检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
作 者:翟继强[1] 孙宏泰 赵洛平 杨海陆 ZHAI Jiqiang;SUN Hongtai;ZHAO Luoping;YANG Hailu(School of Computer Science and Technology, Harbin University of Science and Technology, Harbin 150080, China)
机构地区:[1]哈尔滨理工大学计算机科学与技术学院,黑龙江哈尔滨150080
出 处:《西北工业大学学报》2022年第3期699-707,共9页Journal of Northwestern Polytechnical University
基 金:国家自然科学基金(61403109);黑龙江省自然科学基金(F2016024);黑龙江省教育厅科技面上项目(12531121)资助。
摘 要:内存取证研究中,现存的用户地址空间遍历方法只适用于Windows XP和Windows 7的32位系统,而Windows 1064位系统已经被个人用户广泛使用,是网络攻击者的主要目标。提出了一种基于虚拟地址描述符(virtual address descriptor,VAD)树的Windows 10用户地址空间遍历方法。方法对Windows 1064位系统内存内核和用户地址空间元数据进行定位,解析内存映射文件、共享内存、堆栈缓冲区和保留系统结构等相关元数据,与VAD树中的节点信息相匹配,最后描述每一段内存区域的分配起止地址、占用大小、分配保护、内存类型和详细信息。测试结果表明,方法能够兼容目前所有版本的Windows 1064位系统,在应对不同复杂程度的进程时能有效遍历常见的结构。The existing traversal method for user address space in the memory forensic research is only applicable to Windows XP and Windows 732-bit system.Windows 1064-bit system is currently used by most users,which is the main target of network attackers.A method to traverse Windows 10 user address space based on VAD(virtual address descriptor)tree is proposed.The memory kernel and user address space metadata of Windows 1064-bit system was located.The related metadata such as mapping files,shared memory,heap,stack and reserved system structures were parsed and matched with the information in VAD tree nodes.The starting address,ending address,used size,allocating protection,memory type and details of each memory area were output.The results show that the method is compatible with all versions of Windows 1064-bit system and can effectively traverse common structures when dealing with processes with different complexity.
关 键 词:内存取证 VAD树 用户地址空间 VOLATILITY Rekall
分 类 号:TP319[自动化与计算机技术—计算机软件与理论]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.15