Windows 8下基于镜像文件的内存取证研究

计算机工程与应用 ›› 2013, Vol. 49 ›› Issue (19): 63-67.

Windows 8下基于镜像文件的内存取证研究

向涛，苟木理

重庆大学计算机学院，重庆 400044

出版日期:2013-10-01 发布日期:2015-04-20

Memory forensics based on Windows 8 physical memory dumps

XIANG Tao, GOU Muli

College of Computer Science, Chongqing University, Chongqing 400044, China

Online:2013-10-01 Published:2015-04-20

摘要/Abstract

摘要： 内存取证是计算机取证的一个重要分支，而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8，研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结构进行分析，提取出相应特征；基于这些特征，提出了一种能够从物理内存镜像文件中得到系统当前进程和线程信息的算法。实验结果和分析表明，该算法能够成功提取隐藏进程和非隐藏进程，及其各进程相关的线程信息，为内存取证分析提供了可靠的数据基础。

关键词: 内存取证, Windows 8, 进程, 线程, 物理内存分析

Abstract: Memory forensics is a branch of importance in computer forensics, and searching for processes and threads in physical memory dumps is crucial and challenging for memory forensics. This paper investigates the searching of processes and threads in physical memory dumps based on the latest Microsoft operation system Windows 8. By utilizing reverse engineering techniques, the kernel data structures regarding processes and threads on Windows 8 are explored, and their features are identified. Based on these features, an algorithm is proposed for searching processes and threads in Windows 8 physical memory dumps. Experimental results and their analysis indicate that it is capable of extracting information about hidden and non-hidden processes and their threads successfully, thereby providing reliable data foundation for further analysis in memory forensics.

Key words: memory forensics, Windows 8, process, thread, physical memory analysis

向涛，苟木理. Windows 8下基于镜像文件的内存取证研究[J]. 计算机工程与应用, 2013, 49(19): 63-67.

XIANG Tao, GOU Muli. Memory forensics based on Windows 8 physical memory dumps[J]. Computer Engineering and Applications, 2013, 49(19): 63-67.

[1]	马震太，张晓梅，孙功星. BESIII实验软件事例级并行化研究[J]. 计算机工程与应用, 2021, 57(20): 253-262.
[2]	柴磊，王智学，何明. 指挥控制协同能力需求体系形式化框架[J]. 计算机工程与应用, 2020, 56(5): 49-56.
[3]	周杨，芦天亮，杜彦辉，郭蕊，暴雨轩，李默. 基于线程融合特征的Windows恶意代码检测与分析[J]. 计算机工程与应用, 2020, 56(23): 103-108.
[4]	刘长勇，王宜怀，蔡闯华，蒋建武. 实时操作系统mbedOS启动流程剖析[J]. 计算机工程与应用, 2020, 56(20): 46-51.
[5]	毛英明1，陆慧梅1，向勇2. Linux系统调用跟踪和进程错误退出分析[J]. 计算机工程与应用, 2019, 55(6): 57-66.
[6]	赵莹1，潘华2，孙金艳2，莫启3，代飞4. 协同业务过程的随机行为分析方法[J]. 计算机工程与应用, 2019, 55(3): 245-251.
[7]	宋婷，荀亚玲. 改进线程池的移动通信数据传输系统优化[J]. 计算机工程与应用, 2019, 55(24): 68-74.
[8]	陈睿，庞海萍，郝丽，厉达，杨栋. Powerlink协议异步调度机制的建模与分析[J]. 计算机工程与应用, 2019, 55(17): 259-265.
[9]	陈建平，康怡怡，胡龄爻，陆悠，吴宏杰，傅启明. 基于多线程并行强化学习的建筑节能方法[J]. 计算机工程与应用, 2019, 55(15): 219-227.
[10]	蒋溢1，2，罗宇豪1，朱恒伟1. Storm集群下一种基于Topology的任务调度策略[J]. 计算机工程与应用, 2018, 54(7): 84-88.
[11]	王荣，王建新，陈向，盛羽. 面向异构资源集成的数字图像实验平台[J]. 计算机工程与应用, 2018, 54(15): 185-191.
[12]	王歧1，2，3，卢毓海1，3，刘洋1，3，刘燕兵1，3，谭建龙1，3，孙波4. 支持模式串动态更新的多模式匹配Karp-Rabin算法[J]. 计算机工程与应用, 2017, 53(4): 39-44.
[13]	仲济源，梅魁志，温哲西. GIST特征提取的异构并发流计算实现[J]. 计算机工程与应用, 2015, 51(6): 139-144.
[14]	关金平1，2，杨东援1. 离散选择高阶段Logit模型的建模与预测 ——以上海城市外围大型居住社区为例[J]. 计算机工程与应用, 2015, 51(13): 1-8.
[15]	谭睿璞1，赵伟2. 一种快速的可变形物体的碰撞检测算法[J]. 计算机工程与应用, 2014, 50(9): 170-175.