基于Windows平台的内存数据获取和取证技术研究-信息与通信工程专业论文.docxVIP

万方数据 万方数据 独 创 性 声 明 本人声明所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也 不包含为获得电子科技大学或其它教育机构的学位或证书而使用 过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论 文中作了明确的说明并表示谢意。 签名： 日期： 年 月 日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论 文的规定，有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或扫描等复制手段保存、汇编学位论文。 （保密的学位论文在解密后应遵守此规定） 签名： 导师签名： 日期： 年 月 日 摘 摘 要 万方数据 万方数据 摘 要 随着信息安全和计算机取证技术的迅猛发展，计算机犯罪的手段和使用的技 术也日新月异,犯罪份子使用的技术更加隐蔽、恶意程序更加深入底层、恶意程序 驻留的位置也更加多样化，计算机犯罪的定罪也越来越困难。传统的计算机取证 技术更多关注的是计算机系统中静态数据，如硬盘、光盘等，而忽略了很多驻留 在内存中的潜在证据；而且新型的恶意程序经常隐藏在 Bios、Firmware、PCI controller 等地方，无法在文件系统中找到；再者，由于硬盘容量的不断增长，导 致传统文件系统分析的难度也越来越大；但是不管恶意程序隐藏在哪里，在当前 的计算机体系结构中，内存是所有可执行程序运行的地方，当然就会留下曾经运 行过的痕迹和证据，加上内存的容量相对于硬盘等磁介质存储器来说还比较小， 分析的速度相对来说比较快。因此研究内存取证技术就显得十分重要，可以更有 效地打击计算机犯罪行为。 本文的研究基于 Windows NT 系列操作系统，研究了在该系列平台下，计算机 中的物理内存镜像的获取和分析技术，目的是为了建立从镜像获取到取证分析的 内存取证的框架，为了达到这个目的，本文深入研究了 Windows NT 系列操作系统 的核心运行机理和虚拟内存管理机制，重点研究了 PAE 模式下虚拟地址到物理地 址的转译过程、内核对象访问技术以及系统的核心数据结构 KPCR、KDBG、 EPROCESS 的作用和相互之间的联系等；通过理论和实践验证的方式研究了地址 转译过程、\Device\PhysicalMemory 对象的访问、在映像文件中扫描特定证据的方 法；提出了通过内核驱动程序获取系统物理内存镜像和内存镜像取证分析的基本 框架；实现了该系统，详细介绍了系统主要模块的设计，最后对系统进行了功能 测试和性能测试。 关键词：内存取证，内存映像获取，内存分析 Ⅰ ABSTRACT ABSTRACT 万方数据 万方数据 ABSTRACT With the explosive growth of technology of information security and computer forensics, the methods and technology used by computer crimes are also changing rapidly. The methods are more and more imperceptible, malicious programs are going deeper into the OS kernel layer, and the places resided by them are more and more diverse, the conviction of computer crime has become increasingly difficult. The traditional computer forensics technology concentrates on static data in computer system, like hard disk, CD-ROM and so on which ignores a lot of potential evidence in main memory, new malicious programs often reside in BIOS, Firmware, PCI controller and cann’t be found in the file system. In additional, the capacity of hard disk is booming, which intensify the difficulty of an