10.3979/j.issn.1673-825X.2013.01.020
基于EPROCESS特征的物理内存查找方法
为了快速定位目标活动进程,提取对应的物理内存数据,分析了Windows系统中进程运行时其EPROCESS结构的特性及作用,提出了基于EPROCESS特征的物理内存查找方法.该方法利用EPROCESS结构的特性,定位出活动进程的EPROCESS结构,找出进程页目录基地址,并根据虚拟地址描述符的功能,提取活动进程物理内存.实验结果表明,该方法能快速、有效地定位活动进程,提取出活动进程物理内存,缩小取证分析范围,提高取证效率.
计算机取证、EPROCESS、进程、内存
25
TP309(计算技术、计算机技术)
重庆市教委科学技术研究项目KJ110505;重庆市科技攻关计划项目CSTC,2011AC2155
2016-01-16(万方平台首次上网日期,不代表论文的发表时间)
共5页
122-125,131
