本文選題：內(nèi)存數(shù)字取證　切入點(diǎn)：內(nèi)存數(shù)據(jù)　出處：《中南林業(yè)科技大學(xué)》2017年碩士論文　論文類型：學(xué)位論文

【摘要】：通過(guò)對(duì)64位Linux操作系統(tǒng)的存儲(chǔ)結(jié)構(gòu)進(jìn)行了研究,編程實(shí)現(xiàn)了一個(gè)內(nèi)存分析的工具。從內(nèi)存數(shù)據(jù)出發(fā),研究進(jìn)程鏈表的結(jié)構(gòu),頁(yè)式映射以及空閑頁(yè)面管理。通過(guò)內(nèi)存數(shù)據(jù)和工具得到的結(jié)果進(jìn)行對(duì)比驗(yàn)證。闡述了內(nèi)存獲取的方案,設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)內(nèi)存獲取接口 CDriverLoad。介紹了每個(gè)系統(tǒng)功能的驅(qū)動(dòng)設(shè)計(jì)思路以及驅(qū)動(dòng)具體實(shí)現(xiàn)。給出了進(jìn)程頭結(jié)點(diǎn)定位方案,分析了進(jìn)程鏈表的結(jié)構(gòu)。從內(nèi)存數(shù)據(jù)出發(fā),驗(yàn)證了進(jìn)程鏈表是一個(gè)雙向循環(huán)鏈表。闡述了虛擬地址到物理地址的轉(zhuǎn)化過(guò)程,給出了獲取CR3的方法,并且從內(nèi)存數(shù)據(jù)出發(fā),分析了每一級(jí)映射后得到的結(jié)果。研究了伙伴算法的原理,分析了成為伙伴的條件,給出了空閑頁(yè)管理的頭結(jié)點(diǎn)定位方法。分析了 ZONE_DMA的free_area[0]的數(shù)據(jù)塊,驗(yàn)證了空閑頁(yè)面管理的free_list鏈表是一個(gè)雙向循環(huán)鏈表。研究?jī)?nèi)容經(jīng)過(guò)了軟件和內(nèi)存數(shù)據(jù)的雙重驗(yàn)證。并且將研究?jī)?nèi)容編程實(shí)現(xiàn)了內(nèi)存分析工具,達(dá)到快速分析的目的,為L(zhǎng)inux操作系統(tǒng)內(nèi)存數(shù)字取證軟件設(shè)計(jì)提供理論依據(jù)和具體接口。
[Abstract]:In this paper, the storage structure of 64-bit Linux operating system is studied, and a memory analysis tool is programmed. Page mapping and free page management. Through memory data and tools to compare and verify the results. This paper designs and implements a memory acquisition interface, CDDriverLoad. it introduces the driver design idea of each system function and the implementation of the driver. It also gives the location scheme of the process header node, analyzes the structure of the process chain list, and starts with the memory data. It is verified that the process linked list is a bidirectional cyclic linked list. The transformation process from virtual address to physical address is described, and the method of obtaining CR3 is given, and based on the memory data, the process of transferring virtual address to physical address is discussed. In this paper, the results obtained from each level mapping are analyzed, the principle of partner algorithm is studied, the condition of becoming partner is analyzed, and the method of locating the head node of free page management is given. The data block of free_area [0] of ZONE_DMA is analyzed. It is verified that the free_list linked list managed by free page is a bidirectional cyclic linked list. The contents of the research are verified by software and memory data, and the research content is programmed to realize the memory analysis tool to achieve the purpose of fast analysis. It provides the theoretical basis and the concrete interface for the design of the Linux operating system memory digital forensics software.
【學(xué)位授予單位】：中南林業(yè)科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP316.81

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 段步玉;樹的一種存儲(chǔ)結(jié)構(gòu)[J];太原教育學(xué)院學(xué)報(bào);2000年S1期

2 寇斌;圖在計(jì)算機(jī)中的存儲(chǔ)結(jié)構(gòu)[J];信陽(yáng)農(nóng)業(yè)高等�？茖W(xué)校學(xué)報(bào);2002年01期

3 尹葉青;三叉樹存儲(chǔ)結(jié)構(gòu)分析比較[J];廣西民族學(xué)院學(xué)報(bào)(自然科學(xué)版);2003年02期

4 周海巖;三叉樹的一種新存儲(chǔ)結(jié)構(gòu)[J];太原理工大學(xué)學(xué)報(bào);1999年01期

5 黃橡麗,王威,王兵;樹的一種新存儲(chǔ)結(jié)構(gòu)[J];天津紡織工學(xué)院學(xué)報(bào);1997年04期

6 范年柏,蔣盛益;一種樹的存儲(chǔ)結(jié)構(gòu)[J];湖南大學(xué)學(xué)報(bào)(自然科學(xué)版);2000年01期

7 姜文志;柳玉;程紹成;;存儲(chǔ)結(jié)構(gòu)的對(duì)象仿真及其應(yīng)用[J];微計(jì)算機(jī)信息;2006年34期

8 果建民;;存儲(chǔ)結(jié)構(gòu)對(duì)比分析及選型建議[J];廣播電視信息;2010年03期

9 王海文;羅明山;;一種改進(jìn)的圖存儲(chǔ)結(jié)構(gòu)的實(shí)現(xiàn)及性能分析[J];大眾科技;2012年05期

10 宋志平,李應(yīng)紅,屈裕安;大型有向圖的三叉鏈表式存儲(chǔ)結(jié)構(gòu)[J];計(jì)算機(jī)工程與應(yīng)用;2002年21期

相關(guān)會(huì)議論文 前3條

1 謝鵬;黃立波;錢程;王志英;;通用CPU存儲(chǔ)結(jié)構(gòu)的流處理擴(kuò)展設(shè)計(jì)[A];第十六屆計(jì)算機(jī)工程與工藝年會(huì)暨第二屆微處理器技術(shù)論壇論文集[C];2012年

2 謝劍薇;劉濤;;一種基于容器存儲(chǔ)結(jié)構(gòu)的空間柵格數(shù)據(jù)管理方法[A];虛擬運(yùn)營(yíng)與云計(jì)算——第十八屆全國(guó)青年通信學(xué)術(shù)年會(huì)論文集（上冊(cè)）[C];2013年

3 李曉光;喬文;宋寶燕;于戈;任永功;;一種高效的基于圖的MLCA求解方法[A];第二十五屆中國(guó)數(shù)據(jù)庫(kù)學(xué)術(shù)會(huì)議論文集（二）[C];2008年

相關(guān)重要報(bào)紙文章 前1條

1 陳智罡;棧的復(fù)習(xí)要點(diǎn)[N];中國(guó)電腦教育報(bào);2003年

相關(guān)博士學(xué)位論文 前1條

1 謝應(yīng)科;SAR高分辨率實(shí)時(shí)成像系統(tǒng)存儲(chǔ)結(jié)構(gòu)研究[D];中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所）;2000年

相關(guān)碩士學(xué)位論文 前8條

1 傅立國(guó);面向分布存儲(chǔ)結(jié)構(gòu)的通信生成及代價(jià)評(píng)估技術(shù)研究[D];解放軍信息工程大學(xué);2014年

2 謝鵬;面向大數(shù)據(jù)的閃存三維堆疊存儲(chǔ)結(jié)構(gòu)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2014年

3 陳越佳;基于PRAM的分層存儲(chǔ)結(jié)構(gòu)設(shè)計(jì)技術(shù)研究[D];杭州電子科技大學(xué);2015年

4 毛婷;Linux存儲(chǔ)結(jié)構(gòu)分析[D];中南林業(yè)科技大學(xué);2017年

5 許諾;數(shù)據(jù)分級(jí)存儲(chǔ)結(jié)構(gòu)與算法研究[D];昆明理工大學(xué);2010年

6 王玉;多核處理器下三維片上存儲(chǔ)結(jié)構(gòu)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2011年

7 王炯;SAN存儲(chǔ)結(jié)構(gòu)在網(wǎng)管系統(tǒng)中的應(yīng)用研究[D];重慶大學(xué);2004年

8 馬學(xué)聰;基于閃存的濃縮數(shù)據(jù)立方存儲(chǔ)研究[D];華中科技大學(xué);2011年

，

本文編號(hào)：1624174