Windows 8计算机取证与安全机制分析

随着微软新一代操作系统Windows 8的普及,计算机取证调查人员将在实际工作中越来越多的遇到安装Windows 8操作系统的检材。文章主要对Windows 8操作系统给计算机取证带来的新变化及其本身的安全机制进行了简要分析。

基于物理内存的注册表逆向重建取证分析算法

注册表结构重建与分析是Windows物理内存取证分析的重点和难点问题之一。首先通过分析注册表文件在硬盘中的逻辑特性,利用Windows系统调试工具分析注册表在内存中的数据结构特征,确立了在物理内存中定位注册表结构的方法;然后通过分析注册表项之间的树形关系,确定了注册表结构重建算法,并利用Graphviz可视化工具,设计出一种树形结构的可视化算法。实验结果表明,该算法能够实现对物理内存中注册表键名、键值信息的重建,基于获取的数据能够完成对系统中病毒的检测,并通过Graphviz可视化算法有效展示病毒感染系统的过程和结果。