计算机取证物理内存镜像获取技术的研究与实现

摘要

随着信息技术的发展，计算机与网络成为社会政治、经济、文化生活的重要组成部分，而与此相关的各种计算机犯罪现象也日益突出。计算机取证技术成为打击计算机犯罪的重要手段，是目前计算机界和法学界共同研究、关注的重点。 本文介绍了计算机取证技术的现状和发展情况，比较了现有的计算机取证模式，分析了离线取证模式的不足，指出了在线取证模式研究的必要性。物理内存取证是在线取证的重要环节，也是当今的研究热点。本文旨在研究物理内存取证中的物理内存镜像获取技术。现有技术是在用户态打开\Device\PhysicalMemory内核对象来访问物理内存，然而在Windows2003及Vista等版本下，用户态访问此内核对象受到限制，只有通过内核态才能访问。因此，需要通过驱动程序的方法。本文开发的基于内核驱动的物理内存镜像获取工具，可以解决DD等当前取证工具在Windows高端版本下使用受限的问题。 研究物理内存，首先要了解Windows操作系统内存管理机制。Windows操作系统采用请求分页的虚拟存储管理技术，通过在虚拟地址空间的页与物理地址空间的页之间建立映射，实现虚拟地址到物理地址的变换。地址变换过程由内存管理单元（MMU）自动完成，但是对取证过程中的数据比对分析，需要手工完成地址变换过程。以往的研究对地址变换的描述都是基于X86体系模型，与当前大量使用的采用物理地址扩展（PAE）模式的XP系统并不完全吻合。本文结合Windows XP SP2版本提出地址变换公式。同时，由于一直以来大量的相关文献都依赖微软所颁布的技术资料，仅以虚拟地址空间的观点来解释虚拟地址转换的过程，无法解释任意进程的虚拟地址，如何映射到物理地址空间中。本文使用进程和物理内存的观点来研究地址变换，清晰的说明了任意进程的虚拟地址空间如何在物理地址空间中定位。 本文结合Windows系统结构，阐述了内核驱动程序访问物理内存的基本原理，依照驱动程序基本框架，开发了内核驱动程序和用户态调用程序，来获取物理内存镜像，并提供了程序的核心代码。然后，对实验结果进行了分析评价。 虚拟内存文件镜像的获取，也是物理内存镜像获取的重要方面。目前还没有相关的软件。由于XP下pagefile.sys是隐藏文件，需要在磁盘上准确定位该文件。本文详细阐述了磁盘的文件系统原理，分别针对NTFS和FAT32两种文件系统，设计出获取该文件的实现方法。侦查

目录

文摘

英文文摘

声明

第1章 绪论

1.1 研究背景

1.2 国内外相关研究评述

1.2.1 国外研究现状

1.2.2 国内研究现状

第2章 计算机取证概述

2.1 计算机取证的相关概念

2.2 取证类型

2.2.1 离线取证

2.2.2 在线取证

2.3 取证工具

2.3.1 基于软件的获取工具

2.3.2 基于硬件的获取工具

2.4 本文的主要工作

2.5 本章小结

第3章 Windows内存地址空间映射关系的研究

3.1 进程虚拟地址空间概述

3.2 分页管理机制

3.2.1 物理内存扩展

3.2.2 页

3.2.3 页目录指针索引

3.2.4 页目录

3.2.5 页表

3.2.6 页目录和页表虚拟地址的关系

3.3 虚拟地址到物理地址的变换

3.3.1 EPRPCESS结构

3.3.2 虚拟地址到物理地址的变换过程

3.3.3 进程任意虚拟地址的变换

3.4 本章小结

第4章 物理内存访问的原理

4.1 用户模式下访问物理内存

4.1.1 Windows内核对象

4.1.2 相关API函数

4.1.3 PhysicalMemory内核对象的访问权限

4.2 通过驱动程序访问物理内存

4.2.1 Windows系统结构

4.2.2 驱动程序概述

4.2.3 驱动程序的构成

4.2.4 驱动程序的编译

4.3 本章小结

第5章 物理内存镜像获取技术的实现

5.1 内核模式驱动访问物理内存实现

5.1.1 驱动程序的初始化

5.1.2 使用MmMapIoSpace方法开发的驱动程序

5.1.3 使用内核对象方法开发的驱动程序

5.2 物理内存的使用分析

5.3 驱动程序和应用程序通信

5.3.1 采用DeviceIoControl方案

5.3.2 采用共享内存的方式

5.4 驱动程序的加载和卸载

5.4.1 加载安装驱动

5.4.2 驱动的卸载

5.4.3 加载权限

5.5 物理内存镜像保存

5.6 实验结果

5.6.1 正确性分析

5.6.2 与同类软件的比较分析

5.7 本章小结

第6章 磁盘文件系统原理

6.1 虚拟内存

6.2 磁盘逻辑结构

6.2.1 盘片(plate)

6.2.2 磁道(track)

6.2.3 柱面(cylinder)

6.2.4 扇区(Sector)

6.3 磁盘格式化和分区

6.3.1 磁盘的低级格式化

6.3.2 磁盘的分区

6.3.3 磁盘的高级格式化

6.3.4 磁盘的容量

6.3.5 磁盘的线性地址扇区

6.4 FAT文件系统

6.4.1 MBR区

6.4.2 DBR区

6.4.3 FAT区

6.4.4 FDT 区

6.4.5 数据(DATA)区

6.5 NTFS文件系统

6.5.1 NTFS的特性

6.5.2 NTFS磁盘分析

6.6 本章小结

第7章 虚拟内存文件镜像获取技术的实现

7.1 总体设计

7.2 开发环境

7.3 主要功能函数定义

7.3.1 数值转换函数

7.3.2 读物理磁盘函数

7.3.3 写镜像文件函数

7.4 NTFS分区pagefile.sys获取子模块

7.5 FAT32分区pagefile.sys获取子模块

7.6 本章小结

第8章 结束语

8.1 学科展望

8.2 本文工作的总结与展望

参考文献

致 谢

在学期间主要科研成果