基于内核对象链接关系的内存取证研究

摘要	第5-6页
ABSTRACT	第6-7页
第1章绪论	第11-17页
1.1 研究背景和意义	第11-13页
1.2 研究现状	第13-14页
1.2.1 国外研究现状	第13页
1.2.2 国内研究现状	第13-14页
1.3 论文研究内容和方法	第14-15页
1.4 论文组织结构	第15-17页
第2章内存取证技术概述	第17-27页
2.1 内存取证的相关概念	第17-19页
2.1.1 定义描述	第17-18页
2.1.2 内存取证的分类	第18页
2.1.3 内存取证的原则	第18-19页
2.1.4 内存取证的模型	第19页
2.2 内存镜像的获取	第19-22页
2.2.1 基于硬件的获取	第19-20页
2.2.2 基于软件的获取	第20-22页
2.2.3 基于虚拟化的获取	第22页
2.2.4 基于冷启动的获取	第22页
2.3 内存取证的分析	第22-25页
2.3.1 镜像信息分析	第23页
2.3.2 内存进程与线程数据分析	第23-24页
2.3.3 内存注册表信息取证	第24页
2.3.4 网络端口信息取证	第24-25页
2.3.5 进程数据区取证	第25页
2.4 内存取证工具比较	第25-26页
2.5 本章小结	第26-27页
第3章常用内核对象数据结构及其链接关系获取	第27-43页
3.1 引言	第27页
3.2 相关数据结构	第27-32页
3.2.1 Eprocess 结构	第27-28页
3.2.2 KPCR 结构	第28-29页
3.2.3 Kdbg 结构	第29-31页
3.2.4 PEB 结构	第31-32页
3.3 Windows 内存管理机制	第32-35页
3.3.1 Windows 进程虚拟地址空间分布	第32-33页
3.3.2 Windows 虚拟地址与物理地址之间转换	第33-35页
3.4 基于魔数的内核对象识别	第35-37页
3.4.1 魔数信息的获取	第35-36页
3.4.2 魔数的验证与数字签名	第36-37页
3.5 内核对象的链接关系的分析	第37-38页
3.5.1 基于内核对象链接关系的信息获取	第37-38页
3.5.2 基于内核对象链接关系的信息相互验证	第38页
3.6 实验设计	第38-42页
3.6.1 实验环境	第38页
3.6.2 实验分析	第38-42页
3.7 本章小结	第42-43页
第4章基于内核对象链接关系的系统运行时信息取证	第43-61页
4.1 引言	第43页
4.2 系统运行进程以及线程信息的获取	第43-46页
4.2.1 获取方法	第43-45页
4.2.2 获取步骤	第45-46页
4.3 进程调用 Dll 和系统模块获取	第46-47页
4.3.1 获取方法	第46-47页
4.3.2 获取步骤	第47页
4.4 注册表信息获取	第47-49页
4.4.1 获取方法	第47-48页
4.4.2 获取步骤	第48-49页
4.5 内存中文档信息的恢复	第49-52页
4.5.1 恢复方法	第49-51页
4.5.2 恢复步骤	第51-52页
4.6 验证实验	第52-58页
4.6.1 实验环境	第52页
4.6.2 真实机器镜像	第52-57页
4.6.3 公开镜像实验	第57-58页
4.6.4 实验分析及其对比实验	第58页
4.7 本章小结	第58-61页
第5章 Ms-Win7 内存取证系统的设计与实现	第61-67页
5.1 系统构架与设计	第61-62页
5.1.1 设计目标及原则	第61页
5.1.2 基本功能分析	第61-62页
5.1.3 系统构架	第62页
5.2 系统关键模块的设计与实现	第62-63页
5.2.1 镜像获取模块	第62-63页
5.2.2 分析取证模块	第63页
5.3 验证实验	第63-64页
5.4 本章小结	第64-67页
第6章总结与展望	第67-69页
6.1 本文工作总结	第67页
6.2 今后工作展望	第67-69页
致谢	第69-71页
参考文献	第71-75页
附录	第75页