基于KPCR结构的Windows物理内存分析方法

被引：10

作者：

郭牧

王连海

机构：

[1] 山东省计算中心

来源：

计算机工程与应用 | 2009年 / 45卷 / 18期

关键词：

计算机取证; 计算机在线取证; 物理内存分析; 数字取证;

D O I：

暂无

中图分类号：

TP316 [操作系统];

学科分类号：

081202 ; 0835 ;

摘要：

介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,适用范围更广,具有很高的实用价值。

引用

页码：74 / 77+143 +143

页数：5

共 4 条

[1]

Intel? 64 and IA-32 Architectures Software Developer‘s Manual Volume 3A. http://www.intel.com .

[2]

Searching for processes and threads in microsoft Windows memory dumps[C/OL]. Schuster A. Proceedings of the2006Digital Forensic Research Workshop(DFRWS) . 2006

[3]

Digital forensics of the physical memory. Burdach M. http://forensic.seccure.net/pdf/mburdach_digital_forensics_of_physical_memory.pdf . 2005

[4]

An introduction to Windows memory forensic. Burdach M. http://forensic.seccure.net/pdf/introduction_to_windows_memory_forensic.pdf . 2005

← 1 →