信息网络安全

信息网络安全 ›› 2015, Vol. 15 ›› Issue (3): 44-47.doi: 10.3969/j.issn.1671-1122.2015.03.009

• 技术研究 • 上一篇    下一篇

利用KPCR结构获取内存敏感信息

罗文华(), 沈成轩   

  1. 中国刑事警察学院网络犯罪侦查系,辽宁沈阳 110854
  • 收稿日期:2015-01-21 出版日期:2015-03-10 发布日期:2015-05-08
  • 作者简介:

    作者简介: 罗文华(1977-),男,辽宁,教授,硕士,主要研究方向:电子数据取证;沈成轩(1983-),男,辽宁,助理实验师,本科,主要研究方向:电子数据取证。

  • 基金资助:
    公安部应用创新计划[2014YYCXXJXY056]

Obtaining Sensitive Information in RAM by Using the Structure of KPCR

LUO Wen-hua(), SHEN Cheng-xuan   

  1. Department of Cyber Crime Investigation, China Criminal Police University, Shenyang 110854, China
  • Received:2015-01-21 Online:2015-03-10 Published:2015-05-08

RichHTML

2

摘要:

传统的内存取证分析侧重于依赖操作系统中软件实现所使用的数据结构进行敏感信息抽取,在搜集深度与广度上存在一定局限性。文章有别于传统的方法,基于底层硬件管理使用的控制结构进行关键内容追踪与拓展,说明其定位方法,并重点讨论内部格式的电子数据取证特性,为内存空间电子数据取证提供了新的思路与方法。实例分析部分,则以目前广泛使用的Windows 7操作系统为应用背景,说明了所述方法的具体应用。

关键词: 内存, 电子数据取证, KPCR, KPRCB, Windows 7

Abstract:

Obtaining sensitive information in traditional RAM analysis uses the structures of realizing software in operating system, which has some certain shortcomings in depth and breadth. This paper finds a new way for tracing and extending key content by control structures of bottom hardware administration, illustrates the method of locating position, discusses the characteristics of digital investigation in inner format, provides new thought and method for investigating RAM space. In the part of case analysis, this paper explains specific application of mentioned method based on extensive used Windows 7 currently.

Key words: RAM, digital investigation, KPCR, KPRCB, Windows 7

中图分类号: