电子测量技术
電子測量技術
전자측량기술
ELECTRONIC MEASUREMENT TECHNOLOGY
2015年
5期
27-32
,共6页
内核变量定位%内存取证%MmPhysicalMemoryBlock%内存分析
內覈變量定位%內存取證%MmPhysicalMemoryBlock%內存分析
내핵변량정위%내존취증%MmPhysicalMemoryBlock%내존분석
locate Windows kernel variables%memory forensic%MmPhysicalMemoryBlock%memory analyze
Windows内核变量是内存分析过程中经常需要使用到的数据,但是由于Windows操作系统的封闭性,定位到Windows内核变量的位置非常困难.前人提出了一些内核变量定位的方法,但是在实验后发现,结果并不尽人意.针对这一现状,在前人的算法上进行了改进,提出一种基于虚拟地址转换的算法,使得可以准确定位内核变量位置.另外,也提出了一个基于Windows XP全新的内核变量快速定位方法.最后,以内核变量MmPhysicalMemoryBlock的应用为例,提出了基于MmPhysicalMemoryBlock的内存数据快速导出算法.实验结果表明,2个内核变量定位算法能准确的定位内核变量,内存数据快速导出算法也能准确完整的导出需要的内存数据.
Windows內覈變量是內存分析過程中經常需要使用到的數據,但是由于Windows操作繫統的封閉性,定位到Windows內覈變量的位置非常睏難.前人提齣瞭一些內覈變量定位的方法,但是在實驗後髮現,結果併不儘人意.針對這一現狀,在前人的算法上進行瞭改進,提齣一種基于虛擬地阯轉換的算法,使得可以準確定位內覈變量位置.另外,也提齣瞭一箇基于Windows XP全新的內覈變量快速定位方法.最後,以內覈變量MmPhysicalMemoryBlock的應用為例,提齣瞭基于MmPhysicalMemoryBlock的內存數據快速導齣算法.實驗結果錶明,2箇內覈變量定位算法能準確的定位內覈變量,內存數據快速導齣算法也能準確完整的導齣需要的內存數據.
Windows내핵변량시내존분석과정중경상수요사용도적수거,단시유우Windows조작계통적봉폐성,정위도Windows내핵변량적위치비상곤난.전인제출료일사내핵변량정위적방법,단시재실험후발현,결과병불진인의.침대저일현상,재전인적산법상진행료개진,제출일충기우허의지지전환적산법,사득가이준학정위내핵변량위치.령외,야제출료일개기우Windows XP전신적내핵변량쾌속정위방법.최후,이내핵변량MmPhysicalMemoryBlock적응용위례,제출료기우MmPhysicalMemoryBlock적내존수거쾌속도출산법.실험결과표명,2개내핵변량정위산법능준학적정위내핵변량,내존수거쾌속도출산법야능준학완정적도출수요적내존수거.
