基于内核对象链接关系的内存取证研究

摘要

当前越来越多涉及计算机与网络技术的新型犯罪问题引起了计算机科学界和法学界高度重视，传统的计算机取证技术更多的是关注一些非易失性存储介质的证据来源，如硬盘、光盘和U盘等等，而忽略了计算机内存这样的易失性存储介质。传统的计算机取证方法不能应对Rootkit技术、DKOM技术和内存恶意代码等新技术带来的挑战，但是内存取证技术可以很好的解决上述问题。因为Ms-Winodws7中的一些内核对象不再存储在固定的地址，所以传统的基于固定地址以及特征字符串的方法对内存镜像进行取证已经不再适用，本文利用MS-Windows7内核对象相互链接的特点，开展对MS-Windows7内存取证技术展开了研究。
　　首先，基于内核对象数据结构相互链接的特征，本文提出了一种利用内核调试器获取内核对象链接关系的方法。在Ms-Windows7系统中大部分运行时信息存储在一些内核对象数据结构中，在介绍和分析了常用的内核对象数据结构的基础上，可以利用Windows内核调试器Windbg获取MS-Windows7内核对象的数据结构之间的链接关系。同时利用内核对象数据结构存在互信息的特征，提出了一种利用互信息来提高识别内核对象准确率的方法。
　　其次，本文提出了一种系统运行时信息取证的方法。在得到内核对象的链接关系、特征串和互信息的基础上，通过对内核对象链接关系图的运用对系统运行时信息取证，其中系统运行时信息主要包括，运行着的进程和线程、进程的加载模块、注册表文件进行良好的取证。最后通过对Notepad单一进程的地址空间重构，成功的从内存镜像中还原出Notepad打开的文本信息。
　　最后，实现了一个基于内核对象链接关系内存取证的演示系统。该系统实现了进程信息、线程信息、加载模块和地址转换模块等计算内存取证常用功能，该系统可以帮助取证人员高效的获取系统运行时信息。
　　本文以Ms-Windows7内存镜像为研究对象，提出了一种基于内核对象链接关系来进行计算内存取证的方法，解决了大部分内存取证工具对Ms-Windows7不支持的特性，成功地通过对特殊进程进行内存数据区的取证而还原NotePad打开的文本信息，并研发了一个针对Windows7内存取证演示系统。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪论

1.1研究背景和意义

1.2研究现状

1.3论文研究内容和方法

1.4论文组织结构

第2章 内存取证技术概述

2.1内存取证的相关概念

2.2内存镜像的获取

2.3内存取证的分析

2.4内存取证工具比较

2.5本章小结

第3章 常用内核对象数据结构及其链接关系获取

3.1引言

3.2相关数据结构

3.3 Windows内存管理机制

3.4基于魔数的内核对象识别

3.5内核对象的链接关系的分析

3.6实验设计

3.7本章小结

第4章 基于内核对象链接关系的系统运行时信息取证

4.1引言

4.2系统运行进程以及线程信息的获取

4.3进程调用Dll和系统模块获取

4.4注册表信息获取

4.5内存中文档信息的恢复

4.6验证实验

4.7本章小结

第5章 Ms-Win7内存取证系统的设计与实现

5.1系统构架与设计

5.2系统关键模块的设计与实现

5.3验证实验

5.4本章小结

第6章 总结与展望

6.1本文工作总结

6.2今后工作展望

致谢

参考文献

附录