基于Windows平臺(tái)的內(nèi)存數(shù)據(jù)獲取和取證技術(shù)研究
發(fā)布時(shí)間:2024-03-04 22:17
隨著信息安全和計(jì)算機(jī)取證技術(shù)的迅猛發(fā)展,計(jì)算機(jī)犯罪的手段和使用的技術(shù)也日新月異,犯罪份子使用的技術(shù)更加隱蔽、惡意程序更加深入底層、惡意程序駐留的位置也更加多樣化,計(jì)算機(jī)犯罪的定罪也越來越困難。傳統(tǒng)的計(jì)算機(jī)取證技術(shù)更多關(guān)注的是計(jì)算機(jī)系統(tǒng)中靜態(tài)數(shù)據(jù),如硬盤、光盤等,而忽略了很多駐留在內(nèi)存中的潛在證據(jù);而且新型的惡意程序經(jīng)常隱藏在Bios、Firmware、PCI controller等地方,無法在文件系統(tǒng)中找到;再者,由于硬盤容量的不斷增長(zhǎng),導(dǎo)致傳統(tǒng)文件系統(tǒng)分析的難度也越來越大;但是不管惡意程序隱藏在哪里,在當(dāng)前的計(jì)算機(jī)體系結(jié)構(gòu)中,內(nèi)存是所有可執(zhí)行程序運(yùn)行的地方,當(dāng)然就會(huì)留下曾經(jīng)運(yùn)行過的痕跡和證據(jù),加上內(nèi)存的容量相對(duì)于硬盤等磁介質(zhì)存儲(chǔ)器來說還比較小,分析的速度相對(duì)來說比較快。因此研究?jī)?nèi)存取證技術(shù)就顯得十分重要,可以更有效地打擊計(jì)算機(jī)犯罪行為。 本文的研究基于Windows NT系列操作系統(tǒng),研究了在該系列平臺(tái)下,計(jì)算機(jī)中的物理內(nèi)存鏡像的獲取和分析技術(shù),目的是為了建立從鏡像獲取到取證分析的內(nèi)存取證的框架,為了達(dá)到這個(gè)目的,本文深入研究了Windows NT系列操作系統(tǒng)的核心運(yùn)行機(jī)理和虛擬內(nèi)存...
【文章頁數(shù)】:79 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 引言
1.1 研究背景
1.2 國(guó)內(nèi)外研究現(xiàn)狀
1.2.1 國(guó)外研究現(xiàn)狀
1.2.2 國(guó)內(nèi)研究現(xiàn)狀
1.3 論文主要工作和組織結(jié)構(gòu)
第二章 計(jì)算機(jī)取證概述
2.1 計(jì)算機(jī)取證的概念
2.2 計(jì)算機(jī)取證的分類
2.3 內(nèi)存鏡像獲取工具
2.3.1 基于硬件的工具
2.3.2 基于軟件的工具
2.4 本章小結(jié)
第三章 WINDOWS內(nèi)核運(yùn)行機(jī)制研究
3.1 WINDOWS虛擬內(nèi)存管理機(jī)制
3.1.1 進(jìn)程虛擬地址空間概述
3.1.2 分頁機(jī)制
3.1.3 虛擬地址到物理地址的轉(zhuǎn)換
3.1.4 Pagefile的處理
3.2 WINDOWS物理內(nèi)存管理機(jī)制
3.2.1 \Device\PhysicalMemory對(duì)象
3.2.2 物理內(nèi)存使用分析
3.3 WINDOWSNT系統(tǒng)的核心數(shù)據(jù)結(jié)構(gòu)
3.3.1 KPCR
3.3.2 KDBG
3.3.3 OBJECT HEADER
3.4 本章小結(jié)
第四章 內(nèi)存取證系統(tǒng)的實(shí)現(xiàn)
4.1 物理內(nèi)存鏡像獲取
4.2 內(nèi)存取證分析系統(tǒng)的框架設(shè)計(jì)
4.3 開發(fā)模型和語言的選擇
4.4 系統(tǒng)主要支持模塊的設(shè)計(jì)
4.4.1 插件模塊
4.4.2 地址空間模塊
4.4.3 系統(tǒng)profile模塊
4.4.4 對(duì)象管理模塊
4.4.5 掃描模塊
4.5 取證分析模塊的實(shí)現(xiàn)
4.5.1 映像文件識(shí)別模塊
4.5.2 枚舉進(jìn)程和線程模塊
4.5.3 枚舉進(jìn)程加載的DLL模塊
4.5.4 枚舉系統(tǒng)加載的驅(qū)動(dòng)的模塊
4.5.5 網(wǎng)絡(luò)行為分析模塊
4.5.6 注冊(cè)表分析模塊
4.6 本章小結(jié)
第五章 系統(tǒng)測(cè)試
5.1 測(cè)試環(huán)境
5.2 主要功能測(cè)試
5.2.1 映像文件識(shí)別功能測(cè)試
5.2.2 枚舉進(jìn)程功能測(cè)試
5.2.3 枚舉進(jìn)程加載DLL功能測(cè)試
5.2.4 枚舉已加載內(nèi)核模塊功能測(cè)試
5.2.5 收集網(wǎng)絡(luò)行為功能測(cè)試
5.3 系統(tǒng)性能測(cè)試
5.4 本章小結(jié)
第六章 總結(jié)與未來展望
致謝
參考文獻(xiàn)
攻碩期間取得的研究成果
本文編號(hào):3919250
【文章頁數(shù)】:79 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 引言
1.1 研究背景
1.2 國(guó)內(nèi)外研究現(xiàn)狀
1.2.1 國(guó)外研究現(xiàn)狀
1.2.2 國(guó)內(nèi)研究現(xiàn)狀
1.3 論文主要工作和組織結(jié)構(gòu)
第二章 計(jì)算機(jī)取證概述
2.1 計(jì)算機(jī)取證的概念
2.2 計(jì)算機(jī)取證的分類
2.3 內(nèi)存鏡像獲取工具
2.3.1 基于硬件的工具
2.3.2 基于軟件的工具
2.4 本章小結(jié)
第三章 WINDOWS內(nèi)核運(yùn)行機(jī)制研究
3.1 WINDOWS虛擬內(nèi)存管理機(jī)制
3.1.1 進(jìn)程虛擬地址空間概述
3.1.2 分頁機(jī)制
3.1.3 虛擬地址到物理地址的轉(zhuǎn)換
3.1.4 Pagefile的處理
3.2 WINDOWS物理內(nèi)存管理機(jī)制
3.2.1 \Device\PhysicalMemory對(duì)象
3.2.2 物理內(nèi)存使用分析
3.3 WINDOWSNT系統(tǒng)的核心數(shù)據(jù)結(jié)構(gòu)
3.3.1 KPCR
3.3.2 KDBG
3.3.3 OBJECT HEADER
3.4 本章小結(jié)
第四章 內(nèi)存取證系統(tǒng)的實(shí)現(xiàn)
4.1 物理內(nèi)存鏡像獲取
4.2 內(nèi)存取證分析系統(tǒng)的框架設(shè)計(jì)
4.3 開發(fā)模型和語言的選擇
4.4 系統(tǒng)主要支持模塊的設(shè)計(jì)
4.4.1 插件模塊
4.4.2 地址空間模塊
4.4.3 系統(tǒng)profile模塊
4.4.4 對(duì)象管理模塊
4.4.5 掃描模塊
4.5 取證分析模塊的實(shí)現(xiàn)
4.5.1 映像文件識(shí)別模塊
4.5.2 枚舉進(jìn)程和線程模塊
4.5.3 枚舉進(jìn)程加載的DLL模塊
4.5.4 枚舉系統(tǒng)加載的驅(qū)動(dòng)的模塊
4.5.5 網(wǎng)絡(luò)行為分析模塊
4.5.6 注冊(cè)表分析模塊
4.6 本章小結(jié)
第五章 系統(tǒng)測(cè)試
5.1 測(cè)試環(huán)境
5.2 主要功能測(cè)試
5.2.1 映像文件識(shí)別功能測(cè)試
5.2.2 枚舉進(jìn)程功能測(cè)試
5.2.3 枚舉進(jìn)程加載DLL功能測(cè)試
5.2.4 枚舉已加載內(nèi)核模塊功能測(cè)試
5.2.5 收集網(wǎng)絡(luò)行為功能測(cè)試
5.3 系統(tǒng)性能測(cè)試
5.4 本章小結(jié)
第六章 總結(jié)與未來展望
致謝
參考文獻(xiàn)
攻碩期間取得的研究成果
本文編號(hào):3919250
本文鏈接:http://www.sikaile.net/shekelunwen/gongan/3919250.html
最近更新
教材專著
