智能手機作為一款新型的電子產(chǎn)品進入了人們的生活,人們大部分的信息交互過程都發(fā)生在智能手機上。在所有的手機平臺中,Android操作系統(tǒng)又占據(jù)著主導的地位。所以,Android手機的取證分析工作對于整治與電子工具相關的違法活動有十分重大的意義。特別地,相比于傳統(tǒng)以靜態(tài)文件為目標的Android手機取證工作,Android手機的內存取證工作可以獲得更多有價值的電子線索。然而,現(xiàn)階段大部分Android手機的內存取證方法在諸多方面存在不足:提取過程影響提取內容,缺乏一致性估計;提取內容在邏輯上離散需要額外的地址轉換工作;內存分析廣度不夠,缺乏對應用層的數(shù)據(jù)分析;內存分析深度不夠,簡單的內容匹配難以分析出應用數(shù)據(jù)之間的關聯(lián)信息。本文以解決現(xiàn)階段Android內存取證中提取和分析方法的不足為出發(fā)點,以進程內存為目標深入研究了 Android應用進程內存提取方法,評估了所提取內容在時間上的一致性,設計了以堆對象為中心的從底往上的Android應用進程內存分析方法,并在此基礎上實現(xiàn)了 Android應用進程內存分析系統(tǒng)。論文的主要研究工作如下:1.介紹了 Android取證的研究背景,并列舉了國內外...

【文章頁數(shù)】：94 頁

【學位級別】：碩士

【部分圖文】：

圖２－１操作系統(tǒng)與進程的關系??

東南大學碩士學位論文??的進程模型。??與進程的關系??統(tǒng)大多數(shù)都使用進程的概念來進行資源的分配，Ａｎｄｒｏｉｄ礎的操作系統(tǒng)。通常認為進程是一個處于工作狀態(tài)的程序個部分構成：可執(zhí)行的代碼、相關數(shù)據(jù)以及包含程序指令程上下文。操作系統(tǒng)在創(chuàng)建一個進程時，會為進程的代碼、進程活動時，維護....

圖２－２進程狀態(tài)轉移模型??

?±Ｔｋ??逞作至統(tǒng)??圖２－１操作系統(tǒng)與進程的關系??操作系統(tǒng)作為資源的管理者，正是在這個關系模型下管理資源的。操作系統(tǒng)在內存??中為進程的實體分配存儲空間，并由進程自己負責存儲空間中的數(shù)據(jù)更新，包括用戶空??間的代碼段、數(shù)據(jù)和堆。另外，操作系統(tǒng)還將自身管理的部分資源分割給進程....

圖２－４邏輯到線性的地址翻譯流程??在完成邏輯和線性的翻譯工作后，分頁單元會繼續(xù)進行線性地址到物理地址的翻譯??

……〉??圖２－３邏輯地址、線性地址和物理地址的轉換??圖２－３描述的是三種地址之間的轉換。在Ｌｉｎｕｘ操作系統(tǒng)中，處理單元首先使用硬??件上的分段單元結合內存區(qū)域中的全局描述表或者局部描述表將邏輯地址轉化成線性??地址。緊接其后，處理單元再利用內存系統(tǒng)空間中的頁目錄表和頁表將線....

圖２－５?Ｌｉｎｕｘ三級分頁機制－線性地址到物理地址的轉換??

上并且初始化。在將線性地址轉化成物理地址的過程中，處理單元會讀取頁表中的頁表??項，完成更進一步的翻譯工作。在Ｌｉｎｕｘ系統(tǒng)中采用的是三級分頁模型１４３】，這是為了有??效減小頁表提高主存的利用率。圖２－５說明了?Ｌｉｎｕｘ下線性地址到物理地址的轉化機制。??全局索§１?｜?中間....

本文編號：3929903