計算機取證中的內(nèi)存鏡像獲取的研究與實現(xiàn)
發(fā)布時間:2021-04-28 07:08
隨著計算機科學技術(shù)的迅猛發(fā)展和網(wǎng)絡(luò)普及,以計算機信息系統(tǒng)為工具和j巳罪對象的各式新型j巳罪案件頻繁發(fā)生,造成的巨大危害也越來越大。怎么可以最大程度地獲取計算機j巳罪相關(guān)的計算機證據(jù),將犯罪人員繩之以法,己成為司法部門和計算機領(lǐng)域中需要解決的新問題。由于司法機關(guān)在處理高科技j巳罪方面缺乏必要的技術(shù)保證和支持,所以為了更好地提高打擊計算機j巳罪的能力,計算機取證人員應(yīng)該對該領(lǐng)域進行更加有效的研究,開發(fā)出一些切實有效的取證工具,以應(yīng)對現(xiàn)今社會的需要。目前計算機取證技術(shù)作為計算機和法學兩個領(lǐng)域的一門交叉學科正成為人們研究與關(guān)注的焦點。本文介紹了計算機取證技術(shù)的歷史、現(xiàn)狀和發(fā)展情況,然后介紹一下開機取證。對計算機證據(jù)進行了分類易失性數(shù)據(jù)和非易失性數(shù)據(jù),由于對非易失性數(shù)據(jù)的研究與獲取已經(jīng)得到完善地處理,所以易失數(shù)據(jù)取證在取證分析和異常相應(yīng)領(lǐng)域方面變得越來越重要。隨著計算機取證工具混合使用的方案的增加,惡意軟件編寫者將系統(tǒng)的內(nèi)存作為探測安全性的最后突破口,而內(nèi)存隱藏技術(shù)日益流行,獲取一個物理內(nèi)存鏡像也就變得越來越重要。鑒于需要向系統(tǒng)內(nèi)存加載內(nèi)存捕獲程序,那么獲取鏡像的操作將會改變系統(tǒng)的狀態(tài)。所以我們...
【文章來源】:吉林大學吉林省 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:68 頁
【學位級別】:碩士
【文章目錄】:
摘要
Abstract
第1章 緒論
1.1 研究背景
1.2 國內(nèi)外研究現(xiàn)狀
1.3 國內(nèi)研究現(xiàn)狀
1.4 論文的研究內(nèi)容
第2章 計算機取證基礎(chǔ)
2.1 計算機取證的定義
2.2 開機取證
2.2.1 諾卡德交換原理
2.2.2 非易失性數(shù)據(jù)
2.2.3 易失性數(shù)據(jù)
2.3 內(nèi)存取證
2.3.1 內(nèi)存分析史
2.3.2 獲取物理內(nèi)存鏡像的工具及其優(yōu)缺點
第3章 windows內(nèi)存分析
3.1 內(nèi)存管理器
3.2 進程的虛擬地址空間
3.2.1 虛擬地址空間的布局結(jié)構(gòu)
3.2.2 x86用戶地址空間的布局結(jié)構(gòu)
3.2.3 x86系統(tǒng)的布局結(jié)構(gòu)
3.2.4 進程地址空間的頁面分類
3.3 EPROcEss塊的介紹
3.4 x86虛擬地址轉(zhuǎn)譯
3.4.1 虛擬地址的組成部分
3.4.1.1 頁目錄
3.4.1.2 頁表和頁表項
3.4.2 轉(zhuǎn)譯一個虛擬地址的基本步驟
3.4.3 物理地址擴展的內(nèi)存映射模式
3.4.4 轉(zhuǎn)譯地址的例子
3.4.5 頁面錯誤處理
第4章 獲取windows內(nèi)存鏡像技術(shù)的實現(xiàn)
4.1 利用驅(qū)動程序來訪問物理內(nèi)存
4.1.1 驅(qū)動程序的概念
4.1.2 用DDK編譯環(huán)境編譯驅(qū)動程序
4.1.2.1 makefile文件
4.1.2.2 dirs文件
4.1.2.3 sources文件
4.1.3 驅(qū)動程序的基本結(jié)構(gòu)
4.1.3.1 驅(qū)動程序?qū)ο蠛驮O(shè)備對象
4.1.3.2 驅(qū)動入口函數(shù)
4.1.3.3 DriverUnload例程
4.1.3.4 IRP與派遣函數(shù)
4.1.3.5 驅(qū)動程序的加載與卸載
4.2 獲取物理內(nèi)存鏡像的實現(xiàn)
4.2.1 對完整的物理內(nèi)存進行鏡像
4.2.1.1 如何獲得內(nèi)核對象
4.2.1.2 驅(qū)動程序與應(yīng)用程序的交互
4.2.1.3 內(nèi)存映射文件和內(nèi)存鏡像的保存
4.2.2 獲取指定進程的內(nèi)存鏡像
4.2.2.1 獲取指定進程
4.2.2.2 獲取指定進程的內(nèi)存信息
4.2.2.3 指定進程內(nèi)存區(qū)域的讀取
4.2.2.4 物理內(nèi)存鏡像的保存
第5章 物理內(nèi)存鏡像獲取的相關(guān)測試
5.1 對所獲取內(nèi)存鏡像的正確性分析
5.2 對獲取物理內(nèi)存鏡像的時間分析
5.2.1 cPu的性能
5.2.2 物理內(nèi)存的大小
5.3 內(nèi)存分析平臺測試
5.3.1 顯示進程列表的實現(xiàn)與測試
5.3.2 顯示進程虛擬內(nèi)存與堆的分布情況的實現(xiàn)與測試
5.3.3 特定值查詢的實現(xiàn)與測試
5.3.4 區(qū)域變化查詢的實現(xiàn)與測試
5.3.5 完整內(nèi)存鏡像、特定進程內(nèi)存鏡像的實現(xiàn)與測試
第6章 總結(jié)與未來展望
參考文獻
致謝
【參考文獻】:
期刊論文
[1]Windows內(nèi)核對象的查找方法研究[J]. 高宇航,高珩,鮑鵬,紀永強. 硅谷. 2009(19)
[2]Windows內(nèi)存取證的研究與應(yīng)用[J]. 張輝,周柳陽,丁承林. 科技傳播. 2009(03)
[3]Windows內(nèi)存防護機制及其脆弱性分析[J]. 吳優(yōu)雅,高豐. 計算機安全. 2009(07)
[4]計算機動態(tài)取證系統(tǒng)模型研究[J]. 鐘秀玉. 微計算機信息. 2006(24)
[5]一種計算機取證中需求定義的方法[J]. 孫波,劉欣然,孫玉芳. 電子學報. 2006(05)
[6]分布式計算機動態(tài)取證模型[J]. 梁昌宇,吳強,曾慶凱. 計算機應(yīng)用. 2005(06)
[7]基于UNIX系統(tǒng)的計算機取證研究[J]. 曹輝,劉建輝. 計算機安全. 2005(06)
[8]電子數(shù)據(jù)職證研究概述[J]. 孫波,孫玉芳,張相鋒,梁彬. 計算機科學. 2005(02)
[9]計算機取證技術(shù)及其發(fā)展趨勢[J]. 王玲,錢華林. 軟件學報. 2003(09)
[10]3D網(wǎng)格數(shù)字水印研究進展[J]. 張新宇,彭維,張三元,葉修梓. 計算機輔助設(shè)計與圖形學學報. 2003(08)
博士論文
[1]計算機取證方法關(guān)鍵問題研究[D]. 孫波.中國科學院研究生院(軟件研究所) 2004
本文編號:3165044
【文章來源】:吉林大學吉林省 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:68 頁
【學位級別】:碩士
【文章目錄】:
摘要
Abstract
第1章 緒論
1.1 研究背景
1.2 國內(nèi)外研究現(xiàn)狀
1.3 國內(nèi)研究現(xiàn)狀
1.4 論文的研究內(nèi)容
第2章 計算機取證基礎(chǔ)
2.1 計算機取證的定義
2.2 開機取證
2.2.1 諾卡德交換原理
2.2.2 非易失性數(shù)據(jù)
2.2.3 易失性數(shù)據(jù)
2.3 內(nèi)存取證
2.3.1 內(nèi)存分析史
2.3.2 獲取物理內(nèi)存鏡像的工具及其優(yōu)缺點
第3章 windows內(nèi)存分析
3.1 內(nèi)存管理器
3.2 進程的虛擬地址空間
3.2.1 虛擬地址空間的布局結(jié)構(gòu)
3.2.2 x86用戶地址空間的布局結(jié)構(gòu)
3.2.3 x86系統(tǒng)的布局結(jié)構(gòu)
3.2.4 進程地址空間的頁面分類
3.3 EPROcEss塊的介紹
3.4 x86虛擬地址轉(zhuǎn)譯
3.4.1 虛擬地址的組成部分
3.4.1.1 頁目錄
3.4.1.2 頁表和頁表項
3.4.2 轉(zhuǎn)譯一個虛擬地址的基本步驟
3.4.3 物理地址擴展的內(nèi)存映射模式
3.4.4 轉(zhuǎn)譯地址的例子
3.4.5 頁面錯誤處理
第4章 獲取windows內(nèi)存鏡像技術(shù)的實現(xiàn)
4.1 利用驅(qū)動程序來訪問物理內(nèi)存
4.1.1 驅(qū)動程序的概念
4.1.2 用DDK編譯環(huán)境編譯驅(qū)動程序
4.1.2.1 makefile文件
4.1.2.2 dirs文件
4.1.2.3 sources文件
4.1.3 驅(qū)動程序的基本結(jié)構(gòu)
4.1.3.1 驅(qū)動程序?qū)ο蠛驮O(shè)備對象
4.1.3.2 驅(qū)動入口函數(shù)
4.1.3.3 DriverUnload例程
4.1.3.4 IRP與派遣函數(shù)
4.1.3.5 驅(qū)動程序的加載與卸載
4.2 獲取物理內(nèi)存鏡像的實現(xiàn)
4.2.1 對完整的物理內(nèi)存進行鏡像
4.2.1.1 如何獲得內(nèi)核對象
4.2.1.2 驅(qū)動程序與應(yīng)用程序的交互
4.2.1.3 內(nèi)存映射文件和內(nèi)存鏡像的保存
4.2.2 獲取指定進程的內(nèi)存鏡像
4.2.2.1 獲取指定進程
4.2.2.2 獲取指定進程的內(nèi)存信息
4.2.2.3 指定進程內(nèi)存區(qū)域的讀取
4.2.2.4 物理內(nèi)存鏡像的保存
第5章 物理內(nèi)存鏡像獲取的相關(guān)測試
5.1 對所獲取內(nèi)存鏡像的正確性分析
5.2 對獲取物理內(nèi)存鏡像的時間分析
5.2.1 cPu的性能
5.2.2 物理內(nèi)存的大小
5.3 內(nèi)存分析平臺測試
5.3.1 顯示進程列表的實現(xiàn)與測試
5.3.2 顯示進程虛擬內(nèi)存與堆的分布情況的實現(xiàn)與測試
5.3.3 特定值查詢的實現(xiàn)與測試
5.3.4 區(qū)域變化查詢的實現(xiàn)與測試
5.3.5 完整內(nèi)存鏡像、特定進程內(nèi)存鏡像的實現(xiàn)與測試
第6章 總結(jié)與未來展望
參考文獻
致謝
【參考文獻】:
期刊論文
[1]Windows內(nèi)核對象的查找方法研究[J]. 高宇航,高珩,鮑鵬,紀永強. 硅谷. 2009(19)
[2]Windows內(nèi)存取證的研究與應(yīng)用[J]. 張輝,周柳陽,丁承林. 科技傳播. 2009(03)
[3]Windows內(nèi)存防護機制及其脆弱性分析[J]. 吳優(yōu)雅,高豐. 計算機安全. 2009(07)
[4]計算機動態(tài)取證系統(tǒng)模型研究[J]. 鐘秀玉. 微計算機信息. 2006(24)
[5]一種計算機取證中需求定義的方法[J]. 孫波,劉欣然,孫玉芳. 電子學報. 2006(05)
[6]分布式計算機動態(tài)取證模型[J]. 梁昌宇,吳強,曾慶凱. 計算機應(yīng)用. 2005(06)
[7]基于UNIX系統(tǒng)的計算機取證研究[J]. 曹輝,劉建輝. 計算機安全. 2005(06)
[8]電子數(shù)據(jù)職證研究概述[J]. 孫波,孫玉芳,張相鋒,梁彬. 計算機科學. 2005(02)
[9]計算機取證技術(shù)及其發(fā)展趨勢[J]. 王玲,錢華林. 軟件學報. 2003(09)
[10]3D網(wǎng)格數(shù)字水印研究進展[J]. 張新宇,彭維,張三元,葉修梓. 計算機輔助設(shè)計與圖形學學報. 2003(08)
博士論文
[1]計算機取證方法關(guān)鍵問題研究[D]. 孫波.中國科學院研究生院(軟件研究所) 2004
本文編號:3165044
本文鏈接:http://www.sikaile.net/shekelunwen/gongan/3165044.html
教材專著
