摘要:

随着信息技术的发展,计算机与网络成为社会政治,经济,文化生活的重要组成部分,而与此相关的各种计算机犯罪现象也日益突出.计算机取证技术成为打击计算机犯罪的重要手段,是目前计算机界和法学界共同研究,关注的重点. 本文介绍了计算机取证技术的现状和发展情况,比较了现有的计算机取证模式,分析了离线取证模式的不足,指出了在线取证模式研究的必要性.物理内存取证是在线取证的重要环节,也是当今的研究热点.本文旨在研究物理内存取证中的物理内存镜像获取技术.现有技术是在用户态打开\Device\PhysicalMemory内核对象来访问物理内存,然而在Windows 2003及Vista等版本下,用户态访问此内核对象受到限制,只有通过内核态才能访问.因此,需要通过驱动程序的方法.本文开发的基于内核驱动的物理内存镜像获取工具,可以解决DD等当前取证工具在Windows高端版本下使用受限的问题. 研究物理内存,首先要了解Windows操作系统内存管理机制.Windows操作系统采用请求分页的虚拟存储管理技术,通过在虚拟地址空间的页与物理地址空间的页之间建立映射,实现虚拟地址到物理地址的变换.地址变换过程由内存管理单元(MMU)自动完成,但是对取证过程中的数据比对分析,需要手工完成地址变换过程.以往的研究对地址变换的描述都是基于X86体系模型,与当前大量使用的采用物理地址扩展(PAE)模式的XP系统并不完全吻合.本文结合Windows XP SP2版本提出地址变换公式.同时,由于一直以来大量的相关文献都依赖微软所颁布的技术资料,仅以虚拟地址空间的观点来解释虚拟地址转换的过程,无法解释任意进程的虚拟地址,如何映射到物理地址空间中.本文使用进程和物理内存的观点来研究地址变换,清晰的说明了任意进程的虚拟地址空间如何在物理地址空间中定位. 本文结合Windows系统结构,阐述了内核驱动程序访问物理内存的基本原理,依照驱动程序基本框架,开发了内核驱动程序和用户态调用程序,来获取物理内存镜像,并提供了程序的核心代码.然后,对实验结果进行了分析评价. 虚拟内存文件镜像的获取,也是物理内存镜像获取的重要方面.目前还没有相关的软件.由于XP下pagefile.sys是隐藏文件,需要在磁盘上准确定位该文件.本文详细阐述了磁盘的文件系统原理,分别针对NTFS和FAT32两种文件系统,设计出获取该文件的实现方法.

展开

获取计算机内存镜像文件,计算机取证物理内存镜像获取技术的研究与实现相关推荐

  1. 获取计算机内存镜像文件,计算机取证中的内存镜像获取的研究与实现

    摘要: 随着计算机科学技术的迅猛发展和网络普及,以计算机信息系统为工具和j巳罪对象的各式新型j巳罪案件频繁发生,造成的巨大危害也越来越大.怎么可以最大程度地获取计算机j巳罪相关的计算机证据,将犯罪人员 ...

  2. 计算机内存 管理,试析计算机内存的优化及管理

    摘 要:现如今,计算机设备已经成为人们生活中必不可少的必需品.计算机设备的构成部分主要包括硬件设备和软件设备两大类.计算机硬件系统包含的内容相对较多,其中典型性较强,重要性较大的就是内存.计算机设备研 ...

  3. 计算机内存知识txt,计算机新手必备内存实用知识.docx

    在电脑硬件中,CPU和显卡.内存均是重中之重,因此我们在选择这些核心硬件一定要慎重考虑.下面就让小编带你去看看计算机新手必备内存实用知识,希望能帮助到大家! 内存总是不够?HBase&GeoM ...

  4. 计算机内存的故障,计算机内存出现故障的解决方法

    内存如果出现故障,会造成系统运行不稳定.程序异常出错和*作系统无法安装的故障,下面将列举内存常见的故障排除实例. 1)内存顺序引起的计算机工作不正常 故障现象:一台p4计算机,使用的是华硕intel8 ...

  5. 大型软件是否占用计算机内存,哪种计算机防病毒软件占用的内存更少

    如果有一个很好的防病毒软件占用少量计算机内存,我相信很多用户都会选择它. 毕竟,可以杀死病毒而不影响计算机运行的软件肯定是不错的. 那么,哪台计算机防病毒软件占用的内存更少? ?防病毒软件的功能,优点 ...

  6. 计算机内存知识txt,计算机内存基础知识专题

    计算机内存基础知识专题 计算机是由哪几部分组成的呢?简单的说,一个完整的计算机系统是由软件和硬件组成的.其中,硬件部分由中央处理单元(运算器和控制器).存储器和输入/输出设备构成.这次我们要谈的是存储 ...

  7. 目前计算机内存主流容量,计算机的内存容量通常是指什么?

    原文:https://www.php.cn/faq/465098.html 计算机的内存容量通常是指:随机存取存储器(RAM)的容量,是内存条的关键性参数,内存容量以MB作为单位,可以简写为M.内存的 ...

  8. 目前计算机内存主流容量,计算机的内存容量通常是指什么

    计算机的内存容量通常是指随机存储器RAM的容量,是内存条的关键性参数,内存容量以MB作为单位,可以简写为M,内存容量越大越有利于系统的运行. 计算机的内存容量通常是指随机存储器(RAM)的容量,是内存 ...

  9. linux镜像文件32,centos7光盘镜像下载32/64位

    centos7光盘镜像带给大家,通过它可以快速的安装该系统,该系统只能怪在linux环境下使用,不过它的特点就是开源性强,而且稳定,主要被一些大型企业所使用,大家感兴趣的话可以前来了解一下.cento ...

最新文章

  1. 聊聊rocketmq的ProducerImpl
  2. 【数据平台】Pytorch库初识
  3. 解决deepin微信无法登录
  4. 解读直播连麦与点播加密
  5. nagios check_mysql uptime_nagios使用check_mysql监控mysql
  6. Python学习相关资料
  7. goldendict设置使用vlc或mplayer发音
  8. IT职场人生系列之三:第一份工作
  9. Eclipse的自动编译和手动编译
  10. Mac 下的代码比对工具
  11. Ubuntu16.04上升级NVIDIA显卡驱动及安装CUDA10.0操作步骤
  12. Python开发工具PyCharm的web开发教程:创建并运行 Python 项目
  13. 放大器的频率特性(2)-- 共源极的频率特性
  14. c语言sqrt是double,实现double sqrt(double num)
  15. 红月服务器制作过程,红月3.8C私服架设教程
  16. 小鹤双拼鹤形简易入门-by小鹤双拼输入法QQ群用户-弧
  17. cocos2d 高德地图_高德地图SDK使用经验
  18. 解决笔记本电脑打字误碰触摸板的其他方法
  19. blackberry j2me 发送SMS短信
  20. LeetCode 题集:字典树

热门文章

  1. [转载]英文论文写作常用词汇及句型
  2. MMI Code设置/查询 补充业务(Supplementary Service) 流程详解
  3. 如何运营头条号自媒体?这篇文章告诉你
  4. ATTCK v10版本战术介绍-初始访问
  5. 2021年终回顾之社区
  6. 新手入门新电脑安装配置orb slam2 一步到位不踩坑(ubutun18.04)
  7. java读写excel表格数据
  8. 大师系列之彼得•林基调选股法
  9. 知识产权大数据平台_数据科学家的知识产权
  10. HTML网页div标签中嵌套其他html页面