windows7操作系统为应用背景，说明了所述方法的具体应用。关键词：内存；电子数据取证；KPCR；KPRC

2、B；Windows7中图分类号：TP309文献标识码：A文章编号：1671一l122(2015)03—0044—04中文引用格式：罗文华，沈成轩．利用KPCR结构获取内存敏感信息⋯．信息网络安全，2015，(3)：44-47．英文引用格式：LU0WH，SHENCX．ObtainingSensitiveInformationinRAMbyUsingtheStructureofKPCR[J]．NetinfoSecurity，2015，(3)：44—47．ObtainingSensitiveInformationinRAMbyUsingtheStruct

3、ureOfKPCRLU0Wen—huaSHENCheng—xuan(DepartmentofCyberCrimeInvestigation，ChinaCriminalPoliceUniversity,ShenyangLiaoning110854，China)Abstract：ObtainingsensitiveinformationintraditionalRAManalysisusesthestructuresofrealizingsoftwareinoperatingsystem，whichhassomecertainshortcomingsi

4、ndepthandbreadth．Thispaperfindsanewwayfortracingandextendingkeycontentbycontrolstructuresofbottomhardwareadministration．illustratesthemethodoflocatingposition．discussesthecharacte“sticsOfdigitalinvestigationininnerformat，providesnewthoughtandmethodforinvestigatingRAMspace．Inth

5、epartofcaseanalysis，thispaperexplainsspecificapplicationofmentionedmethodbasedonextensiveusedWindows7currently．Keywords：RAM；digitalinvestigation；KPCR；KPRCB；Windows70引言为了支持多核心CPU，Windows系统定义了一套以处理器控制区(ProcessorControlRegion，KPCR)为枢纽的数据结构，用来保存与线程切换有关的全局信息，并保证每个CPU都能够通过自身拥有的KPCR结

6、构实现任务管理。由于KPCR与处理器关系极其密切，因此基于该结构能够追溯到证据价值重大且常规方式极难定位的内存敏感信息。以往有关KPCR结构研究的文献并未深入探究其内部格式的证据属I生，而是过多关注于虚拟地址与物理地址的转化问题，研究对象也仅限于WindowsXP操作系统。因此，针对目前广泛使用的Windows7操作系统，探求其定位与解析方法，对于内存取证研究领域具有积极的实战意义和重要的指导价值。●收稿日期：2015-()1—21基金项目：公安部应用创新计划[2014YYCXXJXY056]作者简介：罗文华(1977一)，男，辽宁，教授，硕士，主

7、要研究方向：电子数据取证；沈成轩(1983一)，男，辽宁，助理实验师，本科，主要研究方向：电子数据取证、通讯作者：罗文华louwcnhua770404@126com