内存取证研究与进展

被引：27

作者：

张瑜 ^{[1
]}

刘庆中 ^{[2
]}

李涛 ^{[3
]}

吴丽华 ^{[1
]}

石春 ^{[1
]}

机构：

[1] 海南师范大学计算机科学系

[2] Department of Computer Science Sam Houston State University

[3] 四川大学计算机学院

来源：

软件学报 | 2015年 / 26卷 / 05期

基金：

海南省自然科学基金;

关键词：

网络安全; 内存取证; 网络攻击; 网络犯罪; 应急响应;

D O I：

10.13328/j.cnki.jos.004821

中图分类号：

TP333 [存贮器]; TP393.08 [];

学科分类号：

081201 ; 0839 ; 1402 ;

摘要：

网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源和发展演化过程;其次介绍了操作系统内存管理关键机制;然后探讨了内存取证的数据获取和分析方法,归纳总结目前内存取证研究的最新技术;最后讨论了内存取证存在的问题、发展趋势和进一步的研究方向.

引用

页码：1151 / 1172

页数：22

共 33 条

[1] 基于EPROCESS特征的物理内存查找方法 [J].

陈龙 ;

敬凯 ;

董振兴 ;

田庆宜 .

重庆邮电大学学报(自然科学版), 2013, (01) :122-125+131

[2] 基于KPCR结构的Windows物理内存分析方法 [J].

郭牧 ;

王连海 .

计算机工程与应用, 2009, 45 (18) :74-77+143

[3]

内存取证工具的研究与实现[D]. 桑厅.上海交通大学 2013

[4]

基于Windows的易失性内存数据取证分析方法研究[D]. 王峰.吉林大学 2012

[5]

基于Windows平台的内存数据获取和取证技术研究[D]. 刘洋.电子科技大学 2012

[6]

Windows内核原理与实现[M]. 电子工业出版社 , 潘爱民, 2010

[7]

Anti-forensic resilient memory acquisition[J] . Johannes Stüttgen,Michael Cohen.Digital Investigation . 2013

[8]

An evaluation platform for forensic memory acquisition software[J] . Stefan V?mel,Johannes Stüttgen.Digital Investigation . 2013

[9] A survey of main memory acquisition and analysis techniques for the windows operating system [J].

Voemel, Stefan ;

Freiling, Felix C. .

DIGITAL INVESTIGATION, 2011, 8 (01) :3-22

[10]

Extracting the windows clipboard from physical memory[J] . James Okolica,Gilbert L. Peterson.Digital Investigation . 2011

← 1 2 3 4 →