-
题名Windows内核变量定位与应用研究
被引量:1
- 1
-
-
作者
车生兵
易文
-
机构
中南林业科技大学计算机与信息工程学院
-
出处
《电子测量技术》
2015年第5期27-32,共6页
-
文摘
Windows内核变量是内存分析过程中经常需要使用到的数据,但是由于Windows操作系统的封闭性,定位到Windows内核变量的位置非常困难。前人提出了一些内核变量定位的方法,但是在实验后发现,结果并不尽人意。针对这一现状,在前人的算法上进行了改进,提出一种基于虚拟地址转换的算法,使得可以准确定位内核变量位置。另外,也提出了一个基于Windows XP全新的内核变量快速定位方法。最后,以内核变量MmPhysicalMemoryBlock的应用为例,提出了基于MmPhysicalMemoryBlock的内存数据快速导出算法。实验结果表明,2个内核变量定位算法能准确的定位内核变量,内存数据快速导出算法也能准确完整的导出需要的内存数据。
-
关键词
内核变量定位
内存取证
MmPhysicalMemoryBlock
内存分析
-
Keywords
locate Windows kernel variables
memory forensic
MmPhysicalMemoryBlock
memory analyze
-
分类号
TP2
[自动化与计算机技术—检测技术与自动化装置]
-
