计算机取证中的物理内存取证分析方法研究

阐述物理内存取证分析的基本概念及相关研究现状,重点研究了Windows 系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作.     

基于Windows物理内存取证系统设计与实现

随着信息安全技术的快速发展,数字取证调查技术已经成为重要技术之一。由于物理内存中包含计算机操作的大量信息,针对物理内存的实时取证分析已成为当前数字犯罪调查领域中的热点研究问题之一。文章通过研究物理内存获取技术,内存进程管理模式,信息关键词搜索技术等相关技术背景,实现对Windows物理内存的镜像获取,内存中的隐藏进程和异常进程的检测,内存中敏感信息的检测分析三方面功能。通过对用户主机进行调查检测,掌握用户大量的操作行为和有用信息,为计算机犯罪取证调查和信息安全检查提供了一种很好的方法手段。     

面向Windows操作系统的内存取证技术研究

传统的计算机取证方法收集被攻击的计算机磁盘等能持久化保存数据的介质。但是随着磁盘存储能力的提升以及数据加密等技术的发展,使用原来针对硬盘的取证方法获取数据进行分析变得越来越困难。对计算机的取证开始采用其他数据源,包括计算机内存中易失性的信息。对Windows操作系统的主要内存获取、分析方法以及内存取证过程进行介绍,采用分析和对比的手段对每种方法的特点、优势和不足进行比较,得出比较结果并给出计算机犯罪内存取证领域未来需要研究的方向。     

Windows 8下基于镜像文件的内存取证研究

内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结构进行分析,提取出相应特征;基于这些特征,提出了一种能够从物理内存镜像文件中得到系统当前进程和线程信息的算法。实验结果和分析表明,该算法能够成功提取隐藏进程和非隐藏进程,及其各进程相关的线程信息,为内存取证分析提供了可靠的数据基础。     

Windows95下物理内存单元的可靠读写

本文介绍了Ｗｉｎｄｏｗｓ下处于保护模式下的内存寻址模式和保护模式下的虚拟８０８６内存寻址模式，给出了可靠地进行内存单元读写的例程。     

面向取证应用的PC版微信的内存分析方法

微信是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利。但同时也给不法分子带来新的机会,许多违法犯罪行为在微信平台上发生。设计一种PC版微信的内存分析方法,借助第三方工具pmdump得到微信应用的内存文件并对其进行分析,描述该方法的思路和具体步骤。特别针对文本、表情等多种不同类型信息撤回时,对内存文件中的特征变化进行分析。该方法对于微信应用的内存取证分析、撤回信息分析的应用场景具有一定参考价值。     

Windows NT的内存优化技术和方法

内存是Windows NT系统的一个重要资源。本文结合Windows NT Server 4.0介绍几个与内存相关的问题,帮助大家更好地使用和优化内存。 一、Windows NT的内存分配特点 1.Windows NT的虚拟内存及其实现过程 Windows NT Server 4.0支持4GB(2GB 2GB)的虚拟内存空间。其中,高端的2GB供Windows NT操作系统使用,低端的2GB提供给应用软件使用。Windows NT利用虚拟内存管理器     

加强Windows系统中的内存管理

计算机业发展迅速,一台电脑使用了一段时间后,要上最新软件或运行大型应用程序时往往显得力不从心,或速度减慢,或频频死机,这就需要最大限度地利用系统资源,优化管理。如果ＣＰＵ是电脑的指挥中心,那么内存就是电脑内部的大本营,是—个不可忽略的关键部件。内存的性能好坏,直接影响到整个电脑的运行状态。本文所述的Ｗｉｎｄｏｗｓ系统是指 Ｗｉｎｄｏｗｓ ９ｘ／２０００／ＮＴ系统。１内存种类 内存条目前主要有支持８位内存寻址的３０线、支持３２ 位寻址的７２线的ＳＩＭＭ（ｓｉｎｇｌｅ－ｉｎ－ｌｉｎｅ ｍｅｍｏｒｙ　ｍｏ…     

内存优化的利器——CacheMan

如今的软件和系统对内存的需求越来越大,虽然现在拥有256M甚至更大内存已经不是什么稀罕事,但是在WindowsXP这样的系统里,我们还是要为内存不足的问题而烦恼。Windows XP本身就要占用许多内存,再加上各种程序占用的,还有无法释放的DLL文件等,这些都是导致内存紧张的因素,所以我们需要一款内存优化软件来帮助我们打理紧张的内存。     

剖析Windows：内存管理

Windows是以一种特别的方式来使用内存的。在本文中将介绍怎样管理内存，而让你的电脑获得最佳性能。     

浏览器隐私模式下进程内存数据快速获取方法

浏览器隐私模式使得用户浏览行为的取证调查变得困难,相关证据只能来自于内存。提出一种获取活动进程内存空间的方法,通过使用目标进程的CR3寄存器的内容替换当前进程的CR3寄存器的内容,使当前进程可获取目标进程的页目录和页表等信息,进而访问并获取目标进程内存空间。相对于先对内存进行完整镜像再获取目标进程数据空间的方法,缩小了下一步对用户浏览行为进行分析所涉及的数据范围,获取进程内存空间数据的速度更快。该方法也适用于目标明确的单个或几个其他进程的内存数据获取。     

基于Windows 平台的动态取证系统

针对目前一些动态取证模型的不足,在分布式网络取证模型的基础上设计了一个基于Windows平台的动态取证系统,能够实现网络中的计算机作为作案目标和作案工具双重角色时的取证,具有实时获取多种数据源、取证过程隐秘、取证分析算法可扩展等特点。介绍了动态取证系统中各功能模块设计,并阐述了系统设计中涉及到的关键技术,最后通过模拟测试表明该系统能够在Windows网络下实现动态取证。     

基于输入法的通用存储结构

输入法的实现具有递增解码的特性,因此设计一种存储结构来描述这种特性.随着用户的输入,插入对应的节点来构造整个空间,由遍历算法可无一遗漏的将所有的可能均记录下来,等待后期的处理,而当用户进行删除时,无需重构状态空间,只需删除对应的相关节点.整个空间随用户输入和删除操作不断变化,且变化均匀.该结构空间在手写笔画输入法、整句输入法、歧义音节切分等应用中体现出其描述问题状态空间的清晰性、解决问题的方便性和针对输入法领域的通用性.     

基于数据挖掘的计算机动态取证系统

本文首先介绍了计算机动态取证的概念、原则和步骤,然后提出了一个计算机动态取证系统模型,并针对计算机动态取证的数据分析阶段面临的问题,将数据挖掘技术应用于计算机动态取证的海量数据分析中,能够有效的提高动态取证中数据分析的速度、分析的准确性和分析的智能性,解决动态取证中的实用性、有效性、可适应性和可扩展性问题。     

Windows内存防护机制研究

近30年来,攻击者利用Windows内存漏洞发起的攻击事件层出不穷,其惯用手段是攻击控制数据以劫持执行流。为此,微软在Windows上加注了层层防护以遏止此类攻击,但现阶段部署的防护机制无法阻止针对非控制数据的攻击。鉴于目前研究Windows内存防护机制的文献寥寥无几,对Windows采用的各种内存防护机制及其突破技术进行了深入研究,并详述非控制数据防护的研究现状,在此基础上,分析了Windows内存防护面临的挑战,并讨论了内存防护的未来之路。     

Windows driver memory analysis: A reverse engineering methodology

In a digital forensics examination, the capture and analysis of volatile data provides significant information on the state of the computer at the time of seizure. Memory analysis is a premier method of discovering volatile digital forensic information. While much work has been done in extracting forensic artifacts from Windows kernel structures, less focus has been paid to extracting information from Windows drivers. There are two reasons for this: (1) source code for one version of the Windows kernel (but not associated drivers) is available for educational use and (2) drivers are generally called asynchronously and contain no exported functions. Therefore, finding the handful of driver functions of interest out of the thousands of candidates makes reverse code engineering problematic at best. Developing a methodology to minimize the effort of analyzing these drivers, finding the functions of interest, and extracting the data structures of interest is highly desirable. This paper provides two contributions. First, it describes a general methodology for reverse code engineering of Windows drivers memory structures. Second it applies the methodology to tcpip.sys, a Windows driver that controls network connectivity. The result is the extraction from tcpip.sys of the data structures needed to determine current network connections and listeners from the 32 and 64 bit versions of Windows Vista and Windows 7.Manipulation (DKOM), tcpip.sys, Windows 7, Windows Vista. 2000 MSC: 60, 490.     

法律执行过程模型研究

计算机取证必须遵循严格的过程和程序,否则,所荻取的证据缺乏可靠性和真实性。建立一个实用的计算机取证模型很重要,因为它能不依赖任何一种特殊的技术或组织环境,为研究支撑调查工作的技术提供一种抽象的参考构架。文章针对法律执行过程模型这一数字取证模型进行了简单的分析。     

基于摘要的内存泄露分析方法改进*

为了更加精确高效地分析源代码中的内存泄露,针对内存泄露属性分析建模,通过多种途径对现有的方法进行改进。使用函数摘要的方法提高分析效率,并使用对库函数建模、检测虚假路径的方法降低误报,同时尝试检测动态内存通过参数逃逸的情况。在crystal基础上实现了静态分析内存泄露的工具SMD,取得了良好的实验结果。     

基于本体和上下文感知的主动式计算机犯罪取证模型设计研究

事后被动的取证已经无法满足计算机犯罪取证的要求,文章针对计算机取证模型实现的关键技术进行研究,融合了蜜罐、入侵检测、上下文感知信息、Ontology等技术,有效地进行事前主动获取取证数据。文章提出了基于Ontology和上下文感知的动态取证模型,应用实例表明模型提高了对攻击源定位的追踪的准确性和实时性。