| 摘要 | 第11-14页 |
| ABSTRACT | 第14-17页 |
| 第1章 绪论 | 第18-33页 |
| 1.1 研究背景 | 第18-20页 |
| 1.2 本文的研究内容及意义 | 第20-21页 |
| 1.3 研究现状 | 第21-30页 |
| 1.3.1 计算机取证模型研究现状 | 第21-23页 |
| 1.3.2 物理内存的获取与分析研究现状 | 第23-29页 |
| 1.3.2.1 物理内存镜像获取 | 第24-26页 |
| 1.3.2.2 物理内存镜像分析 | 第26-29页 |
| 1.3.3 物理内存镜像获取的可信性评估 | 第29-30页 |
| 1.4 本文的贡献及创新点 | 第30-31页 |
| 1.5 本文的组织结构 | 第31-33页 |
| 第2章 基于物理内存分析的在线取证模型 | 第33-40页 |
| 2.1 计算机在线取证面临的主要困境 | 第34-35页 |
| 2.1.1 计算机在线取证的主要任务 | 第34页 |
| 2.1.2 面临的主要困境 | 第34-35页 |
| 2.2 数字证据可信性的构成 | 第35-36页 |
| 2.3 数字证据可信性评估架构 | 第36-37页 |
| 2.4 基于物理内存分析的在线取证模型 | 第37-38页 |
| 2.5 基于物理内存分析的在线取证模型的优点 | 第38-39页 |
| 2.6 小结 | 第39-40页 |
| 第3章 在线证据的可信性评估 | 第40-62页 |
| 3.1 内存获取过程中影响可信性的主要方面分析 | 第40-41页 |
| 3.2 以测量理论的相关方法进行在线证据的可信性评估 | 第41-55页 |
| 3.2.1 方法概述 | 第42页 |
| 3.2.2 相关概念和定义 | 第42-45页 |
| 3.2.3 实验方法 | 第45-55页 |
| 3.2.3.0 实验环境因素对实验结果的影响 | 第45-47页 |
| 3.2.3.1 实验环境及实验过程 | 第47页 |
| 3.2.3.2 实验结果及分析 | 第47-48页 |
| 3.2.3.3 系统误差的计算 | 第48-50页 |
| 3.2.3.4 系统进程测量误差算法 | 第50-55页 |
| 3.3 取证工具的加载活动覆盖关键痕迹的概率 | 第55-57页 |
| 3.3.1 概率计算公式 | 第55-57页 |
| 3.3.2 实验分析 | 第57页 |
| 3.4 内存镜像文件提取的在线证据与真实证据间的差异情况分析 | 第57-60页 |
| 3.4.1 实验环境 | 第58页 |
| 3.4.2 实验结果分析 | 第58-60页 |
| 3.5 小结 | 第60-62页 |
| 第4章 Windows系统内存获取与分析 | 第62-86页 |
| 4.1 引言 | 第62页 |
| 4.2 Windows物理内存的获取方法 | 第62-69页 |
| 4.2.1 基于IEEE 1394接口的内存镜像获取方法 | 第63-66页 |
| 4.2.2 基于PCI Express接口的内存镜像获取方法 | 第66-69页 |
| 4.3 Windows物理内存的分析 | 第69-85页 |
| 4.3.1 基于字符串查找的分析办法 | 第69页 |
| 4.3.2 改进型的基KPCR结构的Windows内存分析方法 | 第69-76页 |
| 4.3.2.1 KPCR结构体的查找 | 第69-70页 |
| 4.3.2.2 线性(虚拟)地址到物理地址转换问题 | 第70-73页 |
| 4.3.2.3 CR3寄存器中的内容的查找 | 第73页 |
| 4.3.2.4 根据CR3寄存器中的内容实现地址转换 | 第73-74页 |
| 4.3.2.5 内核变量的查找 | 第74-76页 |
| 4.3.3 注册表信息的查找 | 第76-80页 |
| 4.3.4 从内存镜像提取网络信息 | 第80-85页 |
| 4.3.4.1 TcpEndpointPool结构 | 第80-81页 |
| 4.3.4.2 TcpEndpointPool结构的查找 | 第81-82页 |
| 4.3.4.3 TcpEndpoint和TCB | 第82-83页 |
| 4.3.4.4 从内存镜像中提取网络信息的算法 | 第83-85页 |
| 4.4 小结 | 第85-86页 |
| 第5章 Mac OS系统内存获取与分析 | 第86-99页 |
| 5.1 引言 | 第86页 |
| 5.2 Mac系统内存获取技术 | 第86-87页 |
| 5.3 Mac系统内存分析技术 | 第87-98页 |
| 5.4 小结 | 第98-99页 |
| 第6章 内存取证技术的应用实例 | 第99-109页 |
| 6.1 引言 | 第99页 |
| 6.2 Windows登录/屏保密码的破解 | 第99-105页 |
| 6.2.1 修改密码方式 | 第100-101页 |
| 6.2.2 绕过密码方式 | 第101页 |
| 6.2.3 明文获取方式 | 第101-105页 |
| 6.3 在线取证中加密软件密码的破解 | 第105-106页 |
| 6.4 APT木马的检测分析 | 第106-108页 |
| 6.5 本章小结 | 第108-109页 |
| 第7章 总结与展望 | 第109-112页 |
| 7.1 主要研究工作总结 | 第109-110页 |
| 7.2 未来可能的研究工作展望 | 第110-112页 |
| 参考文献 | 第112-121页 |
| 致谢 | 第121-122页 |
| 攻读学位期间发表的学术论文目录 | 第122-125页 |
| 攻读学位期间参与科研项目情况 | 第125-126页 |
| 攻读学位期间获奖情况 | 第126-127页 |
| 外文论文 | 第127-158页 |
| 学位论文评阅及答辩情况表 | 第158页 |
