本文選題：內(nèi)存數(shù)字取證　切入點：內(nèi)存數(shù)據(jù)　出處：《中南林業(yè)科技大學(xué)》2017年碩士論文　論文類型：學(xué)位論文

【摘要】：通過對64位Linux操作系統(tǒng)的存儲結(jié)構(gòu)進行了研究,編程實現(xiàn)了一個內(nèi)存分析的工具。從內(nèi)存數(shù)據(jù)出發(fā),研究進程鏈表的結(jié)構(gòu),頁式映射以及空閑頁面管理。通過內(nèi)存數(shù)據(jù)和工具得到的結(jié)果進行對比驗證。闡述了內(nèi)存獲取的方案,設(shè)計并實現(xiàn)了一個內(nèi)存獲取接口 CDriverLoad。介紹了每個系統(tǒng)功能的驅(qū)動設(shè)計思路以及驅(qū)動具體實現(xiàn)。給出了進程頭結(jié)點定位方案,分析了進程鏈表的結(jié)構(gòu)。從內(nèi)存數(shù)據(jù)出發(fā),驗證了進程鏈表是一個雙向循環(huán)鏈表。闡述了虛擬地址到物理地址的轉(zhuǎn)化過程,給出了獲取CR3的方法,并且從內(nèi)存數(shù)據(jù)出發(fā),分析了每一級映射后得到的結(jié)果。研究了伙伴算法的原理,分析了成為伙伴的條件,給出了空閑頁管理的頭結(jié)點定位方法。分析了 ZONE_DMA的free_area[0]的數(shù)據(jù)塊,驗證了空閑頁面管理的free_list鏈表是一個雙向循環(huán)鏈表。研究內(nèi)容經(jīng)過了軟件和內(nèi)存數(shù)據(jù)的雙重驗證。并且將研究內(nèi)容編程實現(xiàn)了內(nèi)存分析工具,達到快速分析的目的,為Linux操作系統(tǒng)內(nèi)存數(shù)字取證軟件設(shè)計提供理論依據(jù)和具體接口。
[Abstract]:In this paper, the storage structure of 64-bit Linux operating system is studied, and a memory analysis tool is programmed. Page mapping and free page management. Through memory data and tools to compare and verify the results. This paper designs and implements a memory acquisition interface, CDDriverLoad. it introduces the driver design idea of each system function and the implementation of the driver. It also gives the location scheme of the process header node, analyzes the structure of the process chain list, and starts with the memory data. It is verified that the process linked list is a bidirectional cyclic linked list. The transformation process from virtual address to physical address is described, and the method of obtaining CR3 is given, and based on the memory data, the process of transferring virtual address to physical address is discussed. In this paper, the results obtained from each level mapping are analyzed, the principle of partner algorithm is studied, the condition of becoming partner is analyzed, and the method of locating the head node of free page management is given. The data block of free_area [0] of ZONE_DMA is analyzed. It is verified that the free_list linked list managed by free page is a bidirectional cyclic linked list. The contents of the research are verified by software and memory data, and the research content is programmed to realize the memory analysis tool to achieve the purpose of fast analysis. It provides the theoretical basis and the concrete interface for the design of the Linux operating system memory digital forensics software.
【學(xué)位授予單位】：中南林業(yè)科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP316.81

【相似文獻】

相關(guān)期刊論文 前10條

1 段步玉;樹的一種存儲結(jié)構(gòu)[J];太原教育學(xué)院學(xué)報;2000年S1期

2 寇斌;圖在計算機中的存儲結(jié)構(gòu)[J];信陽農(nóng)業(yè)高等專科學(xué)校學(xué)報;2002年01期

3 尹葉青;三叉樹存儲結(jié)構(gòu)分析比較[J];廣西民族學(xué)院學(xué)報(自然科學(xué)版);2003年02期

4 周海巖;三叉樹的一種新存儲結(jié)構(gòu)[J];太原理工大學(xué)學(xué)報;1999年01期

5 黃橡麗,王威,王兵;樹的一種新存儲結(jié)構(gòu)[J];天津紡織工學(xué)院學(xué)報;1997年04期

6 范年柏,蔣盛益;一種樹的存儲結(jié)構(gòu)[J];湖南大學(xué)學(xué)報(自然科學(xué)版);2000年01期

7 姜文志;柳玉;程紹成;;存儲結(jié)構(gòu)的對象仿真及其應(yīng)用[J];微計算機信息;2006年34期

8 果建民;;存儲結(jié)構(gòu)對比分析及選型建議[J];廣播電視信息;2010年03期

9 王海文;羅明山;;一種改進的圖存儲結(jié)構(gòu)的實現(xiàn)及性能分析[J];大眾科技;2012年05期

10 宋志平,李應(yīng)紅,屈裕安;大型有向圖的三叉鏈表式存儲結(jié)構(gòu)[J];計算機工程與應(yīng)用;2002年21期

相關(guān)會議論文 前3條

1 謝鵬;黃立波;錢程;王志英;;通用CPU存儲結(jié)構(gòu)的流處理擴展設(shè)計[A];第十六屆計算機工程與工藝年會暨第二屆微處理器技術(shù)論壇論文集[C];2012年

2 謝劍薇;劉濤;;一種基于容器存儲結(jié)構(gòu)的空間柵格數(shù)據(jù)管理方法[A];虛擬運營與云計算——第十八屆全國青年通信學(xué)術(shù)年會論文集（上冊）[C];2013年

3 李曉光;喬文;宋寶燕;于戈;任永功;;一種高效的基于圖的MLCA求解方法[A];第二十五屆中國數(shù)據(jù)庫學(xué)術(shù)會議論文集（二）[C];2008年

相關(guān)重要報紙文章 前1條

1 陳智罡;棧的復(fù)習(xí)要點[N];中國電腦教育報;2003年

相關(guān)博士學(xué)位論文 前1條

1 謝應(yīng)科;SAR高分辨率實時成像系統(tǒng)存儲結(jié)構(gòu)研究[D];中國科學(xué)院研究生院（計算技術(shù)研究所）;2000年

相關(guān)碩士學(xué)位論文 前8條

1 傅立國;面向分布存儲結(jié)構(gòu)的通信生成及代價評估技術(shù)研究[D];解放軍信息工程大學(xué);2014年

2 謝鵬;面向大數(shù)據(jù)的閃存三維堆疊存儲結(jié)構(gòu)研究[D];國防科學(xué)技術(shù)大學(xué);2014年

3 陳越佳;基于PRAM的分層存儲結(jié)構(gòu)設(shè)計技術(shù)研究[D];杭州電子科技大學(xué);2015年

4 毛婷;Linux存儲結(jié)構(gòu)分析[D];中南林業(yè)科技大學(xué);2017年

5 許諾;數(shù)據(jù)分級存儲結(jié)構(gòu)與算法研究[D];昆明理工大學(xué);2010年

6 王玉;多核處理器下三維片上存儲結(jié)構(gòu)研究[D];國防科學(xué)技術(shù)大學(xué);2011年

7 王炯;SAN存儲結(jié)構(gòu)在網(wǎng)管系統(tǒng)中的應(yīng)用研究[D];重慶大學(xué);2004年

8 馬學(xué)聰;基于閃存的濃縮數(shù)據(jù)立方存儲研究[D];華中科技大學(xué);2011年

，

本文編號：1624174