面向Windows 10系统段堆的内存取证研究

目前有关堆的取证研究主要是针对Linux系统的堆和Windows系统的NT堆,然而怎样从转储文件中提取出Windows 10系统段堆信息并没有得到充分研究。为了重现Windows 10系统中段堆的内部信息,提出根据内存对象vtype描述信息中字段偏移定位并解析段堆内部信息的方法。使用池扫描技术定位进程对象,根据进程对象和进程环境块对象的结构信息获取进程堆的起始位置并扫描进程堆,再使用段堆特征值定位段堆的位置,进而提取出段堆的内部信息。依据分析结果,研发了基于Volatility框架的5个段堆取证插件。实验结果表明文中方法可以有效地提取进程中每个段堆及其内部组件在内存中的地址、占用的内存大小等信息,这些信息可以帮助调查人员分析网络犯罪或网络攻击在内存中留下的数字痕迹。