摘要:

随着计算机科学技术的迅猛发展和网络普及,以计算机信息系统为工具和j巳罪对象的各式新型j巳罪案件频繁发生,造成的巨大危害也越来越大.怎么可以最大程度地获取计算机j巳罪相关的计算机证据,将犯罪人员绳之以法,己成为司法部门和计算机领域中需要解决的新问题.由于司法机关在处理高科技j巳罪方面缺乏必要的技术保证和支持,所以为了更好地提高打击计算机j巳罪的能力,计算机取证人员应该对该领域进行更加有效的研究,开发出一些切实有效的取证工具,以应对现今社会的需要.目前计算机取证技术作为计算机和法学两个领域的一门交叉学科正成为人们研究与关注的焦点. 本文介绍了计算机取证技术的历史,现状和发展情况,然后介绍一下开机取证.对计算机证据进行了分类易失性数据和非易失性数据,由于对非易失性数据的研究与获取已经得到完善地处理,所以易失数据取证在取证分析和异常相应领域方面变得越来越重要.随着计算机取证工具混合使用的方案的增加,恶意软件编写者将系统的内存作为探测安全性的最后突破口,而内存隐藏技术日益流行,获取一个物理内存镜像也就变得越来越重要.鉴于需要向系统内存加载内存捕获程序,那么获取镜像的操作将会改变系统的状态.所以我们介绍了诺卡德交换原理的知识. 为了获取物理内存镜像,首先需要研究windows操作系统进程的内部机理和内存管理机制,介绍windows内核进程KRP0cEss,从而了解了内存相关的信息.由于windows采用请求分页的虚拟存储技术,如果想获得进程的物理内存镜像,需要实现虚拟地址向物理地址的转换,地址转换的操作是由内存管理器来完成的.由于物理地址扩展(队E)模式的提出,地址转换的方式也所变化.本文分别对PAE模式与非PAE模式进行了详细介绍,并阐述了转移的步骤.在一些内存镜像中,高达20%使用的虚拟地址指向所谓的无效页(这些无效页不能通过使用地址的原始方法找到).本文列举无效页的不同状态,介绍了一个更加有效的地址转换策略,这个新方法合并了无效页和页文件来增加分析的完整性.同时本文还介绍了堆管理器的相关知识,为开发内存分析平台作了后续准备. 本文旨在研究物理内存镜像获取技术,现有技术是在用户态打开物理内存的内核对象来访问物理内存的,但是在windows的较高版本中为了安全性,不允许在用户态访问内核对象,只能在内核态才能访问.所以本文利用内核驱动程序访问物理内存,还介绍了一些windows API函数,从而开发出了上述两个因素的物理内存镜像获取工具.同时作者在研究windows内存管理机制时还开发了一个内存分析平台以供今后分析进程内存使用.

展开

获取计算机内存镜像文件,计算机取证中的内存镜像获取的研究与实现相关推荐

  1. linux上传挂载镜像文件,linux系统中挂载img镜像文件

    在网上下载了一个sentos的镜像文件: 2016-05-12-centos-lite-preview-bpi-m2p.img.我想在linux下把这个镜像挂载上,然后看看里面有那些文件. 我们可以把 ...

  2. 获取计算机内存镜像文件,计算机取证物理内存镜像获取技术的研究与实现

    摘要: 随着信息技术的发展,计算机与网络成为社会政治,经济,文化生活的重要组成部分,而与此相关的各种计算机犯罪现象也日益突出.计算机取证技术成为打击计算机犯罪的重要手段,是目前计算机界和法学界共同研究 ...

  3. 学计算机的什么是镜像,系统镜像文件是什么 什么叫系统镜像文件

    相信大家在阅读系统安装教程时经常会看到"系统镜像文件"这个词,那么系统镜像文件是什么意思呢?有许多用户,特别是刚接触电脑的新手不知道什么叫系统镜像文件,所以接下来就跟大家讲解系统镜 ...

  4. C++中运行一个程序的内存分配情况及qt中的内存管理机制

    一个由c/C++编译的程序占用的内存分为以下几个部分 1.栈区(stack)- 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等.其操作方式类似于数据结构中的栈. 2.堆区(heap) - 一 ...

  5. 计算机一级保存文件,计算机等级一级技巧:Word文档保存为PDF文件

    全国计算机等级考试(National Computer Rank Examination,简称NCRE)是由国家教育部考试中心主办,面向社会,用于考查应试人员计算机操作.理论应用知识与技能的全国性计算 ...

  6. 封装win7系统、制作win7GHO镜像、制作一个自定义的镜像文件具体步骤、制作Win10镜像gho

    1. 准备工作 1.1.首先需要下载IT天空的几个工具. 工具1:Easy Sysprep,一个封装部署辅助工具. 工具2:万能驱动 ,可以与EasySysprep配合使用的万能驱动包. 工具3:Ea ...

  7. 封装win7系统、制作win7GHO镜像、制作一个自定义的镜像文件具体步骤、制作Win10镜像gho...

    作者:导演你让灰太狼吃只羊  来源:CSDN  原文:https://blog.csdn.net/qq_35057426/article/details/83015516  版权声明:本文为博主原创文 ...

  8. new arraylist内存_如何避免内部类中的内存泄漏

    我先假设读者已经熟悉在Java代码中使用嵌套类的基础知识.在本文里,我将展示嵌套类的陷阱,内部类在JVM中引起内存泄漏和内存不足错误的地方.之所以会发生这种类型的内存泄漏,是因为内部类必须始终能够访问 ...

  9. 数据共享,内存映射文件和虚拟内存,共享内存

    一.内存映射 内存映射文件允许开发人员预定一块地址空间区域并给区域调拨物理存储器.内存映射文件的物理存储器来自磁盘已有的文件,而不是来自系统的页交换文件.一旦把文件映射到地址空间,就可以对它进行访问, ...

最新文章

  1. 基于YOLOv5的智慧工地实现---安全帽检测(2)
  2. TCP/IP协议(三次握手)
  3. 公益:开放一台Nacos服务端给各位Spring Cloud爱好者
  4. 使用的postman心得
  5. eShopOnContainers 是一个基于微服务的.NET Core示例框架
  6. SP1026 FAVDICE - Favorite Dice 期望dp
  7. java小程序小游戏代码贪吃蛇,附高频面试题合集
  8. javascript学习系列(7):数组中的concat方法
  9. linux c语言 电子相册,纯C语言开发(电子相册).doc
  10. 开始看看repast建模方面的东西
  11. 创建你的战略型人际网络
  12. 计算机信息技术结束语,新学期初二年级计算机信息技术课第四节结尾
  13. python怎么才能不挂科_如何才能在大学里不挂科?
  14. android 点击接口回调,带你了解Android接口回调机制
  15. windows下的host文件在哪里,有什么作用?
  16. 微信新功能,拍一拍的背后,暗藏着商机
  17. 【因式分解】莫比乌斯函数
  18. c语言输出菱形13579,C语言怎样输出菱形
  19. matlab模拟高尔顿板实验,高尔顿钉板试验模拟
  20. 我现在是读的中专,读书的意义是什么?

热门文章

  1. iOS手势UIGustureRecognizer
  2. CRM软件设计评测点与采集测评点
  3. b/s c/s结构的区别!
  4. http详解 请求报文格式和响应报文格式
  5. vue.js框架:数组的各种变异方法
  6. RabbitMQ六种队列模式-主题模式
  7. 微信获取位置 转化为 高德地图 位置 地址
  8. 18 | 散列表(上):Word文档中的单词拼写检查功能是如何实现的?
  9. vbs 连oracle 负载均衡,(原)QTP中用VBS调用PLSQL并执行相关语句
  10. 【BZOJ4559】【JLOI2016】—成绩比较(拉格朗日插值+dp)