基于Windows平台的内存数据获取和取证技术研究

摘要

随着信息安全和计算机取证技术的迅猛发展，计算机犯罪的手段和使用的技术也日新月异,犯罪份子使用的技术更加隐蔽、恶意程序更加深入底层、恶意程序驻留的位置也更加多样化，计算机犯罪的定罪也越来越困难。传统的计算机取证技术更多关注的是计算机系统中静态数据，如硬盘、光盘等，而忽略了很多驻留在内存中的潜在证据；而且新型的恶意程序经常隐藏在 Bios、Firmware、PCI controller等地方，无法在文件系统中找到；再者，由于硬盘容量的不断增长，导致传统文件系统分析的难度也越来越大；但是不管恶意程序隐藏在哪里，在当前的计算机体系结构中，内存是所有可执行程序运行的地方，当然就会留下曾经运行过的痕迹和证据，加上内存的容量相对于硬盘等磁介质存储器来说还比较小，分析的速度相对来说比较快。因此研究内存取证技术就显得十分重要，可以更有效地打击计算机犯罪行为。
　　本文的研究基于Windows NT系列操作系统，研究了在该系列平台下，计算机中的物理内存镜像的获取和分析技术，目的是为了建立从镜像获取到取证分析的内存取证的框架，为了达到这个目的，本文深入研究了Windows NT系列操作系统的核心运行机理和虚拟内存管理机制，重点研究了PAE模式下虚拟地址到物理地址的转译过程、内核对象访问技术以及系统的核心数据结构 KPCR、KDBG、EPROCESS的作用和相互之间的联系等；通过理论和实践验证的方式研究了地址转译过程、\Device\PhysicalMemory对象的访问、在映像文件中扫描特定证据的方法；提出了通过内核驱动程序获取系统物理内存镜像和内存镜像取证分析的基本框架；实现了该系统，详细介绍了系统主要模块的设计，最后对系统进行了功能测试和性能测试。

目录

封面

声明

中文摘要

英文摘要

目录

第一章引言

1.1研究背景

1.2国内外研究现状

1.3论文主要工作和组织结构

第二章计算机取证概述

2.1计算机取证的概念

2.2计算机取证的分类

2.3内存镜像获取工具

2.4本章小结

第三章Windows内核运行机制研究

3.1 Windows虚拟内存管理机制

3.2 Windows物理内存管理机制

3.3 WindowsNT系统的核心数据结构

3.4本章小结

第四章内存取证系统的实现

4.1物理内存镜像获取

4.2内存取证分析系统的框架设计

4.3开发模型和语言的选择

4.4系统主要支持模块的设计

4.5取证分析模块的实现

4.6本章小结

第五章系统测试

5.1测试环境

5.2主要功能测试

5.3系统性能测试

5.4本章小结

第六章总结与未来展望

致谢

参考文献

攻硕期间取得的研究成果