摘要：

隨著計算機科學技術的迅猛發展和網絡普及,以計算機信息系統為工具和j巳罪對象的各式新型j巳罪案件頻繁發生,造成的巨大危害也越來越大.怎么可以最大程度地獲取計算機j巳罪相關的計算機證據,將犯罪人員繩之以法,己成為司法部門和計算機領域中需要解決的新問題.由于司法機關在處理高科技j巳罪方面缺乏必要的技術保證和支持,所以為了更好地提高打擊計算機j巳罪的能力,計算機取證人員應該對該領域進行更加有效的研究,開發出一些切實有效的取證工具,以應對現今社會的需要.目前計算機取證技術作為計算機和法學兩個領域的一門交叉學科正成為人們研究與關注的焦點. 本文介紹了計算機取證技術的歷史,現狀和發展情況,然后介紹一下開機取證.對計算機證據進行了分類易失性數據和非易失性數據,由于對非易失性數據的研究與獲取已經得到完善地處理,所以易失數據取證在取證分析和異常相應領域方面變得越來越重要.隨著計算機取證工具混合使用的方案的增加,惡意軟件編寫者將系統的內存作為探測安全性的最后突破口,而內存隱藏技術日益流行,獲取一個物理內存鏡像也就變得越來越重要.鑒于需要向系統內存加載內存捕獲程序,那么獲取鏡像的操作將會改變系統的狀態.所以我們介紹了諾卡德交換原理的知識. 為了獲取物理內存鏡像,首先需要研究windows操作系統進程的內部機理和內存管理機制,介紹windows內核進程KRP0cEss,從而了解了內存相關的信息.由于windows采用請求分頁的虛擬存儲技術,如果想獲得進程的物理內存鏡像,需要實現虛擬地址向物理地址的轉換,地址轉換的操作是由內存管理器來完成的.由于物理地址擴展(隊E)模式的提出,地址轉換的方式也所變化.本文分別對PAE模式與非PAE模式進行了詳細介紹,并闡述了轉移的步驟.在一些內存鏡像中,高達20%使用的虛擬地址指向所謂的無效頁(這些無效頁不能通過使用地址的原始方法找到).本文列舉無效頁的不同狀態,介紹了一個更加有效的地址轉換策略,這個新方法合并了無效頁和頁文件來增加分析的完整性.同時本文還介紹了堆管理器的相關知識,為開發內存分析平臺作了后續準備. 本文旨在研究物理內存鏡像獲取技術,現有技術是在用戶態打開物理內存的內核對象來訪問物理內存的,但是在windows的較高版本中為了安全性,不允許在用戶態訪問內核對象,只能在內核態才能訪問.所以本文利用內核驅動程序訪問物理內存,還介紹了一些windows API函數,從而開發出了上述兩個因素的物理內存鏡像獲取工具.同時作者在研究windows內存管理機制時還開發了一個內存分析平臺以供今后分析進程內存使用.

展開

總結

以上是生活随笔為你收集整理的获取计算机内存镜像文件,计算机取证中的内存镜像获取的研究与实现的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。