本文關(guān)鍵詞：計(jì)算機(jī)取證物理內(nèi)存鏡像獲取技術(shù)的研究與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

【山東警察學(xué)院論文欄目提醒】：網(wǎng)學(xué)會員為需要山東警察學(xué)院論文的朋友們搜集整理了計(jì)算機(jī)取證物理內(nèi)存鏡像獲取技術(shù)的研究與實(shí)現(xiàn) - 碩士論文相關(guān)資料，希望對各位網(wǎng)友有所幫助!

山東輕工業(yè)學(xué)院 碩士學(xué)位論文計(jì)算機(jī)取證物理內(nèi)存鏡像獲取技術(shù)的研究與實(shí)現(xiàn) 姓名：陳恒 申請學(xué)位級別：碩士 專業(yè)：計(jì)算機(jī)應(yīng)用技術(shù) 指導(dǎo)教師：王連海 20090609 山東輕工業(yè)學(xué)院碩士學(xué)位論文 摘 要 隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)與網(wǎng)絡(luò)成為社會政治、經(jīng)濟(jì)、文化生活的重要組成部分，而與此相關(guān)的各種計(jì)算機(jī)犯罪現(xiàn)象也日益突出。

    計(jì)算機(jī)取證技術(shù)成為打擊計(jì)算機(jī)犯罪的重要手段，是目前計(jì)算機(jī)界和法學(xué)界共同研究、關(guān)注的重點(diǎn)。

     本文介紹了計(jì)算機(jī)取證技術(shù)的現(xiàn)狀和發(fā)展情況，比較了現(xiàn)有的計(jì)算機(jī)取證模式，分析了離線取證模式的不足，指出了在線取證模式研究的必要性。

    物理內(nèi)存取證是在線取證的重要環(huán)節(jié)，也是當(dāng)今的研究熱點(diǎn)。

    本文旨在研究物理內(nèi)存取證中的物理內(nèi)存鏡像獲取技術(shù)。

    現(xiàn)有技術(shù)是在用戶態(tài)打開ｋＤｅｖｉｃｅＷｈｙｓｉｃａｌＭｅｍｏｒｙ內(nèi)核對象來訪問物理內(nèi)存，然而在Ｗ’ｍｄｏｗｓ ２００３及Ｖｉｓｔａ等版本下，用戶態(tài)訪問此內(nèi)核對象受到限制，只有通過內(nèi)核態(tài)才能訪問。

    因此，需要通過驅(qū)動(dòng)程序的方法。

    本文開發(fā)的基于內(nèi)核驅(qū)動(dòng)的物理內(nèi)存鏡像獲取工具，可以解決ＤＤ等當(dāng)前取證工具在Ｗ’ｍｄｏｗｓ高端版本下使用受限的問題。

     研究物理內(nèi)存，首先要了解Ｗｉｎｄｏｗｓ操作系統(tǒng)內(nèi)存管理機(jī)制。

    Ｗｉｎｄｏｗｓ操作系統(tǒng)采用請求分頁的虛擬存儲管理技術(shù)，通過在虛擬地址空間的頁與物理地址空間的頁之間建立映射，實(shí)現(xiàn)虛擬地址到物理地址的變換。

    地址變換過程由內(nèi)存管理單元（刪）自動(dòng)完成，但是對取證過程中的數(shù)據(jù)比對分析，需要手工完成地址變換過程。

    以往的研究對地址變換的描述都是基于Ｘ８６體系模型，與當(dāng)前大量使用的采用物理地址擴(kuò)展（ＰＡＥ）模式的ＸＰ系統(tǒng)并不完全吻合。

    本文結(jié)合ＷｉｎｄｏｗｓＸＰ ＳＰ２版本提出地址變換公式。

    同時(shí)，由于一直以來大量的相關(guān)文獻(xiàn)都依賴微軟所頒布的技術(shù)資料，僅以虛擬地址空間的觀點(diǎn)來解釋虛擬地址轉(zhuǎn)換的過程，無法解釋任意進(jìn)程的虛擬地址，如何映射到物理地址空間中。

    本文使用進(jìn)程和物理內(nèi)存的觀點(diǎn)來研究地址變換，清晰的說明了任意進(jìn)程的虛擬地址空間如何在物理地址空間中定位。

     本文結(jié)合Ｗｉｎｄｏｗｓ系統(tǒng)結(jié)構(gòu)，闡述了內(nèi)核驅(qū)動(dòng)程序訪問物理內(nèi)存的基本原理，依照驅(qū)動(dòng)程序基本框架，開發(fā)了內(nèi)核驅(qū)動(dòng)程序和用戶態(tài)調(diào)用程序，來獲取物理內(nèi)存鏡像，并提供了程序的核心代碼。

    然后，對實(shí)驗(yàn)結(jié)果進(jìn)行了分析評價(jià)。

     虛擬內(nèi)存文件鏡像的獲取，也是物理內(nèi)存鏡像獲取的重要方面。

    目前還沒有相關(guān)的軟件。

    由于Ⅻ下ｐａｇｅｆｉｌｅ．ｓｙｓ是隱藏文件，需要在磁盤上準(zhǔn)確定位該文件。

    本文詳細(xì)闡述了磁盤的文件系統(tǒng)原理，分別針對ＮＴＦＳ和ＦＡＴ３２兩種文件系統(tǒng)，設(shè)計(jì)出獲取該文件的實(shí)現(xiàn)方法。

    關(guān)鍵詞：計(jì)算機(jī)取證；物理內(nèi)存鏡像；內(nèi)核驅(qū)動(dòng)：文件系統(tǒng)：虛擬內(nèi)存 山東輕工業(yè)學(xué)院碩士學(xué)位論文 ＡＢ ＳＴＲＡＣＴ Ｗｉｔｈ ｔｈｅ ｄｅｖｅｌｏｐｍｅｎｔ ｏｆ ｉｎｆｏｒｍａｔｉｏｎ ｔｅｃｈｎｏｌｏｇｙ，ｃｏｍｐｕｔｅｒ ａｎｄ ｎｅｔｗｏｒｋ ａ托ｐｌａｙｉｎｇ ａ ｍｏｒｅ ａｎｄ ｍｏｒｅ ｉｍｐｏｒｔａｎｔ ｒｏｌｅ ｉｎ ｓｏｃｉａｌ，ｐｏｌｉｔｉｃａｌ，ｅｃｏｎｏｍｙ ａｎｄ ｃｕｌｔｕｒａｌａｒｅａｓ，ｃｏｍｐｕｔｅｒ ｃｒｉｍｅｓ ｉｎ ｄｉ．ｇｉｔａｌ ｗｏｒｌｄ ａ他ｂｅｃｏｍｉｎｇ ｓｅｒｉｏｕｓ ｉｓｓｕｅｓ ｃｏｎｓｅｑｕｅｎｔｌｙ．Ｃｏｍｐｕｔｅｒ ｆｏｒｅｎｓｉｃｓ ｉｓ ａｎ ｅｓｓｅｎｔｉａｌ ａｐｐｒｏａｃｈ ｔｏ ｃｈａｒｇｉｎｇ ｃｏｍｐｕｔｅｒ ｃｒｉｍｅｓ ａｎｄ ｈａｓｂｅｃｏｍｅ ｔｈｅ ｃｏｍｍｏｎ ｃｏｎｃｅｒｎ ｏｆ ｓｔｕｄｙ ｉｎ ｔｈｅ ｃｏｍｐｕｔｅｒ ｓｃｉｅｎｃｅ ａｎｄ ｌａｗ ｆｉｅｌｄ． Ｔｈｅ ｔｈｅｓｉｓ ｉｎｔｒｏｄｕｃｅｓ ｔｈｅ ｃｕｒｒｅｎｔ ｓｔａｔｅ ａｎｄ ｉｔｓ ｄｅｖｅｌｏｐｍｅｎｔ ｏｎ ｃｏｍｐｕｔｅｒ ｆｏｒｅｎｓｉｃｓ．Ｉｔ ｃｏｍｐａｒｅｓ ｔｈｅ ｃｕｒｒｅｎｔ ｃｏｍｐｕｔｅｒ ｆｏｒｅｎｓｉｃｓ ｍｏｄｅ，ａｎａｌｙｓｅｓ ｔｈｅ ｄｅｆｉｃｉｅｎｃｙ ｏｆ ｔｈｅｏｆｆｌｉｎｅ ｍｏｄｅ ａｎｄ ｉｎｄｉｃａｔｅｓ ｔｈｅ ｎｅｃｅｓｓｉｔｙ ｏｆ ｒｅｓｅａｒｃｈｉｎｇ ｏｎｌｉｎｅ ｍｏｄｅ．Ｐｈｙｓｉｃａｌｍｅｍｏｒｙ ｆｏｒｅｎｓｉｃｓ ｉｓ ｔｈｅ ｉｍｐｏｒｔａｎｔ ｐａｒｔ ｏｆ ｔｈｅ ｏｎｌｉｎｅ ｆｏｒｅｎｓｉｃｓ ａｎｄ ａｌｓｏ ｔｈｅ ｃｕｒｒｅｎｔｒｅｓｅａｒｃｈ ｈｏｔｓｐｏｔ．１１艙ｔｈｅｓｉｓ ａｉｍｓ ａｔ ｒｅｓｅａｒｃｈｉｎｇ ｔｈｅ ａｃｑｕｉｓｉｔｉｏｎ ｏｆ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙｉｍａｇｅ ｉｎ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｆｏｒｅｎｓｉｃｓ．Ｔｈｅ ｃｕｒｒｅｎｔ ｍｅｔｈｏｄｓ ｖｉｓｉｔ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｂｙｏｐｅｎｉｎｇ ＰｈｙｓｉｃａＩＭｅｍｏｒｙ ｋｅｒｎｅｌ ｏｂｊｅｃｔ ｉｎ ｕｓｅｒｍｏｄｅ．Ｈｏｗｅｖｅｒ，ｉｔ ｉｓ ｐｒｏｈｉｂｉｔｅｄ ｔｏ啊ｓｉｔｋｅｒｎｅｌ ｏｂｊｏｃｔ ｉｎ ｕｓｅｒｍｏｄｅ ｕｎｄｅｒ Ｗｉｎｄｏｗｓ ２００３，Ｖｉｓｔａ，ａｎｄ ＳＯ ｏｎ．Ｉｔ Ｃａｎ ｂｅ ｖｉｓｉｔｅｄｏｎｌｙ ｂｙ ｋｅｒｎｅｌ ｄｒｉｖｅｒｓ．Ｓｏ，ｉｔ ｉｓ ｎｅｃｅｓｓａｒｙ ｔｏ ｄｅｖｅｌｏｐ ｄｒｉｖｅｒｓ．Ｔｈｅ ｔｏｏｌｓ ｆｏｒ ｏｂｔａｉｎｉｎｇｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｍａｇｅ ｂａｓｅｄ ｏｎ ｋｅｒｎｅｌ ｄｒｉｖｅｒ ｄｅｖｅｌｏｐｅｄ ｉｎ ｔｈｉｓ ｔｈｅｓｉｓ Ｃａｎ ｒｅｓｏｌｖｅ ｔｈｅｕｎａｖａｉｌａｂｉｌｉｔｙ ｏｆ ｔｈｅ ｃｕｒｒｅｎｔ ｆｏｒｅｎｓｉｃ ｔｏｏｌｓ ａｓ ＤＤ ｕｎｄｅｒ Ｗｉｎｄｏｗｓ ｈｉｇｈｅｒ ｅｄｉｔｉｏｎ． Ｔｏ ｒｅｓｅａｒｃｈ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ，ｌｅａｒｎｉｎｇ ａｂｏｕｔ ｔｈｅ Ｗｉｎｄｏｗｓ ｍｅｍｏｒｙ ｍａｎａｇｅｍｅｎｔｍｅｃｈａｎｉｓｍ ｉｓ ｎｅｃｅｓｓａｒｙ ａｔ ｆｉｒｓｔ．Ｗｉｎｄｏｗｓ ｏｐｅｒａｔｉｎｇ ｓｙｓｔｅｍ ｕｓｉｎｇ ｐａｇｅｄ ｖｉｒｔｕａｌｍｅｍｏｒｙ ｍａｎａｇｅｍｅｎｔ ｔｅｃｈｎｏｌｏｇｙ．Ｔｈｅ ｔｒａｎｓｌａｔｉｏｎ ｆｒｏｍ ｖｉｒｔｕａｌ ａｄｄｒｅｓｓ ｔｏ ｐｈｙｓｉｃａｌａｄｄｒｅｓｓ ｉｓ ｒｅａｌｉｚｅｄ ｂｙ ｅｓｔａｂｌｉｓｈｉｎｇ ｐａｇｅ ｍａｐｐｉｎｇ ｆｒｏｍ ｖｉｒｔｕａｌ ａｄｄｒｅｓｓ ａｐａｃｅ ｔｏｐｈｙｓｉｃａｌ ａｄｄｒｅｓｓ ａｐａｃｅ．Ｔｈｅ ｔｒａｎｓｌａｔｉｏｎ ｉＳ ｉｍｐｌｅｍｅｎｔｅｄ ｂｙ眥，．Ｈｏｗｅｖｅｒ，ｔｒａｎｓｌａｔｉｎｇ ｍａｎｕａｌｌｙ ｉｓ ｎｅｅｄｅｄ ｆｏｒ ｃｏｍｐａｒｉｎｇ ａｎｄ ａｎａｌｙｚｉｎｇ ｔｈｅ ｅｘｐｅｒｉｍｅｎｔａｌ ｄａｔａ．Ｔｈｅ ｐａｓｔ ｄｅｓｃｒｉｐｔｉｏｎ ｏｆ ａｄｄｒｅｓｓ ｔｒａｎｓｌａｔｉｏｎ ｂａｓｅｄ ｏｎ ｘ８６ ｓｙｓｔｅｍ ｍｏｄｅ．Ｉｔ ｉＳ ｄｉｆｆｅｒｅｎｔｆｒｏｍ ｔｈｅ ｐｏｐｕｌａｒ ＸＰ ｓｙｓｔｅｍ ｗｉｔｈ ＰＡＥ．Ｔｈｅ ｔｈｅｓｉｓ ｏｆｆｅｒｓ ａｄｄｒｅｓｓ ｔｒａｎｓｌａｔｉｏｎ ｆｏｒｍｕｌａｗｉｔｈ Ｗｉｎｄｏｗｓ ＸＰ ＳＰ２ ｅｄｉｔｉｏｎ．Ｍｅａｎｗｈｉｌｅ，ｓｉｎｃｅ ｐｌｅｎｔｙ ｏｆ ｒｅｌａｔｉｖｅ ｄｏｃｕｍｅｎｔｓ ｒｅｌｙｉｎｇｏｎ ｔｈｅ ｔｅｃｈｎｉｃａｌ ｄａｔａ ｉｓｓｕｅｄ ｂｙ Ｍｉｃｒｏｓｏｆｔ ｆｏｒ ｓｅｖｅｒａｌ ｙｅａｒｓ，ｉｔ ｉＳ ｈａｒｄ ｔｏ ｅｘｐｌａｉｎ ｈｏｗｔｈｅ ｖｉｒｔｕａｌ ａｄｄｒｅｓｓ ｏｆ ａｎｙ ｐｒｏｃｅｓｓ ｍａｐｐｉｎｇ ｔｏ ｐｈｙｓｉｃａｌ ａｄｄｒｅｓｓ ｓｐａｃｅ ｊｕｓｔ ｂｙ ｔｈｅ ｖｉｅｗｏｆ ｖｉｒｔｕａｌ ａｄｄｒｅｓｓ ｓｐａｃｅ．Ｔｈｅ ａｄｄｒｅｓｓ ｔｒａｎｓｌａｔｉｏｎ ｉｓ ｒｅｓｅａｒｃｈｅｄ ｂｙ ｔｈｅ ｖｉｅｗ ｏｆ ｐｒｏｃｅｓｓａｎｄ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｎ ｔｈｉｓ ｔｈｅｓｉｓ．Ｉｔ ｉｓ ｃｌｅａｒｌｙ ｓｈｏｗｎ ｔｈａｔ ｈｏｗ ｔｏ ｌｏｃａｌｉｚｅ ｔｈｅ ｖｉｒｔｕａｌａｄｄｒｅｓｓ ｓｐａｃｅ ｏｆ ａｎｙ ｐｒｏｃｅｓｓ ｉｎ ｔｈｅ ｐｈｙｓｉｃａｌ ａｄｄｒｅｓｓ ｓｐａｃｅ． ＷｉⅡｌ Ｗｉｎｄｏｗｓ ｓｙｓｔｅｍ ｓｔｒｕｃｔｕｒｅ，Ｔｔｌｃ ｔｈｅｓｉｓ ｉｎｄｉｃａｔｅｓ ｔｈｅ ｂａｓｉｃ ｐｒｉｎｃｉｐｌｅ ｏｆｖｉｓｉｔｉｎｇ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｂｙ ｋｅｒｎｅｌ ｄｒｉｖｅｒｓ．Ｂａｓｅｄ ｏｎ ｔｈｅ ｄｅｖｅｌｏｐｉｎｇ ｆｌａｍｅ ｆｏｒ ｄｒｉｖｅｒｓ，ｋｅｒｎｅｌ ｄｒｉｖｅｒｓ ａｎｄ ｕｓｅｒ ｐｒｏｇｒａｍ ｆｏｒ ａｃｑｕｉｒｉｎｇ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｍａｇｅ ａｒｅ ｄｅｖｅｌｏｐｅｄｔｏ ｏｂｔａｉｎ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｍａｇｅ ａｎｄ ｔｈｅ ｎｕｃｌｅａｒ ｃｏｄｅｓ ａｒｅ ｏｆｆｅｒｅｄ．Ｔｈｅｎ，ｔｈｅｅｘｐｅｒｉｍｅｎｔ ｒｅｓｕｌｔｓ ａｒｅ ａｎａｌｙｚｅｄ． Ｔｈｅ ａｃｑｕｉｓｉｔｉｏｎ ｏｆ ｖｉｒｔｕａｌ ｍｅｍｏｒｙ ｆｉｌｅ ｉｍａｇｅ ｉｓ ａｌｓｏ ｉｍｐｏｒｔａｎｔ ｐａｒｔ ｏｆ ａｃｑｕｉｓｉｔｉｏｎｏｆ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｍａｇｅ．Ｃｕｒｒｅｎｔｌｙ，ｔｈｅｒｅ ｉｓ ｎｏ ｒｅｌａｔｉｖｅ ｓｏｆｔｗａｒｅ．Ｂｅｃａｕｓｅ ｔｈｅｐａｇｅｆｉｌｅ．ｓｙｓ ｕｎｄｅｒ ＸＰ ｉｓ ｃｏｎｃｅａｌｅｄ ｆｉｌｅ，ｉｔ ｉｓ ｎｅｃｅｓｓａｒｙ ｔｏ ｌｏｃａｔｅ ｔｈｉｓ ｆｉｌｅ ｏｎ ｄｉｓｋ．Ｄｉｓｋｆｉｌｅ ｓｙｓｔｅｍ ｉｓ ｅｘｐａｔｉａｔｅｄ ｉｎ ｄｅｔａｉｌ ａｎｄ ｍｏｄｕｌｅｓ ｕｓｉｎｇ ｄｉｆｆｅｒｅｎｔ ｍｅｔｈｏｄｓ ｆｏｒ ＮＴＦＳ ａｎｄＦＡＴ３２ ｆｉｌｅ ｓｙｓｔｅｍ ａｒｅ ｄｅｓｉｇｎｅｄ．Ｋｅｙ Ｗｏｒｄｓ：ｃｏｍｐｕｔｅｒ ｆｏｒｅｎｓｉｃｓ；ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｍａｇｅ；ｋｅｒｎｅｌ ｄｒｉｖｅｒｓ；ｆｉｌｅ ｓｙｓｔｅｍ； ｖｉｒｔｕｅ ｍｅｍｏｒｙ Ⅱ 學(xué)位論文獨(dú)創(chuàng)性聲明 本人聲明，所呈交的學(xué)位論文系在導(dǎo)師指導(dǎo)下本人獨(dú)立完成的研究成果。

    文中引用他人的成果，均已做出明確標(biāo)注或得到許可。

    論文內(nèi)容未包含法律意義上已屬于他人的任何形式的研究成果，也不包含本人已用于其他學(xué)位申請的論文或成果，與我一同工作的同志對本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說明并表示謝意。

    論文作者簽名：二盛！絲 日期：蘭�。保材辏撸售淘露跞� 學(xué)位論文知識產(chǎn)權(quán)權(quán)屬聲明 本人在導(dǎo)師指導(dǎo)下所完成的論文及相關(guān)的職務(wù)作品，知識產(chǎn)權(quán)歸屬山東輕工業(yè)學(xué)院。

    山東輕工業(yè)學(xué)院享有以任何方式發(fā)表、復(fù)制、公開閱覽、借閱以及申請專利等權(quán)利，同意學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，本人離校后發(fā)表或使用學(xué)位論文或與該論文直接相關(guān)的學(xué)術(shù)論文或成果時(shí)，署名單位仍然為山東輕工業(yè)學(xué)院。

    論文作者簽名：二醢絲 日期：絲盟年上月丑日導(dǎo)師簽名：籃墮 日期：一．盟年Ｊ￡月２≠日 山東輕工業(yè)學(xué)院碩士學(xué)位論文 第ｌ章緒論１．１研究背景 當(dāng)今，人類社會已經(jīng)步入信息化時(shí)代。

    計(jì)算機(jī)技術(shù)的迅速發(fā)展，以及網(wǎng)絡(luò)的廣泛使用，使計(jì)算機(jī)成為國家的重要基礎(chǔ)設(shè)施和社會生活不可或缺的組成部分。

    行政司法、經(jīng)濟(jì)金融、醫(yī)療衛(wèi)生、國防軍工、能源通信、教育就業(yè)以及娛樂休閑等各個(gè)領(lǐng)域，都依賴計(jì)算機(jī)的數(shù)據(jù)計(jì)算和網(wǎng)絡(luò)提供的信息傳播，其與信息技術(shù)的關(guān)系日益密切。

     然而，計(jì)算機(jī)技術(shù)的發(fā)展，如同其它科學(xué)技術(shù)一樣，在極大提高了社會生產(chǎn)力、給人們帶來諸多便利的同時(shí)，計(jì)算機(jī)犯罪也已嚴(yán)重地滲透到社會生活的各個(gè)層面。

    自上世紀(jì)六十年代計(jì)算機(jī)犯罪出現(xiàn)以來，受其侵害的領(lǐng)域越來越廣泛，其危害程度也越來越深遠(yuǎn)。

    從最早的修改計(jì)算機(jī)信息、利用計(jì)算機(jī)病毒破壞計(jì)算機(jī)系統(tǒng)軟硬件設(shè)備等侵害計(jì)算機(jī)系統(tǒng)安全的行為，發(fā)展到利用木馬進(jìn)行金融盜竊、銀行詐騙、竊取個(gè)人隱私，甚至直接利用互聯(lián)網(wǎng)進(jìn)行色情傳播、煽動(dòng)民族分裂、散步反動(dòng)言論等損害個(gè)人利益和危害國家安全的程度。

    美國因計(jì)算機(jī)犯罪造成的年損失達(dá)幾十億、甚至上百億美元，英、德的年損失也達(dá)幾十億美元。

    我國從１９８６年開始出現(xiàn)計(jì)算機(jī)犯罪，九十年代間案件就以每年３０％的速度遞增，近些年更是呈在各行業(yè)中滋生蔓延的趨勢¨’川。

    計(jì)算機(jī)犯罪就是與時(shí)代共同發(fā)展的高技術(shù)犯罪，已成為世界各國共同面臨的重大社會問題。

     司法的滯后性是計(jì)算機(jī)犯罪‘ｍ ３８·豫朔日益猖獗的一個(gè)重要原因。

    為了維護(hù)社會穩(wěn)定和諧，保障人們的財(cái)產(chǎn)和隱私安全，促進(jìn)信息技術(shù)的良好發(fā)展，打擊計(jì)算機(jī)犯罪，提高司法機(jī)關(guān)的對抗能力，具有重要的現(xiàn)實(shí)意義。

    其中的關(guān)鍵技術(shù)之一就是計(jì)算機(jī)取證技術(shù)‘４＆捌。

    １．２國內(nèi)外相關(guān)研究評述１．２．１國外研究現(xiàn)狀 在國外，如美國等科技比較發(fā)達(dá)的國家，打擊計(jì)算機(jī)犯罪已經(jīng)有了二十多年的歷史。

    自１９８４年開始，美國ＦＢＩ實(shí)驗(yàn)室就開始著手研究計(jì)算機(jī)取證，隨后，ＦＢＩ成立了計(jì)算機(jī)分析響應(yīng)組（ＣＡＲＴ）〔２１，專門進(jìn)行計(jì)算機(jī)證據(jù)的分析。

    很快，其它國家也紛紛效仿其功能和組織結(jié)構(gòu)，建立起相應(yīng)執(zhí)法機(jī)構(gòu)。

    由此，計(jì)算機(jī)取 第１章緒論證的研究逐步興起。

     進(jìn)入九十年代，計(jì)算機(jī)取證的研究進(jìn)一步發(fā)展。

    美國聯(lián)邦犯罪調(diào)查實(shí)驗(yàn)室的專家們創(chuàng)立了“數(shù)字取證科學(xué)工作組（ＳＷＧＤＥ）一，提出了“計(jì)算機(jī)潛在證據(jù)（１ａｔｅｎｔｅｖｉｄｅｎｃｅ ｏｎ ａ ｃｏｍｐｕｔｅｒ）”的概念。

    １９９１年，計(jì)算機(jī)專家國際聯(lián)盟（ＩｎｔｅｒｎａｔｉｏｎａｌＡｓｓｏｃｉａｔｉｏｎ ｏｆ Ｃｏｍｐｕｔｅｒ Ｓｐｅｃｉａｌｉｓｔｓ．ＩＡＣＩＳ）在美國俄勒岡州波特蘭市舉行的第一次培訓(xùn)會中正式提出了計(jì)算機(jī)取證（Ｃｏｍｐｕｔｅｒ Ｆｏｒｅｎｓｉｃｓ）的概念ｕ１。

    隨后，新的概念、定義、標(biāo)準(zhǔn)、工作組、研究團(tuán)隊(duì)不斷出現(xiàn)，美國司法機(jī)關(guān)也已經(jīng)建立起自己的計(jì)算機(jī)取證實(shí)驗(yàn)室。

    計(jì)算機(jī)取證的理論、方法、技術(shù)已經(jīng)基本確立。

     隨著司法工作的進(jìn)一步開展，對實(shí)用的計(jì)算機(jī)取證工具的需求越來越強(qiáng)烈。

    于是，市場上涌現(xiàn)了適用于各種用途的取證工具。

    比較著名的有以下幾種產(chǎn)品，如美國ＧＵＩＤＡＮＣＥ軟件公司開發(fā)的Ｅｎｃａｓｅ，可在Ｗｉｎｄｏｗｓ、Ｌｉｎｕｘ和ＭＡＣＯＳ等多種平臺上運(yùn)行，能夠?qū)ⅲ氏略谶\(yùn)行的系統(tǒng)的全部運(yùn)行環(huán)境及數(shù)據(jù)提取出來，生成一個(gè)鏡像文件，再對該文件進(jìn)行分析，以發(fā)現(xiàn)犯罪證據(jù)【５１；美國計(jì)算機(jī)取證公司開發(fā)的ＤＩＢＳ，使用獨(dú)特的數(shù)據(jù)鏡像查證和鑒定技術(shù)對數(shù)據(jù)進(jìn)行鏡像，確保數(shù)據(jù)的絕對安全性和完整性；由英國Ｖｏｇｏｎ公司開發(fā)基于ＰＣ、Ｍａ和Ｕｎｉｘ等系統(tǒng)的數(shù)據(jù)收集和分析系統(tǒng)Ｆｌｉｇｈｔ Ｓｅｒｖｅｒ，它可以將計(jì)算機(jī)犯罪現(xiàn)場中的計(jì)算機(jī)磁盤逐個(gè)扇區(qū)（包括壞扇區(qū)）進(jìn)行拷貝、復(fù)制，并生成一個(gè)物理鏡像文件，然后對該鏡像文件進(jìn)行分析，從而幫助辦案人員發(fā)現(xiàn)證據(jù)【４ｌ。

     然而，在此后一段時(shí)間罩，由于計(jì)算機(jī)取證工具的利益驅(qū)動(dòng)，使大量的研究開發(fā)工作轉(zhuǎn)向技術(shù)開發(fā)，取證理論的研究相對滯后。

    這樣，就不能適應(yīng)日益提高的計(jì)算機(jī)犯罪水平，導(dǎo)致了開發(fā)的產(chǎn)品有效性降低。

    于是．許多專家開始對取證中的基本問題，如取證程序和取證標(biāo)準(zhǔn)等，進(jìn)行研究，提出了許多抽象的計(jì)算機(jī)取證模型，由美國空軍研究院、美國信息戰(zhàn)督導(dǎo)／防御局共同資助的計(jì)算機(jī)取證組織一一數(shù)字取證研究組（Ｄｉｇｉｔａｌ Ｆｏｒｅｎｓｉｃｓ Ｒｅｓｅａｒｃｈ Ｗｏｒｋｓｈｏｐ，ＤＦＲＷ）提出的初步的計(jì)算機(jī)取證科學(xué)基本框架，是一個(gè)比較合理的過程模型，使科技界可以對數(shù)字取證基本理論和基本方法進(jìn)一步的發(fā)展和完善【３ｌ。

     縱觀計(jì)算機(jī)取證的歷史可以發(fā)現(xiàn)，它隨著計(jì)算機(jī)犯罪水平的提高而不斷發(fā)展，凝聚了大量科研人員的智慧。

    其發(fā)展過程經(jīng)歷了從理論到實(shí)踐，再回歸到理論的過程。

    ２０００年以后，雖然取證基礎(chǔ)理論日趨完備，然而面對層出不窮的新問題，取證理論也在不斷面臨著新挑戰(zhàn)。

     １．２．２國內(nèi)研究現(xiàn)狀 在國內(nèi)，計(jì)算機(jī)取證工作的研究起步較晚，始于上世紀(jì)九十年代，開始主要針對反黑客和系統(tǒng)入侵以及在司法實(shí)踐中涉及到的電子郵件、程序代碼等比較簡 ２ 山東輕工業(yè)學(xué)院碩士學(xué)位論文單且容易獲取的電子證據(jù)。

    同時(shí)，由于人們在計(jì)算機(jī)犯罪案件訴訟上的意識還相對薄弱，相關(guān)的法律法規(guī)還不夠完善。

     進(jìn)入２０００年后，國家相關(guān)部門高度重視計(jì)算機(jī)取證工作，在８６３課題、十一五重點(diǎn)項(xiàng)目中，都對計(jì)算機(jī)取證進(jìn)行立項(xiàng)研究，國內(nèi)高校和科研機(jī)構(gòu)也分別承擔(dān)了相應(yīng)課題進(jìn)行攻關(guān)。

    研發(fā)并投入使用的產(chǎn)品有諸如中科院高能物理所計(jì)算中心研制的“取證機(jī)一，可以偵探黑客的入侵手段，并提交為法庭所采信的分析報(bào)告；廈門美雅博科技有限公司主持開發(fā)的計(jì)算機(jī)證據(jù)偵察箱。

    具有證據(jù)的提取、破解、分析和恢復(fù)等功能。

     關(guān)于計(jì)算機(jī)取證的會議也定期召開。

    如２００４年１１月在北京人民警察學(xué)院召開了首屆全國計(jì)算機(jī)取證技術(shù)研討會。

    ２００５年６月，在北京市物證技術(shù)學(xué)會、中國電子學(xué)會計(jì)算機(jī)取證專家委員會的全力支持下，兩學(xué)會以玎ＣＦＡＴ ２００５中國計(jì)算機(jī)取證技術(shù)峰會一為標(biāo)識成功舉辦了首屆峰會。

    ２００６年６月，由中國電子學(xué)會計(jì)算機(jī)取證專家委員會、中國防衛(wèi)科技學(xué)院、北京市物證技術(shù)學(xué)會共同發(fā)起并成功主辦了ＣＣＦＣ中國計(jì)算機(jī)取證技術(shù)峰會（２００６年會）１４１。

    這標(biāo)志著我國的計(jì)算機(jī)取證研究進(jìn)入了一個(gè)全新的階段。

     總體說來，國內(nèi)對于計(jì)算機(jī)取證的研究尚屬起步階段，在某些領(lǐng)域還是空白，理論也不夠成熟，技術(shù)大多來自于國外，不能很好的滿足國內(nèi)打擊計(jì)算機(jī)犯罪的需求。

    因此，必須自主開發(fā)適合我國國情的計(jì)算機(jī)取證工具，使日益增加的計(jì)算機(jī)犯罪得到遏制，才能保護(hù)人們的合法權(quán)益不受侵害【６】。

    國內(nèi)開展計(jì)算機(jī)取證的研究工作具有很大的意義。

     ３ 第２章計(jì)算機(jī)取證概述 第２章計(jì)算機(jī)取證概述２．Ｉ計(jì)算機(jī)取證的相關(guān)概念 關(guān)于計(jì)算機(jī)取證的概念，國內(nèi)外學(xué)者專家給出了很豐富的定義和說法。

    現(xiàn)列舉一些有代表性的概念： 取證專家Ｒｅｉｔｈ Ｃｌｉｎｔ Ｍａｒｋ認(rèn)為：計(jì)算機(jī)取證（Ｃｏｍｐｕｔｅｒ Ｆｏｒｅｎｓｉｃｓ）可以認(rèn)為是“從計(jì)算機(jī)中收集和發(fā)現(xiàn)證據(jù)的技術(shù)和工具”。

    計(jì)算機(jī)取證的資深人士ＪｕｄｄＲｏｂｂｉｎｓ先生對此給出了如下定義：計(jì)算機(jī)取證不過是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取。

    計(jì)算機(jī)緊急事件響應(yīng)組和取證咨詢公司Ｎｅｗ ＴｃｃｈｎｏｌｏｇｉＣＳ將其擴(kuò)展為：計(jì)算機(jī)取證包括了對以磁介質(zhì)編碼信息方式存儲的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。

    孫波在其博士論文ｕ１中總結(jié)為：計(jì)算機(jī)取證是對計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為，利用計(jì)算機(jī)軟硬件技術(shù)，使用科學(xué)原則及方法在犯罪偵察過程中，按照符合法律規(guī)范的方式，進(jìn)行發(fā)現(xiàn)、識別、保存、重構(gòu)、分析和提交計(jì)算機(jī)證據(jù)的過程。

     歸納起來，作者認(rèn)為：計(jì)算機(jī)取證是利用硬件或軟件等計(jì)算機(jī)技術(shù)或工具，，按照合法程序，對計(jì)算機(jī)犯罪證據(jù)進(jìn)行保護(hù)、提取、分析和解釋的過程。

    ２．２取證類型 計(jì)算機(jī)取證工作包括證據(jù)獲取和證據(jù)分析兩個(gè)方面【２鋤】。

    本文只對證據(jù)獲取技術(shù)進(jìn)行研究。

    需要獲取的證據(jù)以電子數(shù)據(jù)【２０．４１】的形式存在，包括以下內(nèi)容，如圖２．Ｉ所示： 圖２．１取證內(nèi)容 ４ 山東輕工業(yè)學(xué)院碩士學(xué)位論文 其中，主要包括兩大部分內(nèi)容，一是對磁盤相關(guān)數(shù)據(jù)的取證，稱為離線取證模式ｆ２１－２２ｌ；一是對物理內(nèi)存數(shù)據(jù)的取證，稱為在線取證模式【２８】。

    ２．２．１離線取證 離線取證模式是指對目標(biāo)計(jì)算機(jī)系統(tǒng)運(yùn)用各種技術(shù)手段對磁盤或其它存儲介質(zhì)的數(shù)據(jù)進(jìn)行提取、分析【２３２．４·２５１，在取證研究的早期階段，也就是上世紀(jì)九十年代中后期廣泛采用，比如著名的Ｅｎｃａｓｅ產(chǎn)品。

     雖然磁盤取證提供了文件系統(tǒng)數(shù)據(jù)，但其有許多不足： 首先，鏡像磁盤的時(shí)間隨著磁盤容量的增大同比增長，造成的結(jié)果是當(dāng)時(shí)間成為取證中需要考慮的重要因素的時(shí)候，鏡像大規(guī)模磁盤難以實(shí)施：第二，磁盤鏡像要求掛起系統(tǒng)，如果對于需要保障連續(xù)運(yùn)行的系統(tǒng)，被中斷的代價(jià)是昂貴的。

     ‘７１而且，很多的易失數(shù)據(jù)像當(dāng)前運(yùn)行的和已經(jīng)終止的進(jìn)程信息，打開的ＴＣＰ＾ＤＰ端口，活動(dòng)連接，內(nèi)存映射文件，諸如網(wǎng)頁地址、密碼、正在編輯的文件嘲等緩存信息將會丟失。

    這些信息駐留在ＲＡＭ中，磁盤取證不可能訪問到它們。

    更重要的是，隨著犯罪手段的提高，木馬和病毒相關(guān)技術(shù)大肆泛濫，內(nèi)核級別的病毒越來越多。

    這些內(nèi)核級別的病毒或木馬有可能為運(yùn)行于用戶態(tài)的取證工具提供虛假信息。

    如基于ｒｏｏｔｌｄｔｓ的ＬＫＭ，僅僅被加載到內(nèi)存中，并不修改任何磁盤中的文件和目錄信息。

    Ｃｏｄｅ Ｒｅｄ蠕蟲也是如此，這個(gè)惡意程序代碼并不是以文件形式存儲，而是插入內(nèi)存運(yùn)行四１。

    于是設(shè)法讀取物理內(nèi)存中的信息并進(jìn)行分析成為需要解決的關(guān)鍵問題。

    由于內(nèi)存中的數(shù)據(jù)會隨著系統(tǒng)的掉電而丟失，因此這就需要在線取證，也稱動(dòng)態(tài)活數(shù)據(jù)取證。

    ２．２．２在線取證 從２００５年起，人們開始關(guān)注物理內(nèi)存的獲取和分析。

    ２００５年夏，Ｄｉ百ｔａＪＦｏｒｅｎｓｉｃ Ｒｅｓｅａｒｃｈ Ｗｏｒｋｓｈｏｐ（ＤＦＲＷＳ）發(fā)布了一份名為“ｍｅｍｏｒｙ ａｎａｌｙｓｉｓｃｈａｌｌｅｎｇｅ”的有獎(jiǎng)競賽文件１１０１）引起了對物理內(nèi)存鏡像這一領(lǐng)域的討論、研究及相關(guān)工具的開發(fā)。

    這份文件提供了兩個(gè)Ｗｉｎｄｏｗｓ ２０００的物理內(nèi)存鏡像樣本，然后向研究者提出了一系列關(guān)于惡意軟件和非法活動(dòng)的問題。

    如“該系統(tǒng)中隱藏的進(jìn)程是什么，它們是怎么被隱藏的？”“從物理內(nèi)存鏡像中還可以獲取哪些關(guān)于入侵的證據(jù)？”Ｅ１０〕等等。

    Ｃｈｒｉｓ Ｂｅｔｚ和Ｇｅｏｒｇｅ Ｇａｒｎｅｒ以及Ｒｏｂｅｒｔ．Ｊａｎ Ｍｏｒａ給出了詳細(xì)的解答，并最終獲得優(yōu)勝。

    Ｂｅｔｚ在研究報(bào)告中稱，他認(rèn)識到簡單的在內(nèi)存鏡像文件中搜索字符串和其它標(biāo)識符不但非常耗時(shí)，而且對提高我們的分析能力作用很小。

    與其花費(fèi)大量時(shí)間研究鏡像文件本身，還不如考慮是否可以開發(fā)一種更加智能的工具來分析此鏡像文件。

    使用ｋｄ（ｋｅｒｎｅｌ ｄｅｂｕｇｇｅｒ）和ｌｉｖｅｋｄ－Ｉ－具，他調(diào)試了Ｗｉｎｄｏｗｓ ２０００ ＳＰ４的內(nèi)核。

    使用所調(diào)試和分析的同一臺目標(biāo)機(jī)的物理內(nèi)存的結(jié)果，他開發(fā)了一個(gè)程序來分析Ｗｉｎｄｏｗｓ ２０００物理內(nèi)存鏡像，確定關(guān)鍵的內(nèi)核 第２章計(jì)算機(jī)取證概述結(jié)構(gòu)。

    他開發(fā)的這個(gè)工具可以用來幫助分析Ｗｉｎｄｏｗｓ ２０００物理內(nèi)存鏡像。

    使用這個(gè)工具和一個(gè)十六進(jìn)制編輯器，他對所給的樣本進(jìn)行了分析ｎ¨。

    Ｂｅｔｚ的貢獻(xiàn)在于開發(fā)了重建進(jìn)程鏈并提取進(jìn)程信息的工具ｎ¨。

    Ｂｅｔｚ所開發(fā)的工具ｍｅｍｐａｒｓｅｒ．１．０于次年發(fā)布。

    Ｇｅｏｒｇｅ Ｇａｒｎｅｒ以及Ｒｏｂｅｒｔ．Ｊａｎ Ｍｏｒａ在報(bào)告中稱，他們使用ｋｎｔｌｉｓｔ工具，從活動(dòng)進(jìn)程鏈ＰｓＡｃｔｉｖｅＰｒｏｃｅｓｓＬｉｓｆｌ頇序?qū)Ρ人o的鏡像樣本和從一臺狀態(tài)良好并且和所給鏡像同版本的機(jī)器上獲取的鏡像樣本的進(jìn)程信息，然后生成對比結(jié)果的日志文件‘１”。

    他們的貢獻(xiàn)在于開發(fā)了ｋｎｔｌｉｓｔＴ具，保存完整性檢查和審計(jì)記錄，解釋了內(nèi)存中的重要內(nèi)核結(jié)構(gòu)ｎ∞。

     這份文件被公認(rèn)為開辟了物理內(nèi)存分析的新紀(jì)元，隨后，此項(xiàng)研究逐漸發(fā)展。

    Ａｎｄｒｅａｓ Ｓｃｈｕｓｔｅｒ在他的博客上開始用英文發(fā)布部分研究成果，也公布了各種Ｗｉｎｄｏｗｓ版本的ＥＰＲＯＣＥＳＳ和ＥＴＨＲＥＡＤ結(jié)構(gòu)，包括２０００和ＸＰ的。

    ＭａｒｉｕｓｚＢｕｒｄａｃｈ對內(nèi)存分析做出了一系列重要貢獻(xiàn)，在ＢｌａｃｋＨａｔ Ｆｅｄｅｒａｌ ２００６年會上，他做Ｔ Ｆｉｎｄｉｎｇ Ｄｉｇｉｔａｌ Ｅｖｉｄｅｎｃｅ ｉｎ Ｐｈｙｓｉｃａｌ Ｍｅｍｏｒｙ １８１的報(bào)告，指出了反數(shù)據(jù)取證的方法，普通的如數(shù)據(jù)隱藏、數(shù)據(jù)破壞，高級的ｒｏｏｔｌｄｔｓ如ＲＪｌｒ和Ｓｈａｄｏｗ Ｗａｌｋｅｒ可以欺騙取證工具。

    總結(jié)了硬件和軟件取證方法各自的有點(diǎn)和不足，闡述了Ｌｉｎｕｘ和Ｗｉｎｄｏｗｓ重要的內(nèi)核結(jié)構(gòu)，提出了通過分析進(jìn)程重要結(jié)構(gòu)，從物理內(nèi)存中恢復(fù)文件內(nèi)容以及檢測隱藏對象等技術(shù)。

    他的論文Ｄｉｇ眥ｆｏｒｅｎｓｉｃｓ ｏｆ ｔｈｅ ｐｈｙｓｉｃａｌｍｅｍｏｒｙｔｌ３】，提供了分析物理內(nèi)存鏡像的方法，即從內(nèi)存中提取有用的信息，如：正在執(zhí)行的和已經(jīng)終止的進(jìn)程的詳細(xì)信息，然后分析重要的進(jìn)程結(jié)構(gòu)。

    另外，文中提供的技術(shù)還可以分析用戶態(tài)的隱藏進(jìn)程，如用ｆｕｎｃｔｉｏｎ ｈｏｏｋｉｎｇ和ＤＫＯＭ方法隱藏的進(jìn)程。

    這篇論文被認(rèn)為是內(nèi)存分析技術(shù)在正確方向上邁出的重要一步。

    然而，他的分析是結(jié)合Ｌｕｎｉｘ系統(tǒng)做出的，雖然提到了同樣適合ＷｉＩＩｄｏｗｓ系統(tǒng)，但并沒有對此做具體分析。

    ２．３取證工具 正如其它科學(xué)一樣，計(jì)算機(jī)取證利用特殊的工具來獲取研究對象的有意義的信息。

    有兩種獲取物理內(nèi)存鏡像的方法：基于硬件的和基于軟件的方法。

    ２．３．１基于軟件的獲取工具 獲取物理內(nèi)存鏡像的常用方法是使用專用的軟件工具包。

    軟件運(yùn)行后加載到內(nèi)存，進(jìn)行數(shù)據(jù)獲取。

     · （１）ＤＤ ＤＤ是一個(gè)廣泛使用的獲取物理內(nèi)存鏡像的工具，它是一個(gè)ＬＩＮＵＸ下的工具程序，通過｝Ｄｅｖｉｃｅ｝Ｐｈｙｓｉｃａｌ Ｍｅｍｏｒｙｏｂｊｅｃｔ訪問物理內(nèi)存，Ｗｉｎｄｏｗｓ版本的ＤＤｆｌｑＧａｒｎｅｒ“４１所開發(fā)。

    ＤＤ依賴內(nèi)核鏡像功能，創(chuàng)建出特定的鏡像結(jié)構(gòu)，因此，輸出文件對于許多工具，例如Ｗｉｎｄｏｗｓ ｋｅｒｎｅｌ ｄｅｂｕｇｇｅｒ，是可讀的。

    其優(yōu)點(diǎn) ６ 山東輕工業(yè)學(xué)院碩士學(xué)位論文是：運(yùn)行程序不需要重啟系統(tǒng)，也沒有對服務(wù)的任何損壞。

    不足在于：鏡像文件與ＲＡＭ相同大小，物理內(nèi)存對象在Ｗ’ｍｄｏｗｓ Ｓｅｒｖｅｒ ２００３ ＳＰｌ下不可訪問１７１ｅ （２）Ｗｉｎｄｏｗｓ ｄｕｍｐ由于系統(tǒng)的不穩(wěn)定性而產(chǎn)生。

    當(dāng) ｃｒａｓｈ ｄｕｍｐ ｕａｔｉｔｙ ｃｒａｓｈｃｒａｓｈ ｄｕｍｐ產(chǎn)生的時(shí)候，系統(tǒng)狀態(tài)被凍結(jié)，物理內(nèi)存和交換區(qū)的內(nèi)容被拷貝到磁盤。

    ｃｒａｓｈ ｄｕｍｐ文件包括ＲＡＭ的內(nèi)容和額外的調(diào)試信息。

    輸出文件是ＤＭＰ格式，只適用于微軟的調(diào)試工具。

    其優(yōu)點(diǎn)是：通過ｃｒａｓｈ ｄｕｍｐ獲取的文件是ＲＡＭ的原封不動(dòng)的拷貝。

    不足在于：這個(gè)格式是用來滿足調(diào)試目的而不是取證目的。

    而且，只有迷你鏡像版本是可用的，完整的鏡像不可用１７１。

     基于軟件方案的主要不足是破壞了計(jì)算機(jī)取證證據(jù)收集過程的主要要求，即：任何一個(gè)用戶態(tài)或者內(nèi)核態(tài)的數(shù)據(jù)獲取工具都會改變目標(biāo)系統(tǒng)的狀態(tài)。

    當(dāng)運(yùn)行我們加載到內(nèi)存的取證工具時(shí)，它就會創(chuàng)建至少一個(gè)進(jìn)程，有可能覆蓋證據(jù)。

    也就是說，通過創(chuàng)建新進(jìn)程，操作系統(tǒng)的內(nèi)存管理系統(tǒng)在內(nèi)存中分配空間，可能覆蓋內(nèi)存中或者交換區(qū)中的原有數(shù)據(jù)。

    ２．３．２基于硬件的獲取工具 ’ 在一種理想的狀態(tài)下，我們可以避開操作系統(tǒng)，而將全部物理內(nèi)存的數(shù)據(jù)鏡像到另外的存儲設(shè)備中。

    可以掛起ＣＰＵ而通過ＤＭＡ方式傳遞數(shù)據(jù)。

    這需要使用專用的硬件打開通信端口來復(fù)制物理內(nèi)存的內(nèi)容。

    有兩種主要的實(shí)現(xiàn)技術(shù)： （１）Ｔｒｉｂｂｌｃ這個(gè)方案使用專用的ＰＣＩ卡，ＰＣＩ卡需要在事件發(fā)生前預(yù)先安裝。

    這樣，系統(tǒng)的狀態(tài)在搜尋數(shù)字證據(jù)時(shí)是保存完好的。

    其優(yōu)點(diǎn)是：使用簡單，對系統(tǒng)沒有影響。

    不足在于：預(yù)先安裝是最主要的.

下載

我要獲得 會員登錄 

  本文關(guān)鍵詞：計(jì)算機(jī)取證物理內(nèi)存鏡像獲取技術(shù)的研究與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

本文編號：118897