隨著計(jì)算機(jī)的普及,網(wǎng)絡(luò)犯罪和利用計(jì)算機(jī)的犯罪的規(guī)模和數(shù)量迅速增加,然而計(jì)算機(jī)取證學(xué)卻因?yàn)榱⒎�、缺乏專業(yè)性知識(shí)而發(fā)展緩慢。早期的計(jì)算機(jī)取證聚焦于對(duì)硬盤的取證,通過(guò)斷電獲取硬盤之后使用各種硬盤恢復(fù)手段嘗試恢復(fù)硬盤內(nèi)加密或者被抹除的數(shù)據(jù)。但是斷電的操作往往會(huì)直接造成內(nèi)存數(shù)據(jù)的丟失,而內(nèi)存狀態(tài)保存著計(jì)算機(jī)最真實(shí)的信息。然而當(dāng)前的內(nèi)存取證方式往往是基于簽名的內(nèi)存映像掃描,通過(guò)分析相同類型數(shù)據(jù)的不同實(shí)例,嘗試尋找出其中相同的屬性,用以在內(nèi)存中掃描和提取調(diào)查人員感興趣的數(shù)據(jù)結(jié)構(gòu)的實(shí)例。但是一個(gè)無(wú)法回避的問(wèn)題是,即便非常了解數(shù)據(jù)結(jié)構(gòu)的語(yǔ)法和語(yǔ)義,相關(guān)分析人員也可能無(wú)法解釋數(shù)據(jù)結(jié)構(gòu)包含的具體信息,特別是對(duì)于具有特定應(yīng)用編碼的數(shù)據(jù)結(jié)構(gòu)（例如圖像、表格、賬號(hào)密碼和格式化文件的數(shù)據(jù)結(jié)構(gòu)）這種情形非常常見,即使調(diào)查人員可能知道緩沖區(qū)正在保存照片圖像,但仍然無(wú)法渲染和理解圖像的內(nèi)容。本文系統(tǒng)的設(shè)計(jì)理念基于這樣一種觀察:定義數(shù)據(jù)結(jié)構(gòu)的應(yīng)用程序通常自身包含解釋和渲染邏輯,以便為該數(shù)據(jù)結(jié)構(gòu)生成易于理解的輸出。因此,通過(guò)識(shí)別并重用程序二進(jìn)制文件中的這種邏輯,創(chuàng)建一個(gè)掃描和渲染的工具,便可用于在內(nèi)存映像中還原數(shù)據(jù)結(jié)構(gòu)的... 

【文章來(lái)源】：湖南大學(xué)湖南省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：66 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖４．５樣例文件的數(shù)據(jù)結(jié)構(gòu)地址信息??然后通過(guò)分析內(nèi)存映像獲得程序的動(dòng)態(tài)切片，如圖４．６是ＩｍａｇｅＭａｇｉｃｋ的動(dòng)??

０ｘ６５３ａ２０．??ｄａｔａ??圖４．８二進(jìn)制模塊產(chǎn)生的所有輸出??４．５．４掃描內(nèi)存??通過(guò)使用上一節(jié)篩選過(guò)后的指令，將可以構(gòu)造一個(gè)掃描器。從圖４．９可以看??出，掃描器從內(nèi)存映像的起始地址逐步增加，對(duì)每一個(gè)字節(jié)嘗試生成出一個(gè)輸出，??這些地址記錄在文件內(nèi)，而對(duì)于一些地址，進(jìn)程將崩潰，于是該地址將不會(huì)記錄??到曰志中，掃描器將跳過(guò)該地址而從下一個(gè)地址繼續(xù)執(zhí)行，直到執(zhí)行到內(nèi)存映像??的末端。??３８??

ｓａｍｐｌｅｌ．ｐｎｇ?ｓａｍｐｌｅ２．ｐｎｇ??圖４．７二進(jìn)制程序執(zhí)行使用的兩個(gè)文件??ｓａｍｐｌｅｌ．ｐｎｇ為執(zhí)行二進(jìn)制文件所用的參數(shù)文件，ｓａｍｐｌｅ２．ｐｎｇ為獲取內(nèi)存映??像時(shí)使用的輸入文件。??Ｓｈｅｌｌ程序?qū)?huì)針對(duì)每一個(gè)候選出口指令構(gòu)建一個(gè)掃描器，對(duì)示例文件２（ｓａ??ｍｐｌｅ２．ｐｎｇ）的內(nèi)存映像進(jìn)行掃描，由于事先知道內(nèi)存中的原始文件，通過(guò)首先排??除不產(chǎn)生輸出的指令（僅留下１０，１１，１７，１９，２１號(hào)三個(gè)候選出口指令），再排??除產(chǎn)生錯(cuò)誤輸出文件的指令（１７未產(chǎn)生圖像文件，１０和１１產(chǎn)生了?ｓａｍｐｌｅｌ的圖??像文件，說(shuō)明這兩個(gè)指令在并未成功替換指針的值），最后確認(rèn)有效的出口點(diǎn)??（１９和２１），構(gòu)造最后使用的掃描器。??？？??ｍ?ｍ?ｍ??Ｓ＿１０＿０ｘ６３ｄ１７０．?Ｓ＿１１＿０ｘ６３ｄ１７０．?Ｓ＿１７＿０ｘ６４０７３０．?Ｓ＿１９＿０ｘ６３９ｆ８０．ｄｄｔａ??ｄａｔａ?ｄａｔａ?ｄａｔａ??ｓ??Ｓ＿２１＿０ｘ６５３ａ２０．??ｄａｔａ??圖４．８二進(jìn)制模塊產(chǎn)生的所有輸出??４．５．４掃描內(nèi)存??通過(guò)使用上一節(jié)篩選過(guò)后的指令

【參考文獻(xiàn)】：
期刊論文
[1]內(nèi)存取證研究與進(jìn)展[J]. 張瑜,劉慶中,李濤,吳麗華,石春.  軟件學(xué)報(bào). 2015(05)
[2]基于EPROCESS特征的物理內(nèi)存查找方法[J]. 陳龍,敬凱,董振興,田慶宜.  重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版). 2013(01)
[3]基于KPCR結(jié)構(gòu)的Windows物理內(nèi)存分析方法[J]. 郭牧,王連海.  計(jì)算機(jī)工程與應(yīng)用. 2009(18)

碩士論文
[1]內(nèi)存取證工具的研究與實(shí)現(xiàn)[D]. 桑廳.上海交通大學(xué) 2013
[2]基于Windows的易失性內(nèi)存數(shù)據(jù)取證分析方法研究[D]. 王峰.吉林大學(xué) 2012
[3]基于Windows平臺(tái)的內(nèi)存數(shù)據(jù)獲取和取證技術(shù)研究[D]. 劉洋.電子科技大學(xué) 2012



本文編號(hào)：3400081