摘要4-5
ABSTRACT5-9
第一章 引言9-14
1.1 探讨背景9-10
1.2 国内外探讨近况10-12
1.2.1 国外探讨近况10-11
1.2.2 国内探讨近况11-12
1.3 论文主要工作和组织结构12-14
第二章 计算机取证概述14-19
2.1 计算机取证的概念14
2.2 计算机取证的分类14-16
2.3 内存镜像获取工具16-18
2.3.1 基于硬件的工具16-17
2.3.2 基于软件的工具17-18
2.4 本章小结18-19
第三章 WINDOWS内核运转机制探讨19-40
3.1 WINDOWS虚拟内存管理机制19-29
3.1.1 进程虚拟地址空间概述19-20
3.1.2 分页机制20-24
3.1.3 虚拟地址到物理地址的转换24-27
3.1.4 Pagefile的处理27-29
3.2 WINDOWS物理内存管理机制29-33
3.2.1 \Device\PhysicalMemory对象30-31
3.2.2 物理内存利用浅析31-33
3.3 WINDOWSNT系统的核心数据结构33-39
3.3.1 KPCR33-34
3.3.2 KDBG34-36
3.3.3 OBJECT HEADER36-39
3.4 本章小结39-40
第四章 内存取证系统的实现40-67
4.1 物理内存镜像获取40-42
4.2 内存取证浅析系统的框架设计42-44
4.3 开发模型和语言的选择44-45
4.4 系统主要支持模块的设计45-51
4.4.1 插件模块45-46
4.4.2 地址空间模块46-47
4.4.3 系统profile模块47-48
4.4.4 对象管理模块48-50
4.4.5 扫描模块50-51
4.5 取证浅析模块的实现51-66
4.5.1 映像文件识别模块51-53
4.5.2 枚举进程和线程模块53-58
4.5.3 枚举进程加载的DLL模块58-60
4.5.4 枚举系统加载的驱动的模块60-61
4.5.5 网络行为浅析模块61-63
4.5.6 注册表浅析模块63-66
4.6 本章小结66-67
第五章 系统测试67-74
5.1 测试环境67
5.2 主要功能测试67-72
5.2.1 映像文件识别功能测试67-68
5.2.2 枚举进程功能测试68
5.2.3 枚举进程加载DLL功能测试68-70
5.2.4 枚举已加载内核模块功能测试70
5.2.5 收集网络行为功能测试70-72
5.3 系统性能测试72-73
5.4 本章小结73-74
第六章 总结与未来展望74-75
致谢75-76