摘要:
随着信息技术的发展,计算机与网络成为社会政治,经济,文化生活的重要组成部分,而与此相关的各种计算机犯罪现象也日益突出.计算机取证技术成为打击计算机犯罪的重要手段,是目前计算机界和法学界共同研究,关注的重点. 本文介绍了计算机取证技术的现状和发展情况,比较了现有的计算机取证模式,分析了离线取证模式的不足,指出了在线取证模式研究的必要性.物理内存取证是在线取证的重要环节,也是当今的研究热点.本文旨在研究物理内存取证中的物理内存镜像获取技术.现有技术是在用户态打开\Device\PhysicalMemory内核对象来访问物理内存,然而在Windows 2003及Vista等版本下,用户态访问此内核对象受到限制,只有通过内核态才能访问.因此,需要通过驱动程序的方法.本文开发的基于内核驱动的物理内存镜像获取工具,可以解决DD等当前取证工具在Windows高端版本下使用受限的问题. 研究物理内存,首先要了解Windows操作系统内存管理机制.Windows操作系统采用请求分页的虚拟存储管理技术,通过在虚拟地址空间的页与物理地址空间的页之间建立映射,实现虚拟地址到物理地址的变换.地址变换过程由内存管理单元(MMU)自动完成,但是对取证过程中的数据比对分析,需要手工完成地址变换过程.以往的研究对地址变换的描述都是基于X86体系模型,与当前大量使用的采用物理地址扩展(PAE)模式的XP系统并不完全吻合.本文结合Windows XP SP2版本提出地址变换公式.同时,由于一直以来大量的相关文献都依赖微软所颁布的技术资料,仅以虚拟地址空间的观点来解释虚拟地址转换的过程,无法解释任意进程的虚拟地址,如何映射到物理地址空间中.本文使用进程和物理内存的观点来研究地址变换,清晰的说明了任意进程的虚拟地址空间如何在物理地址空间中定位. 本文结合Windows系统结构,阐述了内核驱动程序访问物理内存的基本原理,依照驱动程序基本框架,开发了内核驱动程序和用户态调用程序,来获取物理内存镜像,并提供了程序的核心代码.然后,对实验结果进行了分析评价. 虚拟内存文件镜像的获取,也是物理内存镜像获取的重要方面.目前还没有相关的软件.由于XP下pagefile.sys是隐藏文件,需要在磁盘上准确定位该文件.本文详细阐述了磁盘的文件系统原理,分别针对NTFS和FAT32两种文件系统,设计出获取该文件的实现方法.
展开
扫一扫
5340
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
