基于Windows平臺的內(nèi)存數(shù)據(jù)獲取和取證技術(shù)研究
發(fā)布時間:2024-03-04 22:17
隨著信息安全和計算機取證技術(shù)的迅猛發(fā)展,計算機犯罪的手段和使用的技術(shù)也日新月異,犯罪份子使用的技術(shù)更加隱蔽、惡意程序更加深入底層、惡意程序駐留的位置也更加多樣化,計算機犯罪的定罪也越來越困難。傳統(tǒng)的計算機取證技術(shù)更多關(guān)注的是計算機系統(tǒng)中靜態(tài)數(shù)據(jù),如硬盤、光盤等,而忽略了很多駐留在內(nèi)存中的潛在證據(jù);而且新型的惡意程序經(jīng)常隱藏在Bios、Firmware、PCI controller等地方,無法在文件系統(tǒng)中找到;再者,由于硬盤容量的不斷增長,導(dǎo)致傳統(tǒng)文件系統(tǒng)分析的難度也越來越大;但是不管惡意程序隱藏在哪里,在當(dāng)前的計算機體系結(jié)構(gòu)中,內(nèi)存是所有可執(zhí)行程序運行的地方,當(dāng)然就會留下曾經(jīng)運行過的痕跡和證據(jù),加上內(nèi)存的容量相對于硬盤等磁介質(zhì)存儲器來說還比較小,分析的速度相對來說比較快。因此研究內(nèi)存取證技術(shù)就顯得十分重要,可以更有效地打擊計算機犯罪行為。 本文的研究基于Windows NT系列操作系統(tǒng),研究了在該系列平臺下,計算機中的物理內(nèi)存鏡像的獲取和分析技術(shù),目的是為了建立從鏡像獲取到取證分析的內(nèi)存取證的框架,為了達到這個目的,本文深入研究了Windows NT系列操作系統(tǒng)的核心運行機理和虛擬內(nèi)存...
【文章頁數(shù)】:79 頁
【學(xué)位級別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 引言
1.1 研究背景
1.2 國內(nèi)外研究現(xiàn)狀
1.2.1 國外研究現(xiàn)狀
1.2.2 國內(nèi)研究現(xiàn)狀
1.3 論文主要工作和組織結(jié)構(gòu)
第二章 計算機取證概述
2.1 計算機取證的概念
2.2 計算機取證的分類
2.3 內(nèi)存鏡像獲取工具
2.3.1 基于硬件的工具
2.3.2 基于軟件的工具
2.4 本章小結(jié)
第三章 WINDOWS內(nèi)核運行機制研究
3.1 WINDOWS虛擬內(nèi)存管理機制
3.1.1 進程虛擬地址空間概述
3.1.2 分頁機制
3.1.3 虛擬地址到物理地址的轉(zhuǎn)換
3.1.4 Pagefile的處理
3.2 WINDOWS物理內(nèi)存管理機制
3.2.1 \Device\PhysicalMemory對象
3.2.2 物理內(nèi)存使用分析
3.3 WINDOWSNT系統(tǒng)的核心數(shù)據(jù)結(jié)構(gòu)
3.3.1 KPCR
3.3.2 KDBG
3.3.3 OBJECT HEADER
3.4 本章小結(jié)
第四章 內(nèi)存取證系統(tǒng)的實現(xiàn)
4.1 物理內(nèi)存鏡像獲取
4.2 內(nèi)存取證分析系統(tǒng)的框架設(shè)計
4.3 開發(fā)模型和語言的選擇
4.4 系統(tǒng)主要支持模塊的設(shè)計
4.4.1 插件模塊
4.4.2 地址空間模塊
4.4.3 系統(tǒng)profile模塊
4.4.4 對象管理模塊
4.4.5 掃描模塊
4.5 取證分析模塊的實現(xiàn)
4.5.1 映像文件識別模塊
4.5.2 枚舉進程和線程模塊
4.5.3 枚舉進程加載的DLL模塊
4.5.4 枚舉系統(tǒng)加載的驅(qū)動的模塊
4.5.5 網(wǎng)絡(luò)行為分析模塊
4.5.6 注冊表分析模塊
4.6 本章小結(jié)
第五章 系統(tǒng)測試
5.1 測試環(huán)境
5.2 主要功能測試
5.2.1 映像文件識別功能測試
5.2.2 枚舉進程功能測試
5.2.3 枚舉進程加載DLL功能測試
5.2.4 枚舉已加載內(nèi)核模塊功能測試
5.2.5 收集網(wǎng)絡(luò)行為功能測試
5.3 系統(tǒng)性能測試
5.4 本章小結(jié)
第六章 總結(jié)與未來展望
致謝
參考文獻
攻碩期間取得的研究成果
本文編號:3919250
【文章頁數(shù)】:79 頁
【學(xué)位級別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 引言
1.1 研究背景
1.2 國內(nèi)外研究現(xiàn)狀
1.2.1 國外研究現(xiàn)狀
1.2.2 國內(nèi)研究現(xiàn)狀
1.3 論文主要工作和組織結(jié)構(gòu)
第二章 計算機取證概述
2.1 計算機取證的概念
2.2 計算機取證的分類
2.3 內(nèi)存鏡像獲取工具
2.3.1 基于硬件的工具
2.3.2 基于軟件的工具
2.4 本章小結(jié)
第三章 WINDOWS內(nèi)核運行機制研究
3.1 WINDOWS虛擬內(nèi)存管理機制
3.1.1 進程虛擬地址空間概述
3.1.2 分頁機制
3.1.3 虛擬地址到物理地址的轉(zhuǎn)換
3.1.4 Pagefile的處理
3.2 WINDOWS物理內(nèi)存管理機制
3.2.1 \Device\PhysicalMemory對象
3.2.2 物理內(nèi)存使用分析
3.3 WINDOWSNT系統(tǒng)的核心數(shù)據(jù)結(jié)構(gòu)
3.3.1 KPCR
3.3.2 KDBG
3.3.3 OBJECT HEADER
3.4 本章小結(jié)
第四章 內(nèi)存取證系統(tǒng)的實現(xiàn)
4.1 物理內(nèi)存鏡像獲取
4.2 內(nèi)存取證分析系統(tǒng)的框架設(shè)計
4.3 開發(fā)模型和語言的選擇
4.4 系統(tǒng)主要支持模塊的設(shè)計
4.4.1 插件模塊
4.4.2 地址空間模塊
4.4.3 系統(tǒng)profile模塊
4.4.4 對象管理模塊
4.4.5 掃描模塊
4.5 取證分析模塊的實現(xiàn)
4.5.1 映像文件識別模塊
4.5.2 枚舉進程和線程模塊
4.5.3 枚舉進程加載的DLL模塊
4.5.4 枚舉系統(tǒng)加載的驅(qū)動的模塊
4.5.5 網(wǎng)絡(luò)行為分析模塊
4.5.6 注冊表分析模塊
4.6 本章小結(jié)
第五章 系統(tǒng)測試
5.1 測試環(huán)境
5.2 主要功能測試
5.2.1 映像文件識別功能測試
5.2.2 枚舉進程功能測試
5.2.3 枚舉進程加載DLL功能測試
5.2.4 枚舉已加載內(nèi)核模塊功能測試
5.2.5 收集網(wǎng)絡(luò)行為功能測試
5.3 系統(tǒng)性能測試
5.4 本章小結(jié)
第六章 總結(jié)與未來展望
致謝
參考文獻
攻碩期間取得的研究成果
本文編號:3919250
本文鏈接:http://sikaile.net/shekelunwen/gongan/3919250.html
教材專著
