本文選題：計(jì)算機(jī)取證 + EPROCESS�。� 參考：《重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版)》2013年01期

【摘要】：為了快速定位目標(biāo)活動(dòng)進(jìn)程,提取對(duì)應(yīng)的物理內(nèi)存數(shù)據(jù),分析了Windows系統(tǒng)中進(jìn)程運(yùn)行時(shí)其EPROCESS結(jié)構(gòu)的特性及作用,提出了基于EPROCESS特征的物理內(nèi)存查找方法。該方法利用EPROCESS結(jié)構(gòu)的特性,定位出活動(dòng)進(jìn)程的EPROCESS結(jié)構(gòu),找出進(jìn)程頁(yè)目錄基地址,并根據(jù)虛擬地址描述符的功能,提取活動(dòng)進(jìn)程物理內(nèi)存。實(shí)驗(yàn)結(jié)果表明,該方法能快速、有效地定位活動(dòng)進(jìn)程,提取出活動(dòng)進(jìn)程物理內(nèi)存,縮小取證分析范圍,提高取證效率。
[Abstract]:In order to locate the target active process quickly and extract the corresponding physical memory data, this paper analyzes the characteristics and functions of the EPROCESS structure when the process is running in Windows system, and puts forward a physical memory lookup method based on the EPROCESS feature. This method uses the characteristics of EPROCESS structure to locate the EPROCESS structure of the active process, find the directory base address of the process page, and extract the physical memory of the active process according to the function of the virtual address descriptor. The experimental results show that this method can locate the active process quickly and effectively, extract the physical memory of the active process, reduce the scope of forensic analysis and improve the efficiency of forensics.
【作者單位】： 重慶郵電大學(xué)計(jì)算機(jī)取證研究所;重慶市公安局電子物證司法鑒定中心;
【基金】：重慶市教委科學(xué)技術(shù)研究項(xiàng)目(KJ110505) 重慶市科技攻關(guān)計(jì)劃項(xiàng)目(CSTC,2011AC2155)~~
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前2條

1 陳龍;王國(guó)胤;;計(jì)算機(jī)取證技術(shù)綜述[J];重慶郵電學(xué)院學(xué)報(bào)(自然科學(xué)版);2005年06期

2 郭牧;王連海;;基于KPCR結(jié)構(gòu)的Windows物理內(nèi)存分析方法[J];計(jì)算機(jī)工程與應(yīng)用;2009年18期

【共引文獻(xiàn)】

相關(guān)期刊論文 前10條

1 王英;鄧亞平;曾立梅;;遺傳算法在入侵檢測(cè)中的應(yīng)用[J];重慶郵電學(xué)院學(xué)報(bào)(自然科學(xué)版);2006年02期

2 陳龍;陳武;;基于時(shí)間有限狀態(tài)自動(dòng)機(jī)的事件重建推理算法[J];重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版);2009年03期

3 陳龍;譚響林;高如岱;;智能取證技術(shù)研究[J];重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版);2009年04期

4 杜江;王石東;;計(jì)算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)研究[J];重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版);2010年05期

5 陳龍;田健;;基于Steiner三連系的細(xì)粒度數(shù)據(jù)完整性檢驗(yàn)方法[J];重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版);2011年05期

6 劉文儉;;淺談?dòng)?jì)算機(jī)取證技術(shù)[J];電腦知識(shí)與技術(shù);2010年28期

7 曹記東;;基于Windows物理內(nèi)存的計(jì)算機(jī)取證技術(shù)的研究[J];電腦知識(shí)與技術(shù);2011年27期

8 張新剛;劉妍;;計(jì)算機(jī)取證技術(shù)研究[J];計(jì)算機(jī)安全;2007年01期

9 周敏;付國(guó)瑜;;一種基于Linux的動(dòng)態(tài)取證策略[J];計(jì)算機(jī)安全;2010年02期

10 盧細(xì)英;;淺析計(jì)算機(jī)取證技術(shù)[J];福建電腦;2008年03期

相關(guān)會(huì)議論文 前4條

1 方敏;;基于分層有限狀態(tài)機(jī)的計(jì)算機(jī)取證推理方法[A];2008年計(jì)算機(jī)應(yīng)用技術(shù)交流會(huì)論文集[C];2008年

2 劉曉宇;翟曉飛;楊雨春;;計(jì)算機(jī)取證分析工具測(cè)試方法研究[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十三卷）[C];2008年

3 黃靜宜;陳龍;;計(jì)算機(jī)取證中一種估計(jì)事件發(fā)生時(shí)間的方法[A];2008'中國(guó)信息技術(shù)與應(yīng)用學(xué)術(shù)論壇論文集（二）[C];2008年

4 張雷;;一種計(jì)算機(jī)取證的時(shí)間Petri網(wǎng)推理方法[A];2008'中國(guó)信息技術(shù)與應(yīng)用學(xué)術(shù)論壇論文集（二）[C];2008年

相關(guān)博士學(xué)位論文 前3條

1 李炳龍;文檔碎片取證關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2007年

2 于志宏;視頻安全與網(wǎng)絡(luò)安全若干問(wèn)題研究[D];吉林大學(xué);2009年

3 陳龍;計(jì)算機(jī)取證的安全性及取證推理研究[D];西南交通大學(xué);2009年

相關(guān)碩士學(xué)位論文 前10條

1 劉秀波;基于計(jì)算機(jī)物理內(nèi)存分析的Rootkit查找方法研究與實(shí)現(xiàn)[D];山東輕工業(yè)學(xué)院;2011年

2 張亮;面向電子取證的數(shù)據(jù)獲取方法及實(shí)現(xiàn)[D];東北大學(xué);2009年

3 劉文儉;基于鍵盤事件提取的計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)研究[D];四川師范大學(xué);2011年

4 董廣龍;基于Windows Server 2003的黑客防范體系的研究[D];山東大學(xué);2006年

5 史光坤;基于網(wǎng)絡(luò)的動(dòng)態(tài)計(jì)算機(jī)取證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];吉林大學(xué);2007年

6 宋亦青;電子取證若干問(wèn)題研究[D];中國(guó)政法大學(xué);2007年

7 蔣燁;計(jì)算機(jī)主機(jī)隱秘信息取證技術(shù)的研究[D];上海交通大學(xué);2008年

8 朱建輝;計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)[D];吉林大學(xué);2009年

9 潘勝剛;計(jì)算機(jī)安全保護(hù)與證據(jù)獲取系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];上海交通大學(xué);2008年

10 陳欣;基于Windows平臺(tái)的計(jì)算機(jī)隱秘取證系統(tǒng)的研究與實(shí)現(xiàn)[D];上海交通大學(xué);2010年

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 王振宇;施東煒;;基于BIND域名解析服務(wù)管理的設(shè)計(jì)[J];計(jì)算機(jī)工程;2007年15期

2 李慧慧;;淺析木馬程序的隱藏[J];太原大學(xué)教育學(xué)院學(xué)報(bào);2008年03期

3 劉武,任萍,段海新,向曉林;軟件取證和一個(gè)身份分析模型MBSFAM[J];計(jì)算機(jī)應(yīng)用研究;2004年11期

4 俞曉雯,高強(qiáng),丁杰;一種入侵檢測(cè)取證系統(tǒng)模型的設(shè)計(jì)[J];微機(jī)發(fā)展;2004年08期

5 丁菊玲,劉曉潔,李濤,仰石,楊頻;基于人工免疫的網(wǎng)絡(luò)入侵動(dòng)態(tài)取證[J];四川大學(xué)學(xué)報(bào)(工程科學(xué)版);2004年05期

6 王彩玲;;日志分析在計(jì)算機(jī)取證中的應(yīng)用[J];福建電腦;2006年07期

7 魯慶;;基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)取證系統(tǒng)研究[J];計(jì)算機(jī)與現(xiàn)代化;2008年09期

8 邱洪澤,龔斌,朱大銘;DECNET網(wǎng)絡(luò)通訊系統(tǒng)的開(kāi)發(fā)[J];小型微型計(jì)算機(jī)系統(tǒng);1993年10期

9 王光耀;銀行集中綜合客戶服務(wù)系統(tǒng)(ICS)的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算技術(shù)與自動(dòng)化;1998年03期

10 馮興杰,楊國(guó)慶;訂座數(shù)據(jù)下載的設(shè)計(jì)與實(shí)現(xiàn)[J];中國(guó)民航學(xué)院學(xué)報(bào);2001年03期

相關(guān)會(huì)議論文 前10條

1 齊戰(zhàn)勝;高峰;騰達(dá);;數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)取證中的應(yīng)用研究[A];第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2011年

2 許榕生;劉寶旭;;入侵取證的國(guó)際技術(shù)動(dòng)態(tài)[A];第十七次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)暨電子政務(wù)安全研討會(huì)論文集[C];2002年

3 王衛(wèi)民;;基于以太網(wǎng)的協(xié)議分析方法探討[A];全國(guó)第19屆計(jì)算機(jī)技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會(huì)議論文集（下冊(cè)）[C];2008年

4 鄭秋生;邵奇峰;郭基鳳;裴斐;;基于陷阱網(wǎng)絡(luò)的入侵行為研究[A];全國(guó)第16屆計(jì)算機(jī)科學(xué)與技術(shù)應(yīng)用（CACIS）學(xué)術(shù)會(huì)議論文集[C];2004年

5 龔廣;李舟軍;李智鵬;忽朝儉;;一個(gè)高隱蔽性的Windows Rootkit系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十四卷）[C];2009年

6 楊松;左明;胡軍;;數(shù)字證據(jù)及取證[A];普適計(jì)算及其軟件新技術(shù)——第三屆長(zhǎng)三角計(jì)算機(jī)科技論壇文集[C];2006年

7 王志佳;顧健;;一種改進(jìn)的確定有限自動(dòng)機(jī)入侵檢測(cè)算法研究[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C];2010年

8 王樹(shù)廣;;分布式數(shù)據(jù)流上的連續(xù)異常檢測(cè)[A];2008年全國(guó)開(kāi)放式分布與并行計(jì)算機(jī)學(xué)術(shù)會(huì)議論文集(上冊(cè))[C];2008年

9 田慶宜;王琳;黃道麗;;Vsphere架構(gòu)私有云取證方法研究及其實(shí)踐[A];第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2011年

10 王智廣;陳明;胡安廷;;內(nèi)存數(shù)據(jù)在Web計(jì)算中的應(yīng)用研究[A];第六屆全國(guó)計(jì)算機(jī)應(yīng)用聯(lián)合學(xué)術(shù)會(huì)議論文集[C];2002年

相關(guān)重要報(bào)紙文章 前10條

1 阿島;32M內(nèi)存也玩Windows 2000[N];電腦報(bào);2001年

2 張琦;網(wǎng)絡(luò)入侵證據(jù)的收集分析[N];中國(guó)計(jì)算機(jī)報(bào);2005年

3 wangy;2003蠕蟲(chóng)王病毒來(lái)了[N];電腦報(bào);2003年

4 離子翼;計(jì)算機(jī)調(diào)查取證 證據(jù)采集篇[N];中國(guó)電腦教育報(bào);2005年

5 高嵐;計(jì)算機(jī)取證有效遏制網(wǎng)絡(luò)犯罪[N];中國(guó)計(jì)算機(jī)報(bào);2002年

6 江西 陳德敏;清空內(nèi)存中的DLL“垃圾”[N];電腦報(bào);2005年

7 ;病毒特警[N];中國(guó)財(cái)經(jīng)報(bào);2002年

8 方軍;計(jì)算機(jī)中了“毒”怎么辦？[N];中國(guó)機(jī)電日?qǐng)?bào);2001年

9 劉旭　武興漢;筑起網(wǎng)絡(luò)防線[N];解放軍報(bào);2002年

10 分析家;讓病毒無(wú)處可逃[N];電腦報(bào);2003年

相關(guān)博士學(xué)位論文 前10條

1 于志宏;視頻安全與網(wǎng)絡(luò)安全若干問(wèn)題研究[D];吉林大學(xué);2009年

2 綦朝暉;計(jì)算機(jī)入侵取證關(guān)鍵技術(shù)研究[D];天津大學(xué);2006年

3 夏洪濤;SSL VPN中非對(duì)稱隧道等若干關(guān)鍵技術(shù)的研究[D];華中科技大學(xué);2007年

4 吳姚睿;基于主動(dòng)獲取的計(jì)算機(jī)取證方法及實(shí)現(xiàn)技術(shù)研究[D];吉林大學(xué);2009年

5 周剛;云計(jì)算環(huán)境中面向取證的現(xiàn)場(chǎng)遷移技術(shù)研究[D];華中科技大學(xué);2011年

6 張有東;網(wǎng)絡(luò)取證技術(shù)研究[D];南京航空航天大學(xué);2007年

7 廖年冬;信息安全動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型的研究[D];北京交通大學(xué);2010年

8 馬建斌;中文Web信息作者同一認(rèn)定技術(shù)研究[D];河北農(nóng)業(yè)大學(xué);2010年

9 周彩章;網(wǎng)絡(luò)管理信息模型、結(jié)構(gòu)及MIB研究[D];西安電子科技大學(xué);2001年

10 楊曉君;機(jī)群通信系統(tǒng)互連接入技術(shù)研究[D];哈爾濱工程大學(xué);2005年

相關(guān)碩士學(xué)位論文 前10條

1 石華;基于系統(tǒng)文件特征屬性分析的計(jì)算機(jī)取證研究[D];大連交通大學(xué);2010年

2 周志剛;數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)取證的研究[D];大連交通大學(xué);2010年

3 于寒冰;基于網(wǎng)絡(luò)的計(jì)算機(jī)取證技術(shù)研究[D];西南交通大學(xué);2011年

4 韓寶昌;計(jì)算機(jī)犯罪取證證據(jù)分析的研究[D];大連交通大學(xué);2012年

5 張琦;計(jì)算機(jī)取證中的內(nèi)存鏡像獲取的研究與實(shí)現(xiàn)[D];吉林大學(xué);2011年

6 錢穎麒;無(wú)密碼登錄計(jì)算機(jī)取證系統(tǒng)[D];復(fù)旦大學(xué);2011年

7 何志鵬;基于windows日志的計(jì)算機(jī)取證模型設(shè)計(jì)[D];中山大學(xué);2011年

8 王路遙;分布式動(dòng)態(tài)計(jì)算機(jī)取證技術(shù)的研究與實(shí)現(xiàn)[D];電子科技大學(xué);2012年

9 孟杰;計(jì)算機(jī)主動(dòng)取證系統(tǒng)技術(shù)研究與實(shí)現(xiàn)[D];電子科技大學(xué);2011年

10 黎揚(yáng);計(jì)算機(jī)取證中攻擊源定位方法研究[D];蘭州理工大學(xué);2011年

，

本文編號(hào)：2007909