利用KPCR结构获取内存敏感信息.pdfVIP

2015年第O3期 利用KPCR结构获取内存敏感信息 罗文华，沈成轩 (中国刑事警察学院网络犯罪侦查系，辽宁沈阳110854) 摘 要 ：传统的内存取证分析侧重于依赖操作系统中软件实现所使用的数据结构进行敏感 信息抽取，在搜集深度与广度上存在一定局限性。文章有别于传统的方法，基于底层硬件管理 使用的控制结构进行关键 内容追踪与拓展 ，说 明其定位方法，并重点讨论 内部格式的电子数据 取证特性，为内存空间电子数据取证提供了新的思路与方法。实例分析部分，则以目前广泛使 用的Windows7操作系统为应用背景，说 明了所述方法的具体应用。 关键词 ：内存 ；电子数据取证 ；KPCR ；KPRCB；Windows7 中图分类号 ：TP309 文献标识码 ：A 文章编号 ：1671一l122(2015)03—0044—04 中文引用格式 ：罗文华，沈成轩．利用KPCR结构获取内存敏感信息… ．信息网络安全，2015