| 摘要 | 第1-10页 |
| ABSTRACT | 第10-12页 |
| 第1章 绪论 | 第12-15页 |
| ·研究背景 | 第12页 |
| ·国内外相关研究评述 | 第12-15页 |
| ·国外研究现状 | 第12-13页 |
| ·国内研究现状 | 第13-15页 |
| 第2章 计算机取证概述 | 第15-20页 |
| ·计算机取证的相关概念 | 第15页 |
| ·取证类型 | 第15-17页 |
| ·离线取证 | 第16页 |
| ·在线取证 | 第16-17页 |
| ·取证工具 | 第17-18页 |
| ·基于软件的获取工具 | 第17-18页 |
| ·基于硬件的获取工具 | 第18页 |
| ·本文的主要工作 | 第18-19页 |
| ·本章小结 | 第19-20页 |
| 第 3 章 Windows 内存地址空间映射关系的研究 | 第20-32页 |
| ·进程虚拟地址空间概述 | 第20-22页 |
| ·分页管理机制 | 第22-25页 |
| ·物理内存扩展 | 第22-23页 |
| ·页 | 第23页 |
| ·页目录指针索引 | 第23页 |
| ·页目录 | 第23-24页 |
| ·页表 | 第24-25页 |
| ·页目录和页表虚拟地址的关系 | 第25页 |
| ·虚拟地址到物理地址的变换 | 第25-31页 |
| ·EPRPCESS 结构 | 第25-26页 |
| ·虚拟地址到物理地址的变换过程 | 第26-29页 |
| ·进程任意虚拟地址的变换 | 第29-31页 |
| ·本章小结 | 第31-32页 |
| 第4章 物理内存访问的原理 | 第32-44页 |
| ·用户模式下访问物理内存 | 第32-35页 |
| ·Windows 内核对象 | 第32-33页 |
| ·相关API 函数 | 第33-34页 |
| ·PhysicalMemory 内核对象的访问权限 | 第34-35页 |
| ·通过驱动程序访问物理内存 | 第35-43页 |
| ·Windows 系统结构 | 第35-37页 |
| ·驱动程序概述 | 第37页 |
| ·驱动程序的构成 | 第37-42页 |
| ·驱动程序的编译 | 第42-43页 |
| ·本章小结 | 第43-44页 |
| 第5章 物理内存镜像获取技术的实现 | 第44-58页 |
| ·内核模式驱动访问物理内存实现 | 第44-46页 |
| ·驱动程序的初始化 | 第44-45页 |
| ·使用MmMapIoSpace 方法开发的驱动程序 | 第45页 |
| ·使用内核对象方法开发的驱动程序 | 第45-46页 |
| ·物理内存的使用分析 | 第46-50页 |
| ·驱动程序和应用程序通信 | 第50-53页 |
| ·采用DeviceIoControl 方案 | 第51-52页 |
| ·采用共享内存的方式 | 第52-53页 |
| ·驱动程序的加载和卸载 | 第53-55页 |
| ·加载安装驱动 | 第53页 |
| ·驱动的卸载 | 第53页 |
| ·加载权限 | 第53-55页 |
| ·物理内存镜像保存 | 第55-56页 |
| ·实验结果 | 第56-57页 |
| ·正确性分析 | 第56页 |
| ·与同类软件的比较分析 | 第56-57页 |
| ·本章小结 | 第57-58页 |
| 第6章 磁盘文件系统原理 | 第58-79页 |
| ·虚拟内存 | 第58-59页 |
| ·磁盘逻辑结构 | 第59-60页 |
| ·盘片(plate) | 第59页 |
| ·磁道(track) | 第59页 |
| ·柱面(cylinder) | 第59页 |
| ·扇区(Sector) | 第59-60页 |
| ·磁盘格式化和分区 | 第60-62页 |
| ·磁盘的低级格式化 | 第60-61页 |
| ·磁盘的分区 | 第61页 |
| ·磁盘的高级格式化 | 第61页 |
| ·磁盘的容量 | 第61页 |
| ·磁盘的线性地址扇区 | 第61-62页 |
| ·FAT 文件系统 | 第62-68页 |
| ·MBR 区 | 第62-65页 |
| ·DBR 区 | 第65-67页 |
| ·FAT 区 | 第67-68页 |
| ·FDT 区 | 第68页 |
| ·数据(DATA)区 | 第68页 |
| ·NTFS 文件系统 | 第68-78页 |
| ·NTFS 的特性 | 第69页 |
| ·NTFS 磁盘分析 | 第69-78页 |
| ·本章小结 | 第78-79页 |
| 第7章 虚拟内存文件镜像获取技术的实现 | 第79-86页 |
| ·总体设计 | 第79页 |
| ·开发环境 | 第79页 |
| ·主要功能函数定义 | 第79-82页 |
| ·数值转换函数 | 第79-80页 |
| ·读物理磁盘函数 | 第80-81页 |
| ·写镜像文件函数 | 第81-82页 |
| ·NTFS 分区 pagefile.sys 获取子模块 | 第82-83页 |
| ·FAT32 分区 pagefile.sys 获取子模块 | 第83页 |
| ·本章小结 | 第83-86页 |
| 第8章 结束语 | 第86-88页 |
| ·学科展望 | 第86页 |
| ·本文工作的总结与展望 | 第86-88页 |
| 参考文献 | 第88-92页 |
| 致谢 | 第92-93页 |
| 在学期间主要科研成果 | 第93页 |
