摘要:
随着计算机科学技术的迅猛发展和网络普及,以计算机信息系统为工具和j巳罪对象的各式新型j巳罪案件频繁发生,造成的巨大危害也越来越大.怎么可以最大程度地获取计算机j巳罪相关的计算机证据,将犯罪人员绳之以法,己成为司法部门和计算机领域中需要解决的新问题.由于司法机关在处理高科技j巳罪方面缺乏必要的技术保证和支持,所以为了更好地提高打击计算机j巳罪的能力,计算机取证人员应该对该领域进行更加有效的研究,开发出一些切实有效的取证工具,以应对现今社会的需要.目前计算机取证技术作为计算机和法学两个领域的一门交叉学科正成为人们研究与关注的焦点. 本文介绍了计算机取证技术的历史,现状和发展情况,然后介绍一下开机取证.对计算机证据进行了分类易失性数据和非易失性数据,由于对非易失性数据的研究与获取已经得到完善地处理,所以易失数据取证在取证分析和异常相应领域方面变得越来越重要.随着计算机取证工具混合使用的方案的增加,恶意软件编写者将系统的内存作为探测安全性的最后突破口,而内存隐藏技术日益流行,获取一个物理内存镜像也就变得越来越重要.鉴于需要向系统内存加载内存捕获程序,那么获取镜像的操作将会改变系统的状态.所以我们介绍了诺卡德交换原理的知识. 为了获取物理内存镜像,首先需要研究windows操作系统进程的内部机理和内存管理机制,介绍windows内核进程KRP0cEss,从而了解了内存相关的信息.由于windows采用请求分页的虚拟存储技术,如果想获得进程的物理内存镜像,需要实现虚拟地址向物理地址的转换,地址转换的操作是由内存管理器来完成的.由于物理地址扩展(队E)模式的提出,地址转换的方式也所变化.本文分别对PAE模式与非PAE模式进行了详细介绍,并阐述了转移的步骤.在一些内存镜像中,高达20%使用的虚拟地址指向所谓的无效页(这些无效页不能通过使用地址的原始方法找到).本文列举无效页的不同状态,介绍了一个更加有效的地址转换策略,这个新方法合并了无效页和页文件来增加分析的完整性.同时本文还介绍了堆管理器的相关知识,为开发内存分析平台作了后续准备. 本文旨在研究物理内存镜像获取技术,现有技术是在用户态打开物理内存的内核对象来访问物理内存的,但是在windows的较高版本中为了安全性,不允许在用户态访问内核对象,只能在内核态才能访问.所以本文利用内核驱动程序访问物理内存,还介绍了一些windows API函数,从而开发出了上述两个因素的物理内存镜像获取工具.同时作者在研究windows内存管理机制时还开发了一个内存分析平台以供今后分析进程内存使用.
展开
扫一扫
3486
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
