-
题名基于KPCR结构的Windows物理内存分析方法
被引量:9
- 1
-
-
作者
郭牧
王连海
-
机构
山东省计算中心
-
出处
《计算机工程与应用》
CSCD
北大核心
2009年第18期74-77,143,共5页
-
基金
山东省中青年科学家奖励基金(No.2007BSC01001)
-
文摘
介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,适用范围更广,具有很高的实用价值。
-
关键词
计算机取证
计算机在线取证
物理内存分析
数字取证
-
Keywords
computer forensics
computer live forensics
physical memory analysis
digital forensics
-
分类号
TP319
[自动化与计算机技术—计算机软件与理论]
-
-
题名Windows 8下基于镜像文件的内存取证研究
被引量:3
- 2
-
-
作者
向涛
苟木理
-
机构
重庆大学计算机学院
-
出处
《计算机工程与应用》
CSCD
2013年第19期63-67,共5页
-
基金
国家自然科学基金(No.61103211)
中国博士后科学基金特别资助(No.201104302)
中央高校基本科研业务经费面上项目(No.CDJZR10180020)
-
文摘
内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结构进行分析,提取出相应特征;基于这些特征,提出了一种能够从物理内存镜像文件中得到系统当前进程和线程信息的算法。实验结果和分析表明,该算法能够成功提取隐藏进程和非隐藏进程,及其各进程相关的线程信息,为内存取证分析提供了可靠的数据基础。
-
关键词
内存取证
WINDOWS8
进程
线程
物理内存分析
-
Keywords
memory forensics
Windows 8
process
thread
physical memory analysis
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
