基于EPROCESS特征的物理内存查找方法被引量：3

Searching physical memory method based on EPROCESS characteristics

导出

摘要为了快速定位目标活动进程,提取对应的物理内存数据,分析了Windows系统中进程运行时其EPROCESS结构的特性及作用,提出了基于EPROCESS特征的物理内存查找方法。该方法利用EPROCESS结构的特性,定位出活动进程的EPROCESS结构,找出进程页目录基地址,并根据虚拟地址描述符的功能,提取活动进程物理内存。实验结果表明,该方法能快速、有效地定位活动进程,提取出活动进程物理内存,缩小取证分析范围,提高取证效率。 To quickly locate the target active processes,and extract the corresponding physical memory data,EPROCESS structure＇s role and characteristics are analyzed.A method of searching physical memory based on EPROCESS characteristics is proposed.This method uses the characteristics of EPROCESS structure,locates active processes＇ EPROCESS structure,finds out the process page directory base address,and extracts the corresponding physical memory data according to the virtual address descriptor＇s function.Experiments show that the proposed method can quickly and efficiently locate the target active processes,and extract the corresponding physical memory data.This method narrows the range of forensic analysis and improves evidence collection efficiency.

作者陈龙敬凯董振兴田庆宜

机构地区重庆邮电大学计算机取证研究所重庆市公安局电子物证司法鉴定中心

出处《重庆邮电大学学报（自然科学版）》 CSCD 北大核心 2013年第1期122-125,131,共5页 Journal of Chongqing University of Posts and Telecommunications(Natural Science Edition)

基金重庆市教委科学技术研究项目(KJ110505) 重庆市科技攻关计划项目(CSTC 2011AC2155)~~

关键词计算机取证 EPROCESS 进程内存 computer forensics EPROCESS process memory

分类号 TP309 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献3

1LI Peng,WANG Ru-chuan ,ZHANG Wei College of Computer,Nanjing University of Posts and Telecommunications,Nanjing 210003,China.Key technologies of new malicious code developments and defensive measures in communication networks[J].The Journal of China Universities of Posts and Telecommunications,2010,17(4):69-73. 被引量：1
2陈龙,王国胤.计算机取证技术综述[J].重庆邮电学院学报（自然科学版）,2005,17(6):736-741. 被引量：48
3郭牧,王连海.基于KPCR结构的Windows物理内存分析方法[J].计算机工程与应用,2009,45(18):74-77. 被引量：9

二级参考文献27

1胡汉平,梁兴,张宝良.一种主动防御的网络传输系统[J].电子学报,2005,33(4):701-705. 被引量：2
2Schuster A.Searching for processes and threads in microsoft Windows memory dumps[C/OL]//Proceedings of the 2006 Digital Forensic Research Workshop (DFRWS), 2006.http ://www.dfrws.org/2006/proceedings/2-Schuster.pdf.
3Burdach M.Digital forensics of the physical memory[EB/OL].(2005- 03 ).http ://(orensie .seecurc.net/pdf/mburdaeh_digital_forensies of physical_memory.pdf.
4Carvey A.Windows forensic analysis[M/OL]//Sample Chapter:Windows Memory Analysis.[S.l.] : Sgngress, 2007.http ://www.syngress.com/hook_catalog/sample 159749156X.PDF.
5Burdach M.An introduction to Windows memory forensic[EB/OL]. ( 2005 -07 ). http ://forensic. seccure. net/pdf/introduction_to windows_ memory_forensic.pdf.
6Intel Corporation.Intel 64 and IA-32 architectures software developer's manual volume 3A:System programming guide [EB/OL]. (2007-11 ).http://www.intel.com/design/processor/manuals/253668.pdf.
7CNNIC.中国互联网络发展状况统计报告[EB/OL].http://www.cnnic.net.cn/download/2005/2005011801.pdf,2005-02-01/2005-03-19.
8YASINSAC. Computer forensics education[J]. IEEE Security & Privacy Magazine, 2003,1(4):15-23.
9KEVINMandia CHRISProsise 常晓波译.应急响应:计算机犯罪调查[M].北京:清华大学出版社,2002..
10MARK Reith, CLINT Carr, GREGG Gunsch.An examination of digital forensic models[J].International Journal of Digital Evidence. 2002, 1 (3):25-28.

共引文献54

1刘桂英.Windows操作系统日志安全的防范手段及设想[J].硅谷,2009(20):114-114. 被引量：1
2夏冰,席丽萍,李瑞华,郑秋生.面向有效性研判的终端安全深度测评技术[J].保密科学技术,2012(11):57-60. 被引量：1
3王静.浅谈计算机取证[J].法制与社会,2008(21).
4王英,邓亚平,曾立梅.遗传算法在入侵检测中的应用[J].重庆邮电学院学报（自然科学版）,2006,18(2):261-263. 被引量：9
5王丽娜,杨墨,王辉,郭攀峰.基于NTFS文件系统的计算机取证[J].武汉大学学报（理学版）,2006,52(5):519-522. 被引量：7
6张新刚,刘妍.计算机取证技术研究[J].计算机安全,2007(1):17-20. 被引量：11
7王一淼,彭宏,陈龙.基于入侵检测系统的主动取证方法[J].计算机应用研究,2007,24(5):278-279. 被引量：4
8马永波,陈龙,王国胤,聂能,黎龙.基于有限状态机的一种事件重建算法[J].计算机应用研究,2007,24(6):101-103. 被引量：1
9宋秀丽,陈龙,邓红耀.计算机取证课程实验教学探讨[J].实验室研究与探索,2007,26(6):47-51. 被引量：12
10高涛.基于EnCase的计算机取证技术研究[J].中国成人教育,2007(17):66-67.

同被引文献20

1Andreas S. Searching for processes and threads in Microsoft Windows memory dumps [ J ]. Digital Investigation : The International Journal of Digital Forensics & Incident, 2006,3:10-16.
2Dolan-Gavitt B. Forensic analysis of the Windows registry in memory[ J]. Digital Investigation: The International Journal of Digital Forensics & Incident, 2008 (5) : $26-$32.
3Zhang Ruichao, Wang Lianhai, Zhang Shuhui. Windows memory analysis based on KPCR[ C]/! 2009 the Fifth In- ternational Conference on Information Assurance and Secur- ity. 2009:677-680.
4Okolica J, Peterson G. Extracting the windows clipboard from physical memory[ J ]. Digital Investigation: The Inter- national Journal of Digital Forensics & Incident, 2011,8: Sl18-S124.
5Funminiyi Olajide, Nick Savage. Forensic extraction of us- er information in continuous block of evidence [ C ]//2011 International Conference on Information Society (i-Socie- ty). 2011:476481.
6Mcrosoft. Word97-2007 Binary File Format(DOC) Specifi- cation [ EB/OL ]. http://www, microsoft, com/intemp/ osp/default, mspx, 2013-03-20.
7Carvey H. Instant messaging investigations on a live Win- dows XP system [ J]. Digital Investigation: The Interna- tional Journal of Digital Forensics & Incident, 2004,1 (4) : 256 -260.
8Zhang Chunxia, Li Xudong, Lin Shuguang, et al. Re- search on status reconversion of VAD in the checkpoint of Windows process [ C ]//The 2010 International Conference on Computer Application and System Modeling(ICCASM). 2010 : 89-93.
9韩敬伟,李树彪.浅析WINDOWS环境下的内存分页机制[J].国外电子测量技术,2008,27(6):35-38. 被引量：2
10钟秀玉.基于FAT32的数据恢复系统的设计[J].计算机应用与软件,2008,25(11):56-57. 被引量：10

引证文献3

1黄休平,陈龙.一种从内存镜像中获取Word文本的方法[J].计算机与现代化,2013(8):165-167. 被引量：1
2车生兵,易文.Windows内核变量定位与应用研究[J].电子测量技术,2015,38(5):27-32.
3范伟,孔斌,张珠君,王婷婷,张杰,黄伟庆.KVM虚拟化动态迁移技术的安全防护模型[J].软件学报,2016,27(6):1402-1416. 被引量：14

二级引证文献15

1秦中云,杜建萍,马栋萍.云计算环境下多校区图书馆智慧服务平台研究——以北京联合大学图书馆为例[J].图书馆建设,2019,0(S01):74-78. 被引量：27
2范伟,孔斌,张珠君,王婷婷,张杰,黄伟庆.KVM虚拟化动态迁移技术的安全防护模型[J].软件学报,2016,27(6):1402-1416. 被引量：14
3张江,贾玉洁,张晓宇.云计算环境下的内核虚拟机技术安全研究[J].计算机与网络,2017,43(4):72-75. 被引量：4
4常德显,杨英杰.基于ProVerif的TVP迁移协议安全性分析[J].计算机应用研究,2017,34(7):2155-2158.
5石源,张焕国,吴福生.一种可信虚拟机迁移模型构建方法[J].计算机研究与发展,2017,54(10):2284-2295. 被引量：6
6谢桂彬.试论基于云计算环境下的内核虚拟机技术安全[J].技术与市场,2017,24(11):72-73. 被引量：1
7章勇,张洁卉,柳斌.全局负载均衡下云环境中的大数据动态迁移方法[J].计算机科学,2018,45(1):196-199. 被引量：10
8何花,杨段生.面向数据中心的能源效率和服务器虚拟化[J].电子技术与软件工程,2018(8):151-153.
9关兆雄.基于KVM的可信虚拟化平台设计[J].自动化与仪器仪表,2018,0(5):112-115. 被引量：1
10王鹃,樊成阳,程越强,赵波,韦韬,严飞,张焕国,马婧.SGX技术的分析和研究[J].软件学报,2018,29(9):2778-2798. 被引量：27

1段俊锋.基于EPROCESS结构中双向链表的进程检测方法[J].黑客防线,2007(11):100-101.
2Cxs_cqupt,周林.简单获取所有内核对象类型[J].黑客防线,2010(5):98-99.
3Fireworm.再谈借助双向链表隐藏进程[J].黑客防线,2009(2):113-115.
4Naylon.简单方法伪装进程路径[J].黑客防线,2010(7):351-352.
5平淡.遭遇三无木马[J].计算机应用文摘,2006(28):87-87.
6夜枫.无进程式线程插入穿墙技术实现[J].黑客防线,2008(2):74-78.
7关爱芬,宋鸣.关于汇编语言中寻址方式的深入探讨[J].云南师范大学学报（对外汉语教学与研究版）,1998(5):78-79.
8宫泽林,徐艳红.大数据时代网络舆情分析与研究[J].黑龙江科技信息,2016(17):169-169. 被引量：3
9李炳龙,鲁越.基于Windows物理内存取证系统设计与实现[J].信息网络安全,2011(11):50-53. 被引量：1
10吴洪展.SCO　Unix　OpenServer5.0.4故障排除四例[J].中国金融电脑,1999,0(10):73-73+78. 被引量：1

重庆邮电大学学报（自然科学版）

2013年第1期

浏览历史

内容加载中请稍等...

基于EPROCESS特征的物理内存查找方法被引量：3

参考文献3

二级参考文献27

共引文献54

同被引文献20

引证文献3

二级引证文献15

相关作者

相关机构

相关主题

浏览历史

基于EPROCESS特征的物理内存查找方法 被引量：3

参考文献3

二级参考文献27

共引文献54

同被引文献20

引证文献3

二级引证文献15

相关作者

相关机构

相关主题

浏览历史

基于EPROCESS特征的物理内存查找方法被引量：3