浏览器隐私模式下进程内存数据快速获取方法

浏览器隐私模式使得用户浏览行为的取证调查变得困难,相关证据只能来自于内存。提出一种获取活动进程内存空间的方法,通过使用目标进程的CR3寄存器的内容替换当前进程的CR3寄存器的内容,使当前进程可获取目标进程的页目录和页表等信息,进而访问并获取目标进程内存空间。相对于先对内存进行完整镜像再获取目标进程数据空间的方法,缩小了下一步对用户浏览行为进行分析所涉及的数据范围,获取进程内存空间数据的速度更快。该方法也适用于目标明确的单个或几个其他进程的内存数据获取。

谷歌浏览器隐私模式的用户浏览数据恢复

对谷歌浏览器多进程技术的工作原理及其源码进行了研究,分析了浏览器进程空间中的数据,设计了一种谷歌浏览器隐私模式下的用户浏览数据恢复方案。该方案依据进程EPROCESS结构中的成员信息,提取隐私模式谷歌浏览器所有进程的内存空间数据,将每个浏览器进程的内存空间数据与目标浏览数据的模板进行匹配,从而恢复出用户使用隐私模式的谷歌浏览器上网产生的浏览数据。实验结果表明,该方案可以从内存镜像中恢复用户的浏览数据。