本文關(guān)鍵詞：面向Windows 8物理內(nèi)存鏡像文件的內(nèi)存取證技術(shù)研究

  更多相關(guān)文章： Windows8 內(nèi)存取證 進(jìn)程 線程 句柄

【摘要】：隨著計(jì)算機(jī)硬件、軟件技術(shù)的快速發(fā)展和信息技術(shù)在各行各業(yè)的普及，當(dāng)今利用計(jì)算機(jī)等相關(guān)電子設(shè)備進(jìn)行犯罪的手段和類型日趨復(fù)雜化、多元化，這對(duì)人們的日常生活和工作構(gòu)成了極大的威脅。為了有效打擊這些利用高科技的犯罪，在取證調(diào)查分析中，如何進(jìn)行最大限度地獲取計(jì)算機(jī)犯罪的相關(guān)電子證據(jù)，已成為信息安全領(lǐng)域一個(gè)新的熱點(diǎn)，而解決這一問題的有效途徑被稱作計(jì)算機(jī)取證。 計(jì)算機(jī)取證包括離線取證技術(shù)和在線取證技術(shù)。在線取證技術(shù)中基于物理內(nèi)存鏡像文件的內(nèi)存取證分析是近年來(lái)研究的熱點(diǎn)課題，目前正處于快速發(fā)展階段，還尚未形成一套完整的系統(tǒng)理論和方法。另外，由于Windows系統(tǒng)更新?lián)Q代，系統(tǒng)內(nèi)核中的數(shù)據(jù)結(jié)構(gòu)以及內(nèi)部管理機(jī)制的改變，導(dǎo)致目前的計(jì)算機(jī)取證工具并不能正確地提取分析出Windows8系統(tǒng)中的進(jìn)程、線程和對(duì)象句柄等信息。 針對(duì)上述情形，本文主要研究Windows8下基于物理內(nèi)存鏡像文件的內(nèi)存取證，論文的主要工作如下所示： ①通過(guò)深入理解微軟最新操作系統(tǒng)Windows8下內(nèi)存取證的相關(guān)原理和方法，并運(yùn)用逆向工程等分析手段，本文研究了Windows8系統(tǒng)地址空間的結(jié)構(gòu)、系統(tǒng)內(nèi)存池分配、頁(yè)式內(nèi)存管理、段式內(nèi)存管理、地址轉(zhuǎn)譯原理等許多涉及系統(tǒng)內(nèi)核層的機(jī)制。 ②通過(guò)對(duì)內(nèi)核對(duì)象結(jié)構(gòu)、進(jìn)程和線程內(nèi)部工作機(jī)制、對(duì)象句柄等信息進(jìn)行分析，從內(nèi)核對(duì)象結(jié)構(gòu)中可提取出相應(yīng)特征簽名信息�；谶@些特征簽名信息，本文提出了一種能夠從物理內(nèi)存鏡像文件中得到系統(tǒng)當(dāng)前進(jìn)程和線程信息的算法。該算法通過(guò)重構(gòu)內(nèi)核活動(dòng)進(jìn)程鏈表可以成功提取系統(tǒng)隱藏進(jìn)程和非隱藏進(jìn)程。從而能夠獲得各個(gè)進(jìn)程相關(guān)的線程信息、DLL模塊加載信息。 ③通過(guò)研究對(duì)象句柄表結(jié)構(gòu)以及句柄關(guān)聯(lián)的對(duì)象，，本文給出了對(duì)象句柄信息的提取方法，理論分析和實(shí)驗(yàn)結(jié)果都表明該方法具有較好的準(zhǔn)確率和通用性。
【關(guān)鍵詞】：Windows8 內(nèi)存取證 進(jìn)程 線程 句柄
【學(xué)位授予單位】：重慶大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2013
【分類號(hào)】：TP309;D918.2
【目錄】：

• 摘要3-4
• ABSTRACT4-8
• 1 緒論8-13
• 1.1 研究背景8-9
• 1.2 研究現(xiàn)狀9-11
• 1.2.1 國(guó)外研究現(xiàn)狀9-10
• 1.2.2 國(guó)內(nèi)研究現(xiàn)狀10-11
• 1.3 本文主要工作11-12
• 1.4 本文章節(jié)安排12-13
• 2 Windows 取證技術(shù)13-19
• 2.1 計(jì)算機(jī)取證相關(guān)概念13-14
• 2.1.1 計(jì)算機(jī)取證定義13
• 2.1.2 計(jì)算機(jī)取證技術(shù)13-14
• 2.2 取證類型14-16
• 2.2.1 離線取證技術(shù)14-15
• 2.2.2 在線取證技術(shù)15-16
• 2.3 取證的原則和步驟16-18
• 2.3.1 計(jì)算機(jī)取證基本原則16-17
• 2.3.2 計(jì)算機(jī)取證一般步驟17-18
• 2.4 Windows 8 系統(tǒng)概述18
• 2.5 本章小結(jié)18-19
• 3 Windows 內(nèi)存管理19-37
• 3.1 內(nèi)存管理概述19-21
• 3.2 系統(tǒng)內(nèi)存池21
• 3.3 虛擬地址空間21-23
• 3.4 頁(yè)式內(nèi)存管理23-29
• 3.4.1 頁(yè)式管理概述23-26
• 3.4.2 物理地址擴(kuò)展26
• 3.4.3 PAE 關(guān)閉模式26-27
• 3.4.4 PAE 開啟模式27-29
• 3.5 段式內(nèi)存管理29-32
• 3.6 地址轉(zhuǎn)譯實(shí)例32-36
• 3.7 本章小結(jié)36-37
• 4 內(nèi)存信息獲取37-63
• 4.1 內(nèi)核對(duì)象37-41
• 4.1.1 內(nèi)核對(duì)象概述37-38
• 4.1.2 內(nèi)核對(duì)象演變38-41
• 4.2 句柄41-44
• 4.2.1 對(duì)象句柄概述41-42
• 4.2.2 句柄表42-44
• 4.3 進(jìn)程內(nèi)部機(jī)制44-52
• 4.3.1 數(shù)據(jù)結(jié)構(gòu)分析44-50
• 4.3.2 進(jìn)程創(chuàng)建流程50-52
• 4.4 線程內(nèi)部機(jī)制52-56
• 4.4.1 數(shù)據(jù)結(jié)構(gòu)分析53-55
• 4.4.2 線程創(chuàng)建流程55-56
• 4.5 進(jìn)程線程信息提取56-58
• 4.5.1 進(jìn)程線程信息提取流程56-58
• 4.5.2 模塊信息提取流程58
• 4.6 對(duì)象句柄信息提取58-60
• 4.7 實(shí)驗(yàn)60-62
• 4.7.1 實(shí)驗(yàn)環(huán)境60
• 4.7.2 實(shí)驗(yàn)結(jié)果及分析60-62
• 4.8 本章小結(jié)62-63
• 5 總結(jié)與展望63-64
• 5.1 工作總結(jié)63
• 5.2 下一步工作63-64
• 致謝64-65
• 參考文獻(xiàn)65-68
• 附錄68
• A. 作者在攻讀碩士學(xué)位期間發(fā)表的論文目錄68
• B. 作者在攻讀碩士學(xué)位期間參加的科研項(xiàng)目68

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前7條

1 陳龍;王國(guó)胤;;計(jì)算機(jī)取證技術(shù)綜述[J];重慶郵電學(xué)院學(xué)報(bào)(自然科學(xué)版);2005年06期

2 胡亮;王文博;趙闊;;計(jì)算機(jī)取證綜述[J];吉林大學(xué)學(xué)報(bào)(信息科學(xué)版);2010年04期

3 張晶,劉焱;高智能犯罪研究[J];法學(xué);2005年03期

4 丁麗萍;論計(jì)算機(jī)取證的原則和步驟[J];中國(guó)人民公安大學(xué)學(xué)報(bào)(自然科學(xué)版);2005年01期

5 蔡立明;沙晶;姚偉;;計(jì)算機(jī)反取證相關(guān)問題研究[J];電信科學(xué);2010年S2期

6 郭牧;王連海;;基于KPCR結(jié)構(gòu)的Windows物理內(nèi)存分析方法[J];計(jì)算機(jī)工程與應(yīng)用;2009年18期

7 殷聯(lián)甫;計(jì)算機(jī)反取證技術(shù)研究[J];計(jì)算機(jī)系統(tǒng)應(yīng)用;2005年10期

本文編號(hào)：1115528