共查询到10条相似文献,搜索用时 15 毫秒
1.
2.
使用内存取证框架Volatility对获得的内存样本进行分析之前,必须首先为目标操作系统创建一个配置文件.Volatility对所有Windows操作系统的主要版本都有内置的支持,使用时不需要进行额外的制作.然而Linux操作系统是不同的,由于其内核版本、子内核版本和定制内核的数量众多,使得Volatility无法为所有可能的Linux内核版本提供配置文件,需要使用者自己进行制作. 相似文献
3.
吴剑 《数字社区&智能家居》2011,(13)
最新的个人操作系统Windows 7给用户提供了更稳定的系统性能和更安全的操作环境,但同时也对计算机取证工作带来新的问题。针对Windows 7系统,从注册表分析、数据保护与破解、网络浏览和文档编辑等角度入手,分析了计算机取证涉及的多类问题及其解决方法,能够更好地指导计算机取证工作。 相似文献
4.
随着微软新一代操作系统Windows7的普及,计算机取证调查人员将在实际工作中越来越多的遇到Windows7操作系统,本文介绍了Windows7环境下调查人员需要了解的取证特点以及对取证的影响进行简要的介绍和分析。 相似文献
5.
内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结构进行分析,提取出相应特征;基于这些特征,提出了一种能够从物理内存镜像文件中得到系统当前进程和线程信息的算法。实验结果和分析表明,该算法能够成功提取隐藏进程和非隐藏进程,及其各进程相关的线程信息,为内存取证分析提供了可靠的数据基础。 相似文献
6.
针对Windows8系统新特性,讨论在Windows 8系统下的计算机取证问题,着重介绍了注册表分析、Metro用户界面、IE 10和通讯类应用取证时应当注意的问题. 相似文献
7.
Windows系统作为目前最常用的操作系统,研究Windows系统上的计算机取证方法具有非常重要的现实意义.本文介绍了对Windows系统进行初始响应所需的常用工具及基本步骤,并给出了几个常见工具的具体使用方法. 相似文献
8.
在计算机取证过程中,对于删除文件的分析常常提供有价值的信息。知道在哪里找到被删除文件并且能够理解文件被删除过程中产生的元数据,这是一个合格的计算机取证人员必备的素质。本文对Window 8系统的回收站与传统的Windows XP系统的回收站的相似点和不同点进行了对比分析,并详细说明了Windows 8系统回收站的工作细节,以期为计算机取证人员提供帮助。 相似文献
9.
2011年9月13日在美国加州举行的Build 2011大会上,微软公开展示并发布了Windows Developer Preview,虽然这还只是一个针对开发者的预览版本,但已经开放Windows 8的绝大多数功能,开放测试首日,下载量已经突破50万!作为下一代桌面操作系统,Windows 8与之前的Windows版本有着很大的区别。虽然这仍然不是一个公开版本,但绝大多数的功能应该会在最终版本中表现出来。究竟它和之前的Windows系统有何不同,又能带来什么样的新体验呢?跟着本期的专题,来看看这个新系统究竟是否值得一试吧! 相似文献