基于Windows物理内存取证系统设计与实现

随着信息安全技术的快速发展,数字取证调查技术已经成为重要技术之一。由于物理内存中包含计算机操作的大量信息,针对物理内存的实时取证分析已成为当前数字犯罪调查领域中的热点研究问题之一。文章通过研究物理内存获取技术,内存进程管理模式,信息关键词搜索技术等相关技术背景,实现对Windows物理内存的镜像获取,内存中的隐藏进程和异常进程的检测,内存中敏感信息的检测分析三方面功能。通过对用户主机进行调查检测,掌握用户大量的操作行为和有用信息,为计算机犯罪取证调查和信息安全检查提供了一种很好的方法手段。     

面向Windows操作系统的内存取证技术研究

传统的计算机取证方法收集被攻击的计算机磁盘等能持久化保存数据的介质。但是随着磁盘存储能力的提升以及数据加密等技术的发展,使用原来针对硬盘的取证方法获取数据进行分析变得越来越困难。对计算机的取证开始采用其他数据源,包括计算机内存中易失性的信息。对Windows操作系统的主要内存获取、分析方法以及内存取证过程进行介绍,采用分析和对比的手段对每种方法的特点、优势和不足进行比较,得出比较结果并给出计算机犯罪内存取证领域未来需要研究的方向。     

Windows 8回收站取证分析

在计算机取证过程中,对于删除文件的分析常常提供有价值的信息。知道在哪里找到被删除文件并且能够理解文件被删除过程中产生的元数据,这是一个合格的计算机取证人员必备的素质。本文对Window 8系统的回收站与传统的Windows XP系统的回收站的相似点和不同点进行了对比分析,并详细说明了Windows 8系统回收站的工作细节,以期为计算机取证人员提供帮助。     

Windows8操作系统计算机取证新特性浅析

针对Windows8系统新特性,讨论在Windows 8系统下的计算机取证问题,着重介绍了注册表分析、Metro用户界面、IE 10和通讯类应用取证时应当注意的问题.     

基于KPCR结构的Windows物理内存分析方法

介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,适用范围更广,具有很高的实用价值。     

计算机取证中的物理内存取证分析方法研究

阐述物理内存取证分析的基本概念及相关研究现状,重点研究了Windows 系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作.     

Windows 8计算机取证与安全机制分析

随着微软新一代操作系统Windows 8的普及,计算机取证调查人员将在实际工作中越来越多的遇到安装Windows 8操作系统的检材.文章主要对Windows 8操作系统给计算机取证带来的新变化及其本身的安全机制进行了简要分析.     

Windows95下物理内存单元的可靠读写

本文介绍了Ｗｉｎｄｏｗｓ下处于保护模式下的内存寻址模式和保护模式下的虚拟８０８６内存寻址模式，给出了可靠地进行内存单元读写的例程。     

Windows 8操作系统新变化及其取证分析

所谓Windows 8操作系统新变化是与之前Windows系列操作系统相比较而言的,在计算机取证工作中要特别注意不同版本操作系统的变化对取证工作带来的影响.文章主要对Windows 8与之前几个版本之间进行对比,总结归纳出Windows 8操作系统的一些新变化,并重点结合取证工作重点对这些新的变化进行分析,以期为计算机取证工作带来更多便利.     

Windows95下多线程技术及其实现

首先讨论了16位Ｗｉｎｄｏｗｓ下不具备线程的概念；然后着重讲述在３２位Ｗｎｄｏｗｓ９５环境下多线程的编程技术；最后给出利用该技术的一个实例，即基于Ｗｉｎｄｏｗｓ９５下ＴＣＰ／ＩＰ的可视电话的实现。     

Windows Mobile的智能终端上内存泄露检测研究

Windows Mobile 5.0是微软为智能移动终端推出的软件平台,特别在智能手机领域受到越来越广泛的应用;在基于Windows Mobile的产品设计中,内存泄露又是需要考虑的关键之一。文中解析了Windows Mobile平台上监测设备内存泄露的工具AppVerifier,并在模拟器上实现了监测应用程序内存泄露,进而发现使用AppVerifier存在的问题,并指出了使用中高效利用AppVerifier的方法。     

Windows内存防护机制研究

近30年来,攻击者利用Windows内存漏洞发起的攻击事件层出不穷,其惯用手段是攻击控制数据以劫持执行流。为此,微软在Windows上加注了层层防护以遏止此类攻击,但现阶段部署的防护机制无法阻止针对非控制数据的攻击。鉴于目前研究Windows内存防护机制的文献寥寥无几,对Windows采用的各种内存防护机制及其突破技术进行了深入研究,并详述非控制数据防护的研究现状,在此基础上,分析了Windows内存防护面临的挑战,并讨论了内存防护的未来之路。     

基于数据挖掘的计算机动态取证系统

本文首先介绍了计算机动态取证的概念、原则和步骤,然后提出了一个计算机动态取证系统模型,并针对计算机动态取证的数据分析阶段面临的问题,将数据挖掘技术应用于计算机动态取证的海量数据分析中,能够有效的提高动态取证中数据分析的速度、分析的准确性和分析的智能性,解决动态取证中的实用性、有效性、可适应性和可扩展性问题。     

Windows平台下的内存管理实时化研究

分析Windows平台下内存管理方面的非实时性因素,提出一种提高Windows实时性的方案.建立虚拟地址和物理地址之间的映射来避免用户和内核之间的地址模式切换.将页面锁定在物理内存中,避免内存的缺页换页操作.改进系统原有的内存分配算法,消除系统对内存操作的不确定性.实验结果表明,该方案能较好地提高Windows内存管理操作的效率,内存操作时间稳定,可实现Windows平台下内存管理操作的实时化.     

Windows CE内存访问原理分析与研究

针对Windows CE流接171驱动程序,通过嵌入指针访问应用程序内存区域时出错的案例,分析错误产生的原因,阐述一些有关Windows CE内存访问的重要概念,包括指针参数、嵌入指针、同步访问、访问检查和内存整理,从而提出对嵌入指针进行内存整理的解决方法。结果证明该方法可以有效地解决异步内存访问出错的问题。     

基于内存描述结构的通用图像处理算法

本文给出了基于内存描述结构和在Ｗｉｎｄｏｗｓ环境下进行图像处理的通用算法,完成诸如图像透明处理、增减亮度、增减对比度和重新着色等。