| 摘要 | 第1-5页 |
| ABSTRACT | 第5-9页 |
| 第一章 引言 | 第9-14页 |
| ·研究背景 | 第9-10页 |
| ·国内外研究现状 | 第10-12页 |
| ·国外研究现状 | 第10-11页 |
| ·国内研究现状 | 第11-12页 |
| ·论文主要工作和组织结构 | 第12-14页 |
| 第二章 计算机取证概述 | 第14-19页 |
| ·计算机取证的概念 | 第14页 |
| ·计算机取证的分类 | 第14-16页 |
| ·内存镜像获取工具 | 第16-18页 |
| ·基于硬件的工具 | 第16-17页 |
| ·基于软件的工具 | 第17-18页 |
| ·本章小结 | 第18-19页 |
| 第三章 WINDOWS内核运行机制研究 | 第19-40页 |
| ·WINDOWS虚拟内存管理机制 | 第19-29页 |
| ·进程虚拟地址空间概述 | 第19-20页 |
| ·分页机制 | 第20-24页 |
| ·虚拟地址到物理地址的转换 | 第24-27页 |
| ·Pagefile的处理 | 第27-29页 |
| ·WINDOWS物理内存管理机制 | 第29-33页 |
| ·\Device\PhysicalMemory对象 | 第30-31页 |
| ·物理内存使用分析 | 第31-33页 |
| ·WINDOWSNT系统的核心数据结构 | 第33-39页 |
| ·KPCR | 第33-34页 |
| ·KDBG | 第34-36页 |
| ·OBJECT HEADER | 第36-39页 |
| ·本章小结 | 第39-40页 |
| 第四章 内存取证系统的实现 | 第40-67页 |
| ·物理内存镜像获取 | 第40-42页 |
| ·内存取证分析系统的框架设计 | 第42-44页 |
| ·开发模型和语言的选择 | 第44-45页 |
| ·系统主要支持模块的设计 | 第45-51页 |
| ·插件模块 | 第45-46页 |
| ·地址空间模块 | 第46-47页 |
| ·系统profile模块 | 第47-48页 |
| ·对象管理模块 | 第48-50页 |
| ·扫描模块 | 第50-51页 |
| ·取证分析模块的实现 | 第51-66页 |
| ·映像文件识别模块 | 第51-53页 |
| ·枚举进程和线程模块 | 第53-58页 |
| ·枚举进程加载的DLL模块 | 第58-60页 |
| ·枚举系统加载的驱动的模块 | 第60-61页 |
| ·网络行为分析模块 | 第61-63页 |
| ·注册表分析模块 | 第63-66页 |
| ·本章小结 | 第66-67页 |
| 第五章 系统测试 | 第67-74页 |
| ·测试环境 | 第67页 |
| ·主要功能测试 | 第67-72页 |
| ·映像文件识别功能测试 | 第67-68页 |
| ·枚举进程功能测试 | 第68页 |
| ·枚举进程加载DLL功能测试 | 第68-70页 |
| ·枚举已加载内核模块功能测试 | 第70页 |
| ·收集网络行为功能测试 | 第70-72页 |
| ·系统性能测试 | 第72-73页 |
| ·本章小结 | 第73-74页 |
| 第六章 总结与未来展望 | 第74-75页 |
| 致谢 | 第75-76页 |
| 参考文献 | 第76-79页 |
| 攻硕期间取得的研究成果 | 第79页 |