| 摘要 | 第1-5页 |
| ABSTRACT | 第5-9页 |
| 第一章 绪论 | 第9-13页 |
| ·研究背景 | 第9-10页 |
| ·研究目的和意义 | 第10-11页 |
| ·研究目标和内容 | 第11页 |
| ·本文的组织结构 | 第11-13页 |
| 第二章 相关技术综述 | 第13-32页 |
| ·计算机取证技术 | 第13-18页 |
| ·计算机取证的定义 | 第13-14页 |
| ·计算机取证的基本原则 | 第14-15页 |
| ·计算机取证的流程 | 第15-16页 |
| ·计算机取证的分类 | 第16-18页 |
| ·物理内存取证 | 第18-23页 |
| ·物理内存的获取方法 | 第19-23页 |
| ·物理内存的获取的基本则 | 第23页 |
| ·虚拟内存取证 | 第23-26页 |
| ·虚拟内存 | 第23-24页 |
| ·页交换文件获取方法 | 第24-26页 |
| ·进程的基本状态及其转换 | 第26-28页 |
| ·进程的三种基本状态 | 第26-27页 |
| ·进程的挂起操作 | 第27-28页 |
| ·内存分析方法 | 第28-31页 |
| ·基于字符串查找 | 第28页 |
| ·基于内核结构的分析方法 | 第28-31页 |
| ·本章小结 | 第31-32页 |
| 第三章 基于进程冻结的物理内存取证方法的研究及其工具的实现 | 第32-58页 |
| ·物理内存取证面临的挑战 | 第32-40页 |
| ·内存的高动态性 | 第32-34页 |
| ·内存容量的增加 | 第34-36页 |
| ·内存区域的划分 | 第36-40页 |
| ·物理内存取证方法的研究 | 第40-44页 |
| ·现有方法的不足 | 第40-41页 |
| ·基于优先级的分块获取的物理内存取证方法 | 第41-42页 |
| ·基于进程冻结的物理内存取证方法 | 第42-44页 |
| ·物理内存取证工具的设计与实现 | 第44-51页 |
| ·PhyMmDumper 工具的架构设计 | 第44-45页 |
| ·进程冻结模块的设计与实现 | 第45-48页 |
| ·物理内存获取模块的设计与实现 | 第48-51页 |
| ·实验 | 第51-57页 |
| ·实验环境 | 第51-52页 |
| ·实验步骤设计 | 第52页 |
| ·实验结果 | 第52-57页 |
| ·本章小结 | 第57-58页 |
| 第四章 基于 VSS 的虚拟内存取证方法的研究及其工具的实现 | 第58-71页 |
| ·虚拟内存的分析 | 第58-59页 |
| ·虚拟内存管理 | 第58-59页 |
| ·交换文件 | 第59页 |
| ·虚拟内存取证方法的研究 | 第59-64页 |
| ·直接读取磁盘扇区的虚拟内存取证方法的分析 | 第60-62页 |
| ·基于卷影复制服务的虚拟内存取证方法的提出 | 第62-64页 |
| ·基于卷影复制服务的虚拟内存取证工具的设计与实现 | 第64-68页 |
| ·PagefileCopy 工具的架构 | 第64-65页 |
| ·PagefileCopy 工具的实现 | 第65-68页 |
| ·实验 | 第68-70页 |
| ·实验环境 | 第68页 |
| ·测试结果 | 第68-70页 |
| ·本章小结 | 第70-71页 |
| 第五章 总结与展望 | 第71-73页 |
| ·本文工作总结 | 第71页 |
| ·展望 | 第71-73页 |
| 参考文献 | 第73-77页 |
| 致谢 | 第77-78页 |
| 攻读学位期间发表的学术论文 | 第78-80页 |