基于EPROCESS特征的物理内存查找方法

被引：5

作者：

陈龙 ^{[1
]}

敬凯 ^{[1
]}

董振兴 ^{[1
]}

田庆宜 ^{[2
]}

机构：

[1] 重庆邮电大学计算机取证研究所

[2] 重庆市公安局电子物证司法鉴定中心

来源：

重庆邮电大学学报(自然科学版) | 2013年 / 01期

关键词：

计算机取证; EPROCESS; 进程; 内存;

D O I：

暂无

中图分类号：

TP393.08 []; D918.2 [侦查技术与方法];

学科分类号：

0839 ; 1402 ; 0306 ; 030604 ; 030609 ; 0838 ;

摘要：

为了快速定位目标活动进程,提取对应的物理内存数据,分析了Windows系统中进程运行时其EPROCESS结构的特性及作用,提出了基于EPROCESS特征的物理内存查找方法。该方法利用EPROCESS结构的特性,定位出活动进程的EPROCESS结构,找出进程页目录基地址,并根据虚拟地址描述符的功能,提取活动进程物理内存。实验结果表明,该方法能快速、有效地定位活动进程,提取出活动进程物理内存,缩小取证分析范围,提高取证效率。

引用

页码：122 / 125+131 +131

页数：5

共 3 条

[1] Key technologies of new malicious code developments and defensive measures in communication networks [J].

LI PengWANG Ruchuan ZHANG Wei College of ComputerNanjing University of Posts and TelecommunicationsNanjing China .

TheJournalofChinaUniversitiesofPostsandTelecommunications, 2010, 17 (04) :69-73

[2] 基于KPCR结构的Windows物理内存分析方法 [J].

郭牧 ;

王连海 .

计算机工程与应用, 2009, 45 (18) :74-77+143

[3] 计算机取证技术综述 [J].

陈龙 ;

王国胤 .

重庆邮电学院学报(自然科学版), 2005, (06) :736-741

← 1 →