本文關(guān)鍵詞：計(jì)算機(jī)取證物理內(nèi)存鏡像獲取技術(shù)的研究與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

【山東警察學(xué)院論文欄目提醒】：網(wǎng)學(xué)會(huì)員為需要山東警察學(xué)院論文的朋友們搜集整理了計(jì)算機(jī)取證物理內(nèi)存鏡像獲取技術(shù)的研究與實(shí)現(xiàn) - 碩士論文相關(guān)資料，希望對(duì)各位網(wǎng)友有所幫助!

山東輕工業(yè)學(xué)院 碩士學(xué)位論文計(jì)算機(jī)取證物理內(nèi)存鏡像獲取技術(shù)的研究與實(shí)現(xiàn) 姓名：陳恒 申請(qǐng)學(xué)位級(jí)別：碩士 專(zhuān)業(yè)：計(jì)算機(jī)應(yīng)用技術(shù) 指導(dǎo)教師：王連海 20090609 山東輕工業(yè)學(xué)院碩士學(xué)位論文 摘 要 隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)與網(wǎng)絡(luò)成為社會(huì)政治、經(jīng)濟(jì)、文化生活的重要組成部分，而與此相關(guān)的各種計(jì)算機(jī)犯罪現(xiàn)象也日益突出。

    計(jì)算機(jī)取證技術(shù)成為打擊計(jì)算機(jī)犯罪的重要手段，是目前計(jì)算機(jī)界和法學(xué)界共同研究、關(guān)注的重點(diǎn)。

     本文介紹了計(jì)算機(jī)取證技術(shù)的現(xiàn)狀和發(fā)展情況，比較了現(xiàn)有的計(jì)算機(jī)取證模式，分析了離線取證模式的不足，指出了在線取證模式研究的必要性。

    物理內(nèi)存取證是在線取證的重要環(huán)節(jié)，也是當(dāng)今的研究熱點(diǎn)。

    本文旨在研究物理內(nèi)存取證中的物理內(nèi)存鏡像獲取技術(shù)。

    現(xiàn)有技術(shù)是在用戶(hù)態(tài)打開(kāi)ｋＤｅｖｉｃｅＷｈｙｓｉｃａｌＭｅｍｏｒｙ內(nèi)核對(duì)象來(lái)訪問(wèn)物理內(nèi)存，然而在Ｗ’ｍｄｏｗｓ ２００３及Ｖｉｓｔａ等版本下，用戶(hù)態(tài)訪問(wèn)此內(nèi)核對(duì)象受到限制，只有通過(guò)內(nèi)核態(tài)才能訪問(wèn)。

    因此，需要通過(guò)驅(qū)動(dòng)程序的方法。

    本文開(kāi)發(fā)的基于內(nèi)核驅(qū)動(dòng)的物理內(nèi)存鏡像獲取工具，可以解決ＤＤ等當(dāng)前取證工具在Ｗ’ｍｄｏｗｓ高端版本下使用受限的問(wèn)題。

     研究物理內(nèi)存，首先要了解Ｗｉｎｄｏｗｓ操作系統(tǒng)內(nèi)存管理機(jī)制。

    Ｗｉｎｄｏｗｓ操作系統(tǒng)采用請(qǐng)求分頁(yè)的虛擬存儲(chǔ)管理技術(shù)，通過(guò)在虛擬地址空間的頁(yè)與物理地址空間的頁(yè)之間建立映射，實(shí)現(xiàn)虛擬地址到物理地址的變換。

    地址變換過(guò)程由內(nèi)存管理單元（刪）自動(dòng)完成，但是對(duì)取證過(guò)程中的數(shù)據(jù)比對(duì)分析，需要手工完成地址變換過(guò)程。

    以往的研究對(duì)地址變換的描述都是基于Ｘ８６體系模型，與當(dāng)前大量使用的采用物理地址擴(kuò)展（ＰＡＥ）模式的ＸＰ系統(tǒng)并不完全吻合。

    本文結(jié)合ＷｉｎｄｏｗｓＸＰ ＳＰ２版本提出地址變換公式。

    同時(shí)，由于一直以來(lái)大量的相關(guān)文獻(xiàn)都依賴(lài)微軟所頒布的技術(shù)資料，僅以虛擬地址空間的觀點(diǎn)來(lái)解釋虛擬地址轉(zhuǎn)換的過(guò)程，無(wú)法解釋任意進(jìn)程的虛擬地址，如何映射到物理地址空間中。

    本文使用進(jìn)程和物理內(nèi)存的觀點(diǎn)來(lái)研究地址變換，清晰的說(shuō)明了任意進(jìn)程的虛擬地址空間如何在物理地址空間中定位。

     本文結(jié)合Ｗｉｎｄｏｗｓ系統(tǒng)結(jié)構(gòu)，闡述了內(nèi)核驅(qū)動(dòng)程序訪問(wèn)物理內(nèi)存的基本原理，依照驅(qū)動(dòng)程序基本框架，開(kāi)發(fā)了內(nèi)核驅(qū)動(dòng)程序和用戶(hù)態(tài)調(diào)用程序，來(lái)獲取物理內(nèi)存鏡像，并提供了程序的核心代碼。

    然后，對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行了分析評(píng)價(jià)。

     虛擬內(nèi)存文件鏡像的獲取，也是物理內(nèi)存鏡像獲取的重要方面。

    目前還沒(méi)有相關(guān)的軟件。

    由于Ⅻ下ｐａｇｅｆｉｌｅ．ｓｙｓ是隱藏文件，需要在磁盤(pán)上準(zhǔn)確定位該文件。

    本文詳細(xì)闡述了磁盤(pán)的文件系統(tǒng)原理，分別針對(duì)ＮＴＦＳ和ＦＡＴ３２兩種文件系統(tǒng)，設(shè)計(jì)出獲取該文件的實(shí)現(xiàn)方法。

    關(guān)鍵詞：計(jì)算機(jī)取證；物理內(nèi)存鏡像；內(nèi)核驅(qū)動(dòng)：文件系統(tǒng)：虛擬內(nèi)存 山東輕工業(yè)學(xué)院碩士學(xué)位論文 ＡＢ ＳＴＲＡＣＴ Ｗｉｔｈ ｔｈｅ ｄｅｖｅｌｏｐｍｅｎｔ ｏｆ ｉｎｆｏｒｍａｔｉｏｎ ｔｅｃｈｎｏｌｏｇｙ，ｃｏｍｐｕｔｅｒ ａｎｄ ｎｅｔｗｏｒｋ ａ托ｐｌａｙｉｎｇ ａ ｍｏｒｅ ａｎｄ ｍｏｒｅ ｉｍｐｏｒｔａｎｔ ｒｏｌｅ ｉｎ ｓｏｃｉａｌ，ｐｏｌｉｔｉｃａｌ，ｅｃｏｎｏｍｙ ａｎｄ ｃｕｌｔｕｒａｌａｒｅａｓ，ｃｏｍｐｕｔｅｒ ｃｒｉｍｅｓ ｉｎ ｄｉ．ｇｉｔａｌ ｗｏｒｌｄ ａ他ｂｅｃｏｍｉｎｇ ｓｅｒｉｏｕｓ ｉｓｓｕｅｓ ｃｏｎｓｅｑｕｅｎｔｌｙ．Ｃｏｍｐｕｔｅｒ ｆｏｒｅｎｓｉｃｓ ｉｓ ａｎ ｅｓｓｅｎｔｉａｌ ａｐｐｒｏａｃｈ ｔｏ ｃｈａｒｇｉｎｇ ｃｏｍｐｕｔｅｒ ｃｒｉｍｅｓ ａｎｄ ｈａｓｂｅｃｏｍｅ ｔｈｅ ｃｏｍｍｏｎ ｃｏｎｃｅｒｎ ｏｆ ｓｔｕｄｙ ｉｎ ｔｈｅ ｃｏｍｐｕｔｅｒ ｓｃｉｅｎｃｅ ａｎｄ ｌａｗ ｆｉｅｌｄ． Ｔｈｅ ｔｈｅｓｉｓ ｉｎｔｒｏｄｕｃｅｓ ｔｈｅ ｃｕｒｒｅｎｔ ｓｔａｔｅ ａｎｄ ｉｔｓ ｄｅｖｅｌｏｐｍｅｎｔ ｏｎ ｃｏｍｐｕｔｅｒ ｆｏｒｅｎｓｉｃｓ．Ｉｔ ｃｏｍｐａｒｅｓ ｔｈｅ ｃｕｒｒｅｎｔ ｃｏｍｐｕｔｅｒ ｆｏｒｅｎｓｉｃｓ ｍｏｄｅ，ａｎａｌｙｓｅｓ ｔｈｅ ｄｅｆｉｃｉｅｎｃｙ ｏｆ ｔｈｅｏｆｆｌｉｎｅ ｍｏｄｅ ａｎｄ ｉｎｄｉｃａｔｅｓ ｔｈｅ ｎｅｃｅｓｓｉｔｙ ｏｆ ｒｅｓｅａｒｃｈｉｎｇ ｏｎｌｉｎｅ ｍｏｄｅ．Ｐｈｙｓｉｃａｌｍｅｍｏｒｙ ｆｏｒｅｎｓｉｃｓ ｉｓ ｔｈｅ ｉｍｐｏｒｔａｎｔ ｐａｒｔ ｏｆ ｔｈｅ ｏｎｌｉｎｅ ｆｏｒｅｎｓｉｃｓ ａｎｄ ａｌｓｏ ｔｈｅ ｃｕｒｒｅｎｔｒｅｓｅａｒｃｈ ｈｏｔｓｐｏｔ．１１艙ｔｈｅｓｉｓ ａｉｍｓ ａｔ ｒｅｓｅａｒｃｈｉｎｇ ｔｈｅ ａｃｑｕｉｓｉｔｉｏｎ ｏｆ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙｉｍａｇｅ ｉｎ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｆｏｒｅｎｓｉｃｓ．Ｔｈｅ ｃｕｒｒｅｎｔ ｍｅｔｈｏｄｓ ｖｉｓｉｔ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｂｙｏｐｅｎｉｎｇ ＰｈｙｓｉｃａＩＭｅｍｏｒｙ ｋｅｒｎｅｌ ｏｂｊｅｃｔ ｉｎ ｕｓｅｒｍｏｄｅ．Ｈｏｗｅｖｅｒ，ｉｔ ｉｓ ｐｒｏｈｉｂｉｔｅｄ ｔｏ�。螅椋簦耄澹颍睿澹� ｏｂｊｏｃｔ ｉｎ ｕｓｅｒｍｏｄｅ ｕｎｄｅｒ Ｗｉｎｄｏｗｓ ２００３，Ｖｉｓｔａ，ａｎｄ ＳＯ ｏｎ．Ｉｔ Ｃａｎ ｂｅ ｖｉｓｉｔｅｄｏｎｌｙ ｂｙ ｋｅｒｎｅｌ ｄｒｉｖｅｒｓ．Ｓｏ，ｉｔ ｉｓ ｎｅｃｅｓｓａｒｙ ｔｏ ｄｅｖｅｌｏｐ ｄｒｉｖｅｒｓ．Ｔｈｅ ｔｏｏｌｓ ｆｏｒ ｏｂｔａｉｎｉｎｇｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｍａｇｅ ｂａｓｅｄ ｏｎ ｋｅｒｎｅｌ ｄｒｉｖｅｒ ｄｅｖｅｌｏｐｅｄ ｉｎ ｔｈｉｓ ｔｈｅｓｉｓ Ｃａｎ ｒｅｓｏｌｖｅ ｔｈｅｕｎａｖａｉｌａｂｉｌｉｔｙ ｏｆ ｔｈｅ ｃｕｒｒｅｎｔ ｆｏｒｅｎｓｉｃ ｔｏｏｌｓ ａｓ ＤＤ ｕｎｄｅｒ Ｗｉｎｄｏｗｓ ｈｉｇｈｅｒ ｅｄｉｔｉｏｎ． Ｔｏ ｒｅｓｅａｒｃｈ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ，ｌｅａｒｎｉｎｇ ａｂｏｕｔ ｔｈｅ Ｗｉｎｄｏｗｓ ｍｅｍｏｒｙ ｍａｎａｇｅｍｅｎｔｍｅｃｈａｎｉｓｍ ｉｓ ｎｅｃｅｓｓａｒｙ ａｔ ｆｉｒｓｔ．Ｗｉｎｄｏｗｓ ｏｐｅｒａｔｉｎｇ ｓｙｓｔｅｍ ｕｓｉｎｇ ｐａｇｅｄ ｖｉｒｔｕａｌｍｅｍｏｒｙ ｍａｎａｇｅｍｅｎｔ ｔｅｃｈｎｏｌｏｇｙ．Ｔｈｅ ｔｒａｎｓｌａｔｉｏｎ ｆｒｏｍ ｖｉｒｔｕａｌ ａｄｄｒｅｓｓ ｔｏ ｐｈｙｓｉｃａｌａｄｄｒｅｓｓ ｉｓ ｒｅａｌｉｚｅｄ ｂｙ ｅｓｔａｂｌｉｓｈｉｎｇ ｐａｇｅ ｍａｐｐｉｎｇ ｆｒｏｍ ｖｉｒｔｕａｌ ａｄｄｒｅｓｓ ａｐａｃｅ ｔｏｐｈｙｓｉｃａｌ ａｄｄｒｅｓｓ ａｐａｃｅ．Ｔｈｅ ｔｒａｎｓｌａｔｉｏｎ ｉＳ ｉｍｐｌｅｍｅｎｔｅｄ ｂｙ眥，．Ｈｏｗｅｖｅｒ，ｔｒａｎｓｌａｔｉｎｇ ｍａｎｕａｌｌｙ ｉｓ ｎｅｅｄｅｄ ｆｏｒ ｃｏｍｐａｒｉｎｇ ａｎｄ ａｎａｌｙｚｉｎｇ ｔｈｅ ｅｘｐｅｒｉｍｅｎｔａｌ ｄａｔａ．Ｔｈｅ ｐａｓｔ ｄｅｓｃｒｉｐｔｉｏｎ ｏｆ ａｄｄｒｅｓｓ ｔｒａｎｓｌａｔｉｏｎ ｂａｓｅｄ ｏｎ ｘ８６ ｓｙｓｔｅｍ ｍｏｄｅ．Ｉｔ ｉＳ ｄｉｆｆｅｒｅｎｔｆｒｏｍ ｔｈｅ ｐｏｐｕｌａｒ ＸＰ ｓｙｓｔｅｍ ｗｉｔｈ ＰＡＥ．Ｔｈｅ ｔｈｅｓｉｓ ｏｆｆｅｒｓ ａｄｄｒｅｓｓ ｔｒａｎｓｌａｔｉｏｎ ｆｏｒｍｕｌａｗｉｔｈ Ｗｉｎｄｏｗｓ ＸＰ ＳＰ２ ｅｄｉｔｉｏｎ．Ｍｅａｎｗｈｉｌｅ，ｓｉｎｃｅ ｐｌｅｎｔｙ ｏｆ ｒｅｌａｔｉｖｅ ｄｏｃｕｍｅｎｔｓ ｒｅｌｙｉｎｇｏｎ ｔｈｅ ｔｅｃｈｎｉｃａｌ ｄａｔａ ｉｓｓｕｅｄ ｂｙ Ｍｉｃｒｏｓｏｆｔ ｆｏｒ ｓｅｖｅｒａｌ ｙｅａｒｓ，ｉｔ ｉＳ ｈａｒｄ ｔｏ ｅｘｐｌａｉｎ ｈｏｗｔｈｅ ｖｉｒｔｕａｌ ａｄｄｒｅｓｓ ｏｆ ａｎｙ ｐｒｏｃｅｓｓ ｍａｐｐｉｎｇ ｔｏ ｐｈｙｓｉｃａｌ ａｄｄｒｅｓｓ ｓｐａｃｅ ｊｕｓｔ ｂｙ ｔｈｅ ｖｉｅｗｏｆ ｖｉｒｔｕａｌ ａｄｄｒｅｓｓ ｓｐａｃｅ．Ｔｈｅ ａｄｄｒｅｓｓ ｔｒａｎｓｌａｔｉｏｎ ｉｓ ｒｅｓｅａｒｃｈｅｄ ｂｙ ｔｈｅ ｖｉｅｗ ｏｆ ｐｒｏｃｅｓｓａｎｄ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｎ ｔｈｉｓ ｔｈｅｓｉｓ．Ｉｔ ｉｓ ｃｌｅａｒｌｙ ｓｈｏｗｎ ｔｈａｔ ｈｏｗ ｔｏ ｌｏｃａｌｉｚｅ ｔｈｅ ｖｉｒｔｕａｌａｄｄｒｅｓｓ ｓｐａｃｅ ｏｆ ａｎｙ ｐｒｏｃｅｓｓ ｉｎ ｔｈｅ ｐｈｙｓｉｃａｌ ａｄｄｒｅｓｓ ｓｐａｃｅ． ＷｉⅡｌ Ｗｉｎｄｏｗｓ ｓｙｓｔｅｍ ｓｔｒｕｃｔｕｒｅ，Ｔｔｌｃ ｔｈｅｓｉｓ ｉｎｄｉｃａｔｅｓ ｔｈｅ ｂａｓｉｃ ｐｒｉｎｃｉｐｌｅ ｏｆｖｉｓｉｔｉｎｇ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｂｙ ｋｅｒｎｅｌ ｄｒｉｖｅｒｓ．Ｂａｓｅｄ ｏｎ ｔｈｅ ｄｅｖｅｌｏｐｉｎｇ ｆｌａｍｅ ｆｏｒ ｄｒｉｖｅｒｓ，ｋｅｒｎｅｌ ｄｒｉｖｅｒｓ ａｎｄ ｕｓｅｒ ｐｒｏｇｒａｍ ｆｏｒ ａｃｑｕｉｒｉｎｇ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｍａｇｅ ａｒｅ ｄｅｖｅｌｏｐｅｄｔｏ ｏｂｔａｉｎ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｍａｇｅ ａｎｄ ｔｈｅ ｎｕｃｌｅａｒ ｃｏｄｅｓ ａｒｅ ｏｆｆｅｒｅｄ．Ｔｈｅｎ，ｔｈｅｅｘｐｅｒｉｍｅｎｔ ｒｅｓｕｌｔｓ ａｒｅ ａｎａｌｙｚｅｄ． Ｔｈｅ ａｃｑｕｉｓｉｔｉｏｎ ｏｆ ｖｉｒｔｕａｌ ｍｅｍｏｒｙ ｆｉｌｅ ｉｍａｇｅ ｉｓ ａｌｓｏ ｉｍｐｏｒｔａｎｔ ｐａｒｔ ｏｆ ａｃｑｕｉｓｉｔｉｏｎｏｆ ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｍａｇｅ．Ｃｕｒｒｅｎｔｌｙ，ｔｈｅｒｅ ｉｓ ｎｏ ｒｅｌａｔｉｖｅ ｓｏｆｔｗａｒｅ．Ｂｅｃａｕｓｅ ｔｈｅｐａｇｅｆｉｌｅ．ｓｙｓ ｕｎｄｅｒ ＸＰ ｉｓ ｃｏｎｃｅａｌｅｄ ｆｉｌｅ，ｉｔ ｉｓ ｎｅｃｅｓｓａｒｙ ｔｏ ｌｏｃａｔｅ ｔｈｉｓ ｆｉｌｅ ｏｎ ｄｉｓｋ．Ｄｉｓｋｆｉｌｅ ｓｙｓｔｅｍ ｉｓ ｅｘｐａｔｉａｔｅｄ ｉｎ ｄｅｔａｉｌ ａｎｄ ｍｏｄｕｌｅｓ ｕｓｉｎｇ ｄｉｆｆｅｒｅｎｔ ｍｅｔｈｏｄｓ ｆｏｒ ＮＴＦＳ ａｎｄＦＡＴ３２ ｆｉｌｅ ｓｙｓｔｅｍ ａｒｅ ｄｅｓｉｇｎｅｄ．Ｋｅｙ Ｗｏｒｄｓ：ｃｏｍｐｕｔｅｒ ｆｏｒｅｎｓｉｃｓ；ｐｈｙｓｉｃａｌ ｍｅｍｏｒｙ ｉｍａｇｅ；ｋｅｒｎｅｌ ｄｒｉｖｅｒｓ；ｆｉｌｅ ｓｙｓｔｅｍ； ｖｉｒｔｕｅ ｍｅｍｏｒｙ Ⅱ 學(xué)位論文獨(dú)創(chuàng)性聲明 本人聲明，所呈交的學(xué)位論文系在導(dǎo)師指導(dǎo)下本人獨(dú)立完成的研究成果。

    文中引用他人的成果，均已做出明確標(biāo)注或得到許可。

    論文內(nèi)容未包含法律意義上已屬于他人的任何形式的研究成果，也不包含本人已用于其他學(xué)位申請(qǐng)的論文或成果，與我一同工作的同志對(duì)本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說(shuō)明并表示謝意。

    論文作者簽名：二盛！絲 日期：蘭！１２年＿Ｊ厶月二王日 學(xué)位論文知識(shí)產(chǎn)權(quán)權(quán)屬聲明 本人在導(dǎo)師指導(dǎo)下所完成的論文及相關(guān)的職務(wù)作品，知識(shí)產(chǎn)權(quán)歸屬山東輕工業(yè)學(xué)院。

    山東輕工業(yè)學(xué)院享有以任何方式發(fā)表、復(fù)制、公開(kāi)閱覽、借閱以及申請(qǐng)專(zhuān)利等權(quán)利，同意學(xué)校保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交論文的復(fù)印件和電子版，本人離校后發(fā)表或使用學(xué)位論文或與該論文直接相關(guān)的學(xué)術(shù)論文或成果時(shí)，署名單位仍然為山東輕工業(yè)學(xué)院。

    論文作者簽名：二醢絲 日期：絲盟年上月丑日導(dǎo)師簽名：籃墮 日期：一．盟年Ｊ￡月２≠日 山東輕工業(yè)學(xué)院碩士學(xué)位論文 第ｌ章緒論１．１研究背景 當(dāng)今，人類(lèi)社會(huì)已經(jīng)步入信息化時(shí)代。

    計(jì)算機(jī)技術(shù)的迅速發(fā)展，以及網(wǎng)絡(luò)的廣泛使用，使計(jì)算機(jī)成為國(guó)家的重要基礎(chǔ)設(shè)施和社會(huì)生活不可或缺的組成部分。

    行政司法、經(jīng)濟(jì)金融、醫(yī)療衛(wèi)生、國(guó)防軍工、能源通信、教育就業(yè)以及娛樂(lè)休閑等各個(gè)領(lǐng)域，都依賴(lài)計(jì)算機(jī)的數(shù)據(jù)計(jì)算和網(wǎng)絡(luò)提供的信息傳播，其與信息技術(shù)的關(guān)系日益密切。

     然而，計(jì)算機(jī)技術(shù)的發(fā)展，如同其它科學(xué)技術(shù)一樣，在極大提高了社會(huì)生產(chǎn)力、給人們帶來(lái)諸多便利的同時(shí)，計(jì)算機(jī)犯罪也已嚴(yán)重地滲透到社會(huì)生活的各個(gè)層面。

    自上世紀(jì)六十年代計(jì)算機(jī)犯罪出現(xiàn)以來(lái)，受其侵害的領(lǐng)域越來(lái)越廣泛，其危害程度也越來(lái)越深遠(yuǎn)。

    從最早的修改計(jì)算機(jī)信息、利用計(jì)算機(jī)病毒破壞計(jì)算機(jī)系統(tǒng)軟硬件設(shè)備等侵害計(jì)算機(jī)系統(tǒng)安全的行為，發(fā)展到利用木馬進(jìn)行金融盜竊、銀行詐騙、竊取個(gè)人隱私，甚至直接利用互聯(lián)網(wǎng)進(jìn)行色情傳播、煽動(dòng)民族分裂、散步反動(dòng)言論等損害個(gè)人利益和危害國(guó)家安全的程度。

    美國(guó)因計(jì)算機(jī)犯罪造成的年損失達(dá)幾十億、甚至上百億美元，英、德的年損失也達(dá)幾十億美元。

    我國(guó)從１９８６年開(kāi)始出現(xiàn)計(jì)算機(jī)犯罪，九十年代間案件就以每年３０％的速度遞增，近些年更是呈在各行業(yè)中滋生蔓延的趨勢(shì)¨’川。

    計(jì)算機(jī)犯罪就是與時(shí)代共同發(fā)展的高技術(shù)犯罪，已成為世界各國(guó)共同面臨的重大社會(huì)問(wèn)題。

     司法的滯后性是計(jì)算機(jī)犯罪‘ｍ ３８·豫朔日益猖獗的一個(gè)重要原因。

    為了維護(hù)社會(huì)穩(wěn)定和諧，保障人們的財(cái)產(chǎn)和隱私安全，促進(jìn)信息技術(shù)的良好發(fā)展，打擊計(jì)算機(jī)犯罪，提高司法機(jī)關(guān)的對(duì)抗能力，具有重要的現(xiàn)實(shí)意義。

    其中的關(guān)鍵技術(shù)之一就是計(jì)算機(jī)取證技術(shù)‘４＆捌。

    １．２國(guó)內(nèi)外相關(guān)研究評(píng)述１．２．１國(guó)外研究現(xiàn)狀 在國(guó)外，如美國(guó)等科技比較發(fā)達(dá)的國(guó)家，打擊計(jì)算機(jī)犯罪已經(jīng)有了二十多年的歷史。

    自１９８４年開(kāi)始，美國(guó)ＦＢＩ實(shí)驗(yàn)室就開(kāi)始著手研究計(jì)算機(jī)取證，隨后，ＦＢＩ成立了計(jì)算機(jī)分析響應(yīng)組（ＣＡＲＴ）〔２１，專(zhuān)門(mén)進(jìn)行計(jì)算機(jī)證據(jù)的分析。

    很快，其它國(guó)家也紛紛效仿其功能和組織結(jié)構(gòu)，建立起相應(yīng)執(zhí)法機(jī)構(gòu)。

    由此，計(jì)算機(jī)取 第１章緒論證的研究逐步興起。

     進(jìn)入九十年代，計(jì)算機(jī)取證的研究進(jìn)一步發(fā)展。

    美國(guó)聯(lián)邦犯罪調(diào)查實(shí)驗(yàn)室的專(zhuān)家們創(chuàng)立了“數(shù)字取證科學(xué)工作組（ＳＷＧＤＥ）一，提出了“計(jì)算機(jī)潛在證據(jù)（１ａｔｅｎｔｅｖｉｄｅｎｃｅ ｏｎ ａ ｃｏｍｐｕｔｅｒ）”的概念。

    １９９１年，計(jì)算機(jī)專(zhuān)家國(guó)際聯(lián)盟（ＩｎｔｅｒｎａｔｉｏｎａｌＡｓｓｏｃｉａｔｉｏｎ ｏｆ Ｃｏｍｐｕｔｅｒ Ｓｐｅｃｉａｌｉｓｔｓ．ＩＡＣＩＳ）在美國(guó)俄勒岡州波特蘭市舉行的第一次培訓(xùn)會(huì)中正式提出了計(jì)算機(jī)取證（Ｃｏｍｐｕｔｅｒ Ｆｏｒｅｎｓｉｃｓ）的概念ｕ１。

    隨后，新的概念、定義、標(biāo)準(zhǔn)、工作組、研究團(tuán)隊(duì)不斷出現(xiàn)，美國(guó)司法機(jī)關(guān)也已經(jīng)建立起自己的計(jì)算機(jī)取證實(shí)驗(yàn)室。

    計(jì)算機(jī)取證的理論、方法、技術(shù)已經(jīng)基本確立。

     隨著司法工作的進(jìn)一步開(kāi)展，對(duì)實(shí)用的計(jì)算機(jī)取證工具的需求越來(lái)越強(qiáng)烈。

    于是，市場(chǎng)上涌現(xiàn)了適用于各種用途的取證工具。

    比較著名的有以下幾種產(chǎn)品，如美國(guó)ＧＵＩＤＡＮＣＥ軟件公司開(kāi)發(fā)的Ｅｎｃａｓｅ，可在Ｗｉｎｄｏｗｓ、Ｌｉｎｕｘ和ＭＡＣＯＳ等多種平臺(tái)上運(yùn)行，能夠?qū)ⅲ氏略谶\(yùn)行的系統(tǒng)的全部運(yùn)行環(huán)境及數(shù)據(jù)提取出來(lái)，生成一個(gè)鏡像文件，再對(duì)該文件進(jìn)行分析，以發(fā)現(xiàn)犯罪證據(jù)【５１；美國(guó)計(jì)算機(jī)取證公司開(kāi)發(fā)的ＤＩＢＳ，使用獨(dú)特的數(shù)據(jù)鏡像查證和鑒定技術(shù)對(duì)數(shù)據(jù)進(jìn)行鏡像，確保數(shù)據(jù)的絕對(duì)安全性和完整性；由英國(guó)Ｖｏｇｏｎ公司開(kāi)發(fā)基于ＰＣ、Ｍａ和Ｕｎｉｘ等系統(tǒng)的數(shù)據(jù)收集和分析系統(tǒng)Ｆｌｉｇｈｔ Ｓｅｒｖｅｒ，它可以將計(jì)算機(jī)犯罪現(xiàn)場(chǎng)中的計(jì)算機(jī)磁盤(pán)逐個(gè)扇區(qū)（包括壞扇區(qū)）進(jìn)行拷貝、復(fù)制，并生成一個(gè)物理鏡像文件，然后對(duì)該鏡像文件進(jìn)行分析，從而幫助辦案人員發(fā)現(xiàn)證據(jù)【４ｌ。

     然而，在此后一段時(shí)間罩，由于計(jì)算機(jī)取證工具的利益驅(qū)動(dòng)，使大量的研究開(kāi)發(fā)工作轉(zhuǎn)向技術(shù)開(kāi)發(fā)，取證理論的研究相對(duì)滯后。

    這樣，就不能適應(yīng)日益提高的計(jì)算機(jī)犯罪水平，導(dǎo)致了開(kāi)發(fā)的產(chǎn)品有效性降低。

    于是．許多專(zhuān)家開(kāi)始對(duì)取證中的基本問(wèn)題，如取證程序和取證標(biāo)準(zhǔn)等，進(jìn)行研究，提出了許多抽象的計(jì)算機(jī)取證模型，由美國(guó)空軍研究院、美國(guó)信息戰(zhàn)督導(dǎo)／防御局共同資助的計(jì)算機(jī)取證組織一一數(shù)字取證研究組（Ｄｉｇｉｔａｌ Ｆｏｒｅｎｓｉｃｓ Ｒｅｓｅａｒｃｈ Ｗｏｒｋｓｈｏｐ，ＤＦＲＷ）提出的初步的計(jì)算機(jī)取證科學(xué)基本框架，是一個(gè)比較合理的過(guò)程模型，使科技界可以對(duì)數(shù)字取證基本理論和基本方法進(jìn)一步的發(fā)展和完善【３ｌ。

     縱觀計(jì)算機(jī)取證的歷史可以發(fā)現(xiàn)，它隨著計(jì)算機(jī)犯罪水平的提高而不斷發(fā)展，凝聚了大量科研人員的智慧。

    其發(fā)展過(guò)程經(jīng)歷了從理論到實(shí)踐，再回歸到理論的過(guò)程。

    ２０００年以后，雖然取證基礎(chǔ)理論日趨完備，然而面對(duì)層出不窮的新問(wèn)題，取證理論也在不斷面臨著新挑戰(zhàn)。

     １．２．２國(guó)內(nèi)研究現(xiàn)狀 在國(guó)內(nèi)，計(jì)算機(jī)取證工作的研究起步較晚，始于上世紀(jì)九十年代，開(kāi)始主要針對(duì)反黑客和系統(tǒng)入侵以及在司法實(shí)踐中涉及到的電子郵件、程序代碼等比較簡(jiǎn) ２ 山東輕工業(yè)學(xué)院碩士學(xué)位論文單且容易獲取的電子證據(jù)。

    同時(shí)，由于人們?cè)谟?jì)算機(jī)犯罪案件訴訟上的意識(shí)還相對(duì)薄弱，相關(guān)的法律法規(guī)還不夠完善。

     進(jìn)入２０００年后，國(guó)家相關(guān)部門(mén)高度重視計(jì)算機(jī)取證工作，在８６３課題、十一五重點(diǎn)項(xiàng)目中，都對(duì)計(jì)算機(jī)取證進(jìn)行立項(xiàng)研究，國(guó)內(nèi)高校和科研機(jī)構(gòu)也分別承擔(dān)了相應(yīng)課題進(jìn)行攻關(guān)。

    研發(fā)并投入使用的產(chǎn)品有諸如中科院高能物理所計(jì)算中心研制的“取證機(jī)一，可以偵探黑客的入侵手段，并提交為法庭所采信的分析報(bào)告；廈門(mén)美雅博科技有限公司主持開(kāi)發(fā)的計(jì)算機(jī)證據(jù)偵察箱。

    具有證據(jù)的提取、破解、分析和恢復(fù)等功能。

     關(guān)于計(jì)算機(jī)取證的會(huì)議也定期召開(kāi)。

    如２００４年１１月在北京人民警察學(xué)院召開(kāi)了首屆全國(guó)計(jì)算機(jī)取證技術(shù)研討會(huì)。

    ２００５年６月，在北京市物證技術(shù)學(xué)會(huì)、中國(guó)電子學(xué)會(huì)計(jì)算機(jī)取證專(zhuān)家委員會(huì)的全力支持下，兩學(xué)會(huì)以玎ＣＦＡＴ ２００５中國(guó)計(jì)算機(jī)取證技術(shù)峰會(huì)一為標(biāo)識(shí)成功舉辦了首屆峰會(huì)。

    ２００６年６月，由中國(guó)電子學(xué)會(huì)計(jì)算機(jī)取證專(zhuān)家委員會(huì)、中國(guó)防衛(wèi)科技學(xué)院、北京市物證技術(shù)學(xué)會(huì)共同發(fā)起并成功主辦了ＣＣＦＣ中國(guó)計(jì)算機(jī)取證技術(shù)峰會(huì)（２００６年會(huì)）１４１。

    這標(biāo)志著我國(guó)的計(jì)算機(jī)取證研究進(jìn)入了一個(gè)全新的階段。

     總體說(shuō)來(lái)，國(guó)內(nèi)對(duì)于計(jì)算機(jī)取證的研究尚屬起步階段，在某些領(lǐng)域還是空白，理論也不夠成熟，技術(shù)大多來(lái)自于國(guó)外，不能很好的滿足國(guó)內(nèi)打擊計(jì)算機(jī)犯罪的需求。

    因此，必須自主開(kāi)發(fā)適合我國(guó)國(guó)情的計(jì)算機(jī)取證工具，使日益增加的計(jì)算機(jī)犯罪得到遏制，才能保護(hù)人們的合法權(quán)益不受侵害【６】。

    國(guó)內(nèi)開(kāi)展計(jì)算機(jī)取證的研究工作具有很大的意義。

     ３ 第２章計(jì)算機(jī)取證概述 第２章計(jì)算機(jī)取證概述２．Ｉ計(jì)算機(jī)取證的相關(guān)概念 關(guān)于計(jì)算機(jī)取證的概念，國(guó)內(nèi)外學(xué)者專(zhuān)家給出了很豐富的定義和說(shuō)法。

    現(xiàn)列舉一些有代表性的概念： 取證專(zhuān)家Ｒｅｉｔｈ Ｃｌｉｎｔ Ｍａｒｋ認(rèn)為：計(jì)算機(jī)取證（Ｃｏｍｐｕｔｅｒ Ｆｏｒｅｎｓｉｃｓ）可以認(rèn)為是“從計(jì)算機(jī)中收集和發(fā)現(xiàn)證據(jù)的技術(shù)和工具”。

    計(jì)算機(jī)取證的資深人士ＪｕｄｄＲｏｂｂｉｎｓ先生對(duì)此給出了如下定義：計(jì)算機(jī)取證不過(guò)是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確定與獲取。

    計(jì)算機(jī)緊急事件響應(yīng)組和取證咨詢(xún)公司Ｎｅｗ ＴｃｃｈｎｏｌｏｇｉＣＳ將其擴(kuò)展為：計(jì)算機(jī)取證包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。

    孫波在其博士論文ｕ１中總結(jié)為：計(jì)算機(jī)取證是對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為，利用計(jì)算機(jī)軟硬件技術(shù)，使用科學(xué)原則及方法在犯罪偵察過(guò)程中，按照符合法律規(guī)范的方式，進(jìn)行發(fā)現(xiàn)、識(shí)別、保存、重構(gòu)、分析和提交計(jì)算機(jī)證據(jù)的過(guò)程。

     歸納起來(lái)，作者認(rèn)為：計(jì)算機(jī)取證是利用硬件或軟件等計(jì)算機(jī)技術(shù)或工具，，按照合法程序，對(duì)計(jì)算機(jī)犯罪證據(jù)進(jìn)行保護(hù)、提取、分析和解釋的過(guò)程。

    ２．２取證類(lèi)型 計(jì)算機(jī)取證工作包括證據(jù)獲取和證據(jù)分析兩個(gè)方面【２鋤】。

    本文只對(duì)證據(jù)獲取技術(shù)進(jìn)行研究。

    需要獲取的證據(jù)以電子數(shù)據(jù)【２０．４１】的形式存在，包括以下內(nèi)容，如圖２．Ｉ所示： 圖２．１取證內(nèi)容 ４ 山東輕工業(yè)學(xué)院碩士學(xué)位論文 其中，主要包括兩大部分內(nèi)容，一是對(duì)磁盤(pán)相關(guān)數(shù)據(jù)的取證，稱(chēng)為離線取證模式ｆ２１－２２ｌ；一是對(duì)物理內(nèi)存數(shù)據(jù)的取證，稱(chēng)為在線取證模式【２８】。

    ２．２．１離線取證 離線取證模式是指對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)運(yùn)用各種技術(shù)手段對(duì)磁盤(pán)或其它存儲(chǔ)介質(zhì)的數(shù)據(jù)進(jìn)行提取、分析【２３２．４·２５１，在取證研究的早期階段，也就是上世紀(jì)九十年代中后期廣泛采用，比如著名的Ｅｎｃａｓｅ產(chǎn)品。

     雖然磁盤(pán)取證提供了文件系統(tǒng)數(shù)據(jù)，但其有許多不足： 首先，鏡像磁盤(pán)的時(shí)間隨著磁盤(pán)容量的增大同比增長(zhǎng)，造成的結(jié)果是當(dāng)時(shí)間成為取證中需要考慮的重要因素的時(shí)候，鏡像大規(guī)模磁盤(pán)難以實(shí)施：第二，磁盤(pán)鏡像要求掛起系統(tǒng)，如果對(duì)于需要保障連續(xù)運(yùn)行的系統(tǒng)，被中斷的代價(jià)是昂貴的。

     ‘７１而且，很多的易失數(shù)據(jù)像當(dāng)前運(yùn)行的和已經(jīng)終止的進(jìn)程信息，打開(kāi)的ＴＣＰ＾ＤＰ端口，活動(dòng)連接，內(nèi)存映射文件，諸如網(wǎng)頁(yè)地址、密碼、正在編輯的文件嘲等緩存信息將會(huì)丟失。

    這些信息駐留在ＲＡＭ中，磁盤(pán)取證不可能訪問(wèn)到它們。

    更重要的是，隨著犯罪手段的提高，木馬和病毒相關(guān)技術(shù)大肆泛濫，內(nèi)核級(jí)別的病毒越來(lái)越多。

    這些內(nèi)核級(jí)別的病毒或木馬有可能為運(yùn)行于用戶(hù)態(tài)的取證工具提供虛假信息。

    如基于ｒｏｏｔｌｄｔｓ的ＬＫＭ，僅僅被加載到內(nèi)存中，并不修改任何磁盤(pán)中的文件和目錄信息。

    Ｃｏｄｅ Ｒｅｄ蠕蟲(chóng)也是如此，這個(gè)惡意程序代碼并不是以文件形式存儲(chǔ)，而是插入內(nèi)存運(yùn)行四１。

    于是設(shè)法讀取物理內(nèi)存中的信息并進(jìn)行分析成為需要解決的關(guān)鍵問(wèn)題。

    由于內(nèi)存中的數(shù)據(jù)會(huì)隨著系統(tǒng)的掉電而丟失，因此這就需要在線取證，也稱(chēng)動(dòng)態(tài)活數(shù)據(jù)取證。

    ２．２．２在線取證 從２００５年起，人們開(kāi)始關(guān)注物理內(nèi)存的獲取和分析。

    ２００５年夏，Ｄｉ百ｔａＪＦｏｒｅｎｓｉｃ Ｒｅｓｅａｒｃｈ Ｗｏｒｋｓｈｏｐ（ＤＦＲＷＳ）發(fā)布了一份名為“ｍｅｍｏｒｙ ａｎａｌｙｓｉｓｃｈａｌｌｅｎｇｅ”的有獎(jiǎng)競(jìng)賽文件１１０１）引起了對(duì)物理內(nèi)存鏡像這一領(lǐng)域的討論、研究及相關(guān)工具的開(kāi)發(fā)。

    這份文件提供了兩個(gè)Ｗｉｎｄｏｗｓ ２０００的物理內(nèi)存鏡像樣本，然后向研究者提出了一系列關(guān)于惡意軟件和非法活動(dòng)的問(wèn)題。

    如“該系統(tǒng)中隱藏的進(jìn)程是什么，它們是怎么被隱藏的？”“從物理內(nèi)存鏡像中還可以獲取哪些關(guān)于入侵的證據(jù)？”Ｅ１０〕等等。

    Ｃｈｒｉｓ Ｂｅｔｚ和Ｇｅｏｒｇｅ Ｇａｒｎｅｒ以及Ｒｏｂｅｒｔ．Ｊａｎ Ｍｏｒａ給出了詳細(xì)的解答，并最終獲得優(yōu)勝。

    Ｂｅｔｚ在研究報(bào)告中稱(chēng)，他認(rèn)識(shí)到簡(jiǎn)單的在內(nèi)存鏡像文件中搜索字符串和其它標(biāo)識(shí)符不但非常耗時(shí)，而且對(duì)提高我們的分析能力作用很小。

    與其花費(fèi)大量時(shí)間研究鏡像文件本身，還不如考慮是否可以開(kāi)發(fā)一種更加智能的工具來(lái)分析此鏡像文件。

    使用ｋｄ（ｋｅｒｎｅｌ ｄｅｂｕｇｇｅｒ）和ｌｉｖｅｋｄ－Ｉ－具，他調(diào)試了Ｗｉｎｄｏｗｓ ２０００ ＳＰ４的內(nèi)核。

    使用所調(diào)試和分析的同一臺(tái)目標(biāo)機(jī)的物理內(nèi)存的結(jié)果，他開(kāi)發(fā)了一個(gè)程序來(lái)分析Ｗｉｎｄｏｗｓ ２０００物理內(nèi)存鏡像，確定關(guān)鍵的內(nèi)核 第２章計(jì)算機(jī)取證概述結(jié)構(gòu)。

    他開(kāi)發(fā)的這個(gè)工具可以用來(lái)幫助分析Ｗｉｎｄｏｗｓ ２０００物理內(nèi)存鏡像。

    使用這個(gè)工具和一個(gè)十六進(jìn)制編輯器，他對(duì)所給的樣本進(jìn)行了分析ｎ¨。

    Ｂｅｔｚ的貢獻(xiàn)在于開(kāi)發(fā)了重建進(jìn)程鏈并提取進(jìn)程信息的工具ｎ¨。

    Ｂｅｔｚ所開(kāi)發(fā)的工具ｍｅｍｐａｒｓｅｒ．１．０于次年發(fā)布。

    Ｇｅｏｒｇｅ Ｇａｒｎｅｒ以及Ｒｏｂｅｒｔ．Ｊａｎ Ｍｏｒａ在報(bào)告中稱(chēng)，他們使用ｋｎｔｌｉｓｔ工具，從活動(dòng)進(jìn)程鏈ＰｓＡｃｔｉｖｅＰｒｏｃｅｓｓＬｉｓｆｌ頇序?qū)Ρ人o的鏡像樣本和從一臺(tái)狀態(tài)良好并且和所給鏡像同版本的機(jī)器上獲取的鏡像樣本的進(jìn)程信息，然后生成對(duì)比結(jié)果的日志文件‘１”。

    他們的貢獻(xiàn)在于開(kāi)發(fā)了ｋｎｔｌｉｓｔＴ具，保存完整性檢查和審計(jì)記錄，解釋了內(nèi)存中的重要內(nèi)核結(jié)構(gòu)ｎ∞。

     這份文件被公認(rèn)為開(kāi)辟了物理內(nèi)存分析的新紀(jì)元，隨后，此項(xiàng)研究逐漸發(fā)展。

    Ａｎｄｒｅａｓ Ｓｃｈｕｓｔｅｒ在他的博客上開(kāi)始用英文發(fā)布部分研究成果，也公布了各種Ｗｉｎｄｏｗｓ版本的ＥＰＲＯＣＥＳＳ和ＥＴＨＲＥＡＤ結(jié)構(gòu)，包括２０００和ＸＰ的。

    ＭａｒｉｕｓｚＢｕｒｄａｃｈ對(duì)內(nèi)存分析做出了一系列重要貢獻(xiàn)，在ＢｌａｃｋＨａｔ Ｆｅｄｅｒａｌ ２００６年會(huì)上，他做Ｔ Ｆｉｎｄｉｎｇ Ｄｉｇｉｔａｌ Ｅｖｉｄｅｎｃｅ ｉｎ Ｐｈｙｓｉｃａｌ Ｍｅｍｏｒｙ １８１的報(bào)告，指出了反數(shù)據(jù)取證的方法，普通的如數(shù)據(jù)隱藏、數(shù)據(jù)破壞，高級(jí)的ｒｏｏｔｌｄｔｓ如ＲＪｌｒ和Ｓｈａｄｏｗ Ｗａｌｋｅｒ可以欺騙取證工具。

    總結(jié)了硬件和軟件取證方法各自的有點(diǎn)和不足，闡述了Ｌｉｎｕｘ和Ｗｉｎｄｏｗｓ重要的內(nèi)核結(jié)構(gòu)，提出了通過(guò)分析進(jìn)程重要結(jié)構(gòu)，從物理內(nèi)存中恢復(fù)文件內(nèi)容以及檢測(cè)隱藏對(duì)象等技術(shù)。

    他的論文Ｄｉｇ眥ｆｏｒｅｎｓｉｃｓ ｏｆ ｔｈｅ ｐｈｙｓｉｃａｌｍｅｍｏｒｙｔｌ３】，提供了分析物理內(nèi)存鏡像的方法，即從內(nèi)存中提取有用的信息，如：正在執(zhí)行的和已經(jīng)終止的進(jìn)程的詳細(xì)信息，然后分析重要的進(jìn)程結(jié)構(gòu)。

    另外，文中提供的技術(shù)還可以分析用戶(hù)態(tài)的隱藏進(jìn)程，如用ｆｕｎｃｔｉｏｎ ｈｏｏｋｉｎｇ和ＤＫＯＭ方法隱藏的進(jìn)程。

    這篇論文被認(rèn)為是內(nèi)存分析技術(shù)在正確方向上邁出的重要一步。

    然而，他的分析是結(jié)合Ｌｕｎｉｘ系統(tǒng)做出的，雖然提到了同樣適合ＷｉＩＩｄｏｗｓ系統(tǒng)，但并沒(méi)有對(duì)此做具體分析。

    ２．３取證工具 正如其它科學(xué)一樣，計(jì)算機(jī)取證利用特殊的工具來(lái)獲取研究對(duì)象的有意義的信息。

    有兩種獲取物理內(nèi)存鏡像的方法：基于硬件的和基于軟件的方法。

    ２．３．１基于軟件的獲取工具 獲取物理內(nèi)存鏡像的常用方法是使用專(zhuān)用的軟件工具包。

    軟件運(yùn)行后加載到內(nèi)存，進(jìn)行數(shù)據(jù)獲取。

     · （１）ＤＤ ＤＤ是一個(gè)廣泛使用的獲取物理內(nèi)存鏡像的工具，它是一個(gè)ＬＩＮＵＸ下的工具程序，通過(guò)｝Ｄｅｖｉｃｅ｝Ｐｈｙｓｉｃａｌ Ｍｅｍｏｒｙｏｂｊｅｃｔ訪問(wèn)物理內(nèi)存，Ｗｉｎｄｏｗｓ版本的ＤＤｆｌｑＧａｒｎｅｒ“４１所開(kāi)發(fā)。

    ＤＤ依賴(lài)內(nèi)核鏡像功能，創(chuàng)建出特定的鏡像結(jié)構(gòu)，因此，輸出文件對(duì)于許多工具，例如Ｗｉｎｄｏｗｓ ｋｅｒｎｅｌ ｄｅｂｕｇｇｅｒ，是可讀的。

    其優(yōu)點(diǎn) ６ 山東輕工業(yè)學(xué)院碩士學(xué)位論文是：運(yùn)行程序不需要重啟系統(tǒng)，也沒(méi)有對(duì)服務(wù)的任何損壞。

    不足在于：鏡像文件與ＲＡＭ相同大小，物理內(nèi)存對(duì)象在Ｗ’ｍｄｏｗｓ Ｓｅｒｖｅｒ ２００３ ＳＰｌ下不可訪問(wèn)１７１ｅ （２）Ｗｉｎｄｏｗｓ ｄｕｍｐ由于系統(tǒng)的不穩(wěn)定性而產(chǎn)生。

    當(dāng) ｃｒａｓｈ ｄｕｍｐ ｕａｔｉｔｙ ｃｒａｓｈｃｒａｓｈ ｄｕｍｐ產(chǎn)生的時(shí)候，系統(tǒng)狀態(tài)被凍結(jié)，物理內(nèi)存和交換區(qū)的內(nèi)容被拷貝到磁盤(pán)。

    ｃｒａｓｈ ｄｕｍｐ文件包括ＲＡＭ的內(nèi)容和額外的調(diào)試信息。

    輸出文件是ＤＭＰ格式，只適用于微軟的調(diào)試工具。

    其優(yōu)點(diǎn)是：通過(guò)ｃｒａｓｈ ｄｕｍｐ獲取的文件是ＲＡＭ的原封不動(dòng)的拷貝。

    不足在于：這個(gè)格式是用來(lái)滿足調(diào)試目的而不是取證目的。

    而且，只有迷你鏡像版本是可用的，完整的鏡像不可用１７１。

     基于軟件方案的主要不足是破壞了計(jì)算機(jī)取證證據(jù)收集過(guò)程的主要要求，即：任何一個(gè)用戶(hù)態(tài)或者內(nèi)核態(tài)的數(shù)據(jù)獲取工具都會(huì)改變目標(biāo)系統(tǒng)的狀態(tài)。

    當(dāng)運(yùn)行我們加載到內(nèi)存的取證工具時(shí)，它就會(huì)創(chuàng)建至少一個(gè)進(jìn)程，有可能覆蓋證據(jù)。

    也就是說(shuō)，通過(guò)創(chuàng)建新進(jìn)程，操作系統(tǒng)的內(nèi)存管理系統(tǒng)在內(nèi)存中分配空間，可能覆蓋內(nèi)存中或者交換區(qū)中的原有數(shù)據(jù)。

    ２．３．２基于硬件的獲取工具 ’ 在一種理想的狀態(tài)下，我們可以避開(kāi)操作系統(tǒng)，而將全部物理內(nèi)存的數(shù)據(jù)鏡像到另外的存儲(chǔ)設(shè)備中。

    可以掛起ＣＰＵ而通過(guò)ＤＭＡ方式傳遞數(shù)據(jù)。

    這需要使用專(zhuān)用的硬件打開(kāi)通信端口來(lái)復(fù)制物理內(nèi)存的內(nèi)容。

    有兩種主要的實(shí)現(xiàn)技術(shù)： （１）Ｔｒｉｂｂｌｃ這個(gè)方案使用專(zhuān)用的ＰＣＩ卡，ＰＣＩ卡需要在事件發(fā)生前預(yù)先安裝。

    這樣，系統(tǒng)的狀態(tài)在搜尋數(shù)字證據(jù)時(shí)是保存完好的。

    其優(yōu)點(diǎn)是：使用簡(jiǎn)單，對(duì)系統(tǒng)沒(méi)有影響。

    不足在于：預(yù)先安裝是最主要的.

下載

我要獲得 會(huì)員登錄 

  本文關(guān)鍵詞：計(jì)算機(jī)取證物理內(nèi)存鏡像獲取技術(shù)的研究與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：118897