基于EPROCESS特征的物理内存查找方法

为了快速定位目标活动进程,提取对应的物理内存数据,分析了Windows系统中进程运行时其EPROCESS结构的特性及作用,提出了基于EPROCESS特征的物理内存查找方法。该方法利用EPROCESS结构的特性,定位出活动进程的EPROCESS结构,找出进程页目录基地址,并根据虚拟地址描述符的功能,提取活动进程物理内存。实验结果表明,该方法能快速、有效地定位活动进程,提取出活动进程物理内存,缩小取证分析范围,提高取证效率。

带DKOM技术的软件加壳方案

介绍一个在一般软件加壳方案上补充了随机及防跟踪的方法,并且针对现加壳技术的不足(忽略了解壳后的保护)而提出采用DKOM技术,它可以对正在执行的软件进程的信息进行隐藏,以防破解者趁软件在内存中运行时,把对应的内存进行转存成软件文件。

基于Windows物理内存取证系统设计与实现

随着信息安全技术的快速发展,数字取证调查技术已经成为重要技术之一。由于物理内存中包含计算机操作的大量信息,针对物理内存的实时取证分析已成为当前数字犯罪调查领域中的热点研究问题之一。文章通过研究物理内存获取技术,内存进程管理模式,信息关键词搜索技术等相关技术背景,实现对Windows物理内存的镜像获取,内存中的隐藏进程和异常进程的检测,内存中敏感信息的检测分析三方面功能。通过对用户主机进行调查检测,掌握用户大量的操作行为和有用信息,为计算机犯罪取证调查和信息安全检查提供了一种很好的方法手段。

加热炉内流动特性的PIV研究

为研究加热炉平焰旋流烧嘴下方燃烧速度场的主要机理,采用相似和模化理论建立了冷态实验模型(1∶1);采用粒子激光测速(PIV)技术对烧嘴下方的主要燃烧速度场进行了测量,得出在旋流强度为1.76、空气与煤气的流量比为13.68时的速度场;速度场主要由回流区和贴附射流区组成;同时探讨了两个区域径向速度和轴向速度的分布特性,得出了二维速度分布规律。为后续热态实验研究打下基础。

简单方法伪装进程路径

前两天不小心运行了个木马，于是进程里多出了个“svchostexe”，路径是“C：＼WINDOWS＼svchost．exe”，很明显是假的，一眼便看出来了，结束进程、删除文件，搞定。