基于內(nèi)核對象鏈接關(guān)系的內(nèi)存取證研究.pdf

1、當(dāng)前越來越多涉及計算機與網(wǎng)絡(luò)技術(shù)的新型犯罪問題引起了計算機科學(xué)界和法學(xué)界高度重視，傳統(tǒng)的計算機取證技術(shù)更多的是關(guān)注一些非易失性存儲介質(zhì)的證據(jù)來源，如硬盤、光盤和U盤等等，而忽略了計算機內(nèi)存這樣的易失性存儲介質(zhì)。傳統(tǒng)的計算機取證方法不能應(yīng)對Rootkit技術(shù)、DKOM技術(shù)和內(nèi)存惡意代碼等新技術(shù)帶來的挑戰(zhàn)，但是內(nèi)存取證技術(shù)可以很好的解決上述問題。因為Ms-Winodws7中的一些內(nèi)核對象不再存儲在固定的地址，所以傳統(tǒng)的基于固定地址以及特征字

2、符串的方法對內(nèi)存鏡像進(jìn)行取證已經(jīng)不再適用，本文利用MS-Windows7內(nèi)核對象相互鏈接的特點，開展對MS-Windows7內(nèi)存取證技術(shù)展開了研究。
　　首先，基于內(nèi)核對象數(shù)據(jù)結(jié)構(gòu)相互鏈接的特征，本文提出了一種利用內(nèi)核調(diào)試器獲取內(nèi)核對象鏈接關(guān)系的方法。在Ms-Windows7系統(tǒng)中大部分運行時信息存儲在一些內(nèi)核對象數(shù)據(jù)結(jié)構(gòu)中，在介紹和分析了常用的內(nèi)核對象數(shù)據(jù)結(jié)構(gòu)的基礎(chǔ)上，可以利用Windows內(nèi)核調(diào)試器Windbg獲取MS-Win

3、dows7內(nèi)核對象的數(shù)據(jù)結(jié)構(gòu)之間的鏈接關(guān)系。同時利用內(nèi)核對象數(shù)據(jù)結(jié)構(gòu)存在互信息的特征，提出了一種利用互信息來提高識別內(nèi)核對象準(zhǔn)確率的方法。
　　其次，本文提出了一種系統(tǒng)運行時信息取證的方法。在得到內(nèi)核對象的鏈接關(guān)系、特征串和互信息的基礎(chǔ)上，通過對內(nèi)核對象鏈接關(guān)系圖的運用對系統(tǒng)運行時信息取證，其中系統(tǒng)運行時信息主要包括，運行著的進(jìn)程和線程、進(jìn)程的加載模塊、注冊表文件進(jìn)行良好的取證。最后通過對Notepad單一進(jìn)程的地址空間重構(gòu)，成功

4、的從內(nèi)存鏡像中還原出Notepad打開的文本信息。
　　最后，實現(xiàn)了一個基于內(nèi)核對象鏈接關(guān)系內(nèi)存取證的演示系統(tǒng)。該系統(tǒng)實現(xiàn)了進(jìn)程信息、線程信息、加載模塊和地址轉(zhuǎn)換模塊等計算內(nèi)存取證常用功能，該系統(tǒng)可以幫助取證人員高效的獲取系統(tǒng)運行時信息。
　　本文以Ms-Windows7內(nèi)存鏡像為研究對象，提出了一種基于內(nèi)核對象鏈接關(guān)系來進(jìn)行計算內(nèi)存取證的方法，解決了大部分內(nèi)存取證工具對Ms-Windows7不支持的特性，成功地通過對特殊進(jìn)