《面向Windows操作系统的内存取证技术研究-论文》.pdfVIP

第 40卷 第 8期 计 算 机 工 程 2014年 8月 Vo1．40 No．8 ComputerEngineering August2014 · 开发研究与工程应用 · 文章编号：1000-3428(2014)08-0310-08 文献标识码：A 中图分类号：TP393 面向Windows操作系统的内存取证技术研究 钱 勤 ’，董步云 ，唐 哲 ，伏 晓 ，茅 兵 (1．江苏省高级人 民法院技术处，南京 210093； 2．南京大学 a．软件学院；b．计算机软件新技术国家重点实验室，南京 210093) 摘 要：传统的计算机取证方法收集被攻击的计算机磁盘等能持久化保存数据的介质。但是随着磁盘存储能力的 提升 以及数据加密等技术的发展 ，使用原来针对硬盘的取证方法获取数据进行分析变得越来越 困难 。对计算机的 取证开始采用其他数据源 ，包括计算机 内存中易失性 的信息。对 Windows操作系统的主要 内存获取、分析方法 以 及 内存取证过程进行介绍 ，采用分析和对 比的手段对每种方法的特点、优势和不足进行 比较 ，得 出比较结果并给出 计算机犯罪 内存取证领域未来需要研究的方 向。 关键词 ：网络犯罪 ；计算机取证 ；内存取证 ；内存获取 ；内存分析 ；易失性信息；内存取证过程 StudyofM emoryForensicsTechnology Oriented toW indowsOperatingSystem QIAN Qin’h，DONGBu—yun ·，TANGZhe ，FUXiao。，，MAOBing (1．TechnologyDepartment，JiangsuProvincialHigherPeople’sCourt，Nanjing210093，China； 2a．SoftwareInstitute；2b．StateKeyLaboratoryforNovelSoftwareTechnology，NanjingUniversity，Nanjing210093，China) 【Abstract】Traditionalmethodsofmemoryacquisitionfocusonthepersistentdataofdiskorharddiskintheattacked computers．However，asthegrowinguseofencryptionroutinesorrapidlyincreasing storagecapabilitiesofharddrives，it isvery diffi cultto getdatain timewiththeoriginalmethodthatismeantforpersistentdata．So in thefield ofcomputer forensics，peoplestartto change thedata source and focuson the volatile information in RAM ．Thispaperspecifically describestheprevailingmethodsofmemory acquisition andanalysisandtheprocessofmemory forensics．Itexplainsthe characteristicsofeach method and gives the advantage and disadvantage ofthem ．In the end，itconcludes allthese methodsandgivessomesuggestionsofthefutureofcomputerforensics． 【Keywords】cybercrime；computerforensics；memoryforensics；memoryacquisition；memoryanalysis；volatile information；processofmemoryforensic