隨著計(jì)算機(jī)科學(xué)技術(shù)的迅猛發(fā)展和網(wǎng)絡(luò)普及，以計(jì)算機(jī)信息系統(tǒng)為工具和j巳罪對(duì)象的各式新型j巳罪案件頻繁發(fā)生，造成的巨大危害也越來(lái)越大。怎么可以最大程度地獲取計(jì)算機(jī)j巳罪相關(guān)的計(jì)算機(jī)證據(jù)，將犯罪人員繩之以法，己成為司法部門和計(jì)算機(jī)領(lǐng)域中需要解決的新問(wèn)題。由于司法機(jī)關(guān)在處理高科技j巳罪方面缺乏必要的技術(shù)保證和支持，所以為了更好地提高打擊計(jì)算機(jī)j巳罪的能力，計(jì)算機(jī)取證人員應(yīng)該對(duì)該領(lǐng)域進(jìn)行更加有效的研究，開(kāi)發(fā)出一些切實(shí)有效的取證工具，以應(yīng)對(duì)現(xiàn)今社會(huì)的需要。目前計(jì)算機(jī)取證技術(shù)作為計(jì)算機(jī)和法學(xué)兩個(gè)領(lǐng)域的一門交叉學(xué)科正成為人們研究與關(guān)注的焦點(diǎn)。本文介紹了計(jì)算機(jī)取證技術(shù)的歷史、現(xiàn)狀和發(fā)展情況，然后介紹一下開(kāi)機(jī)取證。對(duì)計(jì)算機(jī)證據(jù)進(jìn)行了分類易失性數(shù)據(jù)和非易失性數(shù)據(jù)，由于對(duì)非易失性數(shù)據(jù)的研究與獲取已經(jīng)得到完善地處理，所以易失數(shù)據(jù)取證在取證分析和異常相應(yīng)領(lǐng)域方面變得越來(lái)越重要。隨著計(jì)算機(jī)取證工具混合使用的方案的增加，惡意軟件編寫(xiě)者將系統(tǒng)的內(nèi)存作為探測(cè)安全性的最后突破口，而內(nèi)存隱藏技術(shù)日益流行，獲取一個(gè)物理內(nèi)存鏡像也就變得越來(lái)越重要。鑒于需要向系統(tǒng)內(nèi)存加載內(nèi)存捕獲程序，那么獲取鏡像的操作將會(huì)改變系統(tǒng)的狀態(tài)。所以我們... 

【文章來(lái)源】：吉林大學(xué)吉林省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：68 頁(yè)

【學(xué)位級(jí)別】：碩士

【文章目錄】：
摘要
Abstract
第1章 緒論
    1.1 研究背景
    1.2 國(guó)內(nèi)外研究現(xiàn)狀
    1.3 國(guó)內(nèi)研究現(xiàn)狀
    1.4 論文的研究?jī)?nèi)容
第2章 計(jì)算機(jī)取證基礎(chǔ)
    2.1 計(jì)算機(jī)取證的定義
    2.2 開(kāi)機(jī)取證
        2.2.1 諾卡德交換原理
        2.2.2 非易失性數(shù)據(jù)
        2.2.3 易失性數(shù)據(jù)
    2.3 內(nèi)存取證
        2.3.1 內(nèi)存分析史
        2.3.2 獲取物理內(nèi)存鏡像的工具及其優(yōu)缺點(diǎn)
第3章 windows內(nèi)存分析
    3.1 內(nèi)存管理器
    3.2 進(jìn)程的虛擬地址空間
        3.2.1 虛擬地址空間的布局結(jié)構(gòu)
        3.2.2 x86用戶地址空間的布局結(jié)構(gòu)
        3.2.3 x86系統(tǒng)的布局結(jié)構(gòu)
        3.2.4 進(jìn)程地址空間的頁(yè)面分類
    3.3 EPROcEss塊的介紹
    3.4 x86虛擬地址轉(zhuǎn)譯
        3.4.1 虛擬地址的組成部分
            3.4.1.1 頁(yè)目錄
            3.4.1.2 頁(yè)表和頁(yè)表項(xiàng)
        3.4.2 轉(zhuǎn)譯一個(gè)虛擬地址的基本步驟
        3.4.3 物理地址擴(kuò)展的內(nèi)存映射模式
        3.4.4 轉(zhuǎn)譯地址的例子
        3.4.5 頁(yè)面錯(cuò)誤處理
第4章 獲取windows內(nèi)存鏡像技術(shù)的實(shí)現(xiàn)
    4.1 利用驅(qū)動(dòng)程序來(lái)訪問(wèn)物理內(nèi)存
        4.1.1 驅(qū)動(dòng)程序的概念
        4.1.2 用DDK編譯環(huán)境編譯驅(qū)動(dòng)程序
            4.1.2.1 makefile文件
            4.1.2.2 dirs文件
            4.1.2.3 sources文件
        4.1.3 驅(qū)動(dòng)程序的基本結(jié)構(gòu)
            4.1.3.1 驅(qū)動(dòng)程序?qū)ο蠛驮O(shè)備對(duì)象
            4.1.3.2 驅(qū)動(dòng)入口函數(shù)
            4.1.3.3 DriverUnload例程
            4.1.3.4 IRP與派遣函數(shù)
            4.1.3.5 驅(qū)動(dòng)程序的加載與卸載
    4.2 獲取物理內(nèi)存鏡像的實(shí)現(xiàn)
        4.2.1 對(duì)完整的物理內(nèi)存進(jìn)行鏡像
            4.2.1.1 如何獲得內(nèi)核對(duì)象
            4.2.1.2 驅(qū)動(dòng)程序與應(yīng)用程序的交互
            4.2.1.3 內(nèi)存映射文件和內(nèi)存鏡像的保存
        4.2.2 獲取指定進(jìn)程的內(nèi)存鏡像
            4.2.2.1 獲取指定進(jìn)程
            4.2.2.2 獲取指定進(jìn)程的內(nèi)存信息
            4.2.2.3 指定進(jìn)程內(nèi)存區(qū)域的讀取
            4.2.2.4 物理內(nèi)存鏡像的保存
第5章 物理內(nèi)存鏡像獲取的相關(guān)測(cè)試
    5.1 對(duì)所獲取內(nèi)存鏡像的正確性分析
    5.2 對(duì)獲取物理內(nèi)存鏡像的時(shí)間分析
        5.2.1 cPu的性能
        5.2.2 物理內(nèi)存的大小
    5.3 內(nèi)存分析平臺(tái)測(cè)試
        5.3.1 顯示進(jìn)程列表的實(shí)現(xiàn)與測(cè)試
        5.3.2 顯示進(jìn)程虛擬內(nèi)存與堆的分布情況的實(shí)現(xiàn)與測(cè)試
        5.3.3 特定值查詢的實(shí)現(xiàn)與測(cè)試
        5.3.4 區(qū)域變化查詢的實(shí)現(xiàn)與測(cè)試
        5.3.5 完整內(nèi)存鏡像、特定進(jìn)程內(nèi)存鏡像的實(shí)現(xiàn)與測(cè)試
第6章 總結(jié)與未來(lái)展望
參考文獻(xiàn)
致謝


【參考文獻(xiàn)】：
期刊論文
[1]Windows內(nèi)核對(duì)象的查找方法研究[J]. 高宇航,高珩,鮑鵬,紀(jì)永強(qiáng).  硅谷. 2009(19)
[2]Windows內(nèi)存取證的研究與應(yīng)用[J]. 張輝,周柳陽(yáng),丁承林.  科技傳播. 2009(03)
[3]Windows內(nèi)存防護(hù)機(jī)制及其脆弱性分析[J]. 吳優(yōu)雅,高豐.  計(jì)算機(jī)安全. 2009(07)
[4]計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)模型研究[J]. 鐘秀玉.  微計(jì)算機(jī)信息. 2006(24)
[5]一種計(jì)算機(jī)取證中需求定義的方法[J]. 孫波,劉欣然,孫玉芳.  電子學(xué)報(bào). 2006(05)
[6]分布式計(jì)算機(jī)動(dòng)態(tài)取證模型[J]. 梁昌宇,吳強(qiáng),曾慶凱.  計(jì)算機(jī)應(yīng)用. 2005(06)
[7]基于UNIX系統(tǒng)的計(jì)算機(jī)取證研究[J]. 曹輝,劉建輝.  計(jì)算機(jī)安全. 2005(06)
[8]電子數(shù)據(jù)職證研究概述[J]. 孫波,孫玉芳,張相鋒,梁彬.  計(jì)算機(jī)科學(xué). 2005(02)
[9]計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J]. 王玲,錢華林.  軟件學(xué)報(bào). 2003(09)
[10]3D網(wǎng)格數(shù)字水印研究進(jìn)展[J]. 張新宇,彭維,張三元,葉修梓.  計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào). 2003(08)

博士論文
[1]計(jì)算機(jī)取證方法關(guān)鍵問(wèn)題研究[D]. 孫波.中國(guó)科學(xué)院研究生院（軟件研究所） 2004



本文編號(hào)：3165044