1、隨著電子計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，極大地提高了現(xiàn)代社會(huì)的發(fā)展速度，但同時(shí)也帶來了大量的計(jì)算機(jī)犯罪，并呈現(xiàn)出愈演愈烈的趨勢。計(jì)算機(jī)取證技術(shù)已經(jīng)成為還原計(jì)算機(jī)犯罪的重要的技術(shù)手段，可以給犯罪分子給予嚴(yán)厲的打擊。然而，黑客技術(shù)的發(fā)展導(dǎo)致通過傳統(tǒng)的離線分析方法很難得到有效的計(jì)算機(jī)犯罪證據(jù)，越來越多的惡意代碼采用了各種方式來隱藏自己，甚至不會(huì)在硬盤中留下任何的有用數(shù)據(jù)，因此，對于易失性數(shù)據(jù)的取證變得越來越重要，內(nèi)存取證技術(shù)也應(yīng)運(yùn)而生。
　

2、　現(xiàn)在的內(nèi)存取證技術(shù)還不夠成熟，沒有一種特別有效的取證方法，包括從正在運(yùn)行的操作系統(tǒng)中獲取完整內(nèi)存鏡像的方法，以及得到內(nèi)存鏡像數(shù)據(jù)之后的證據(jù)提取方法。從內(nèi)存鏡像文件的海量數(shù)據(jù)中找到有用的證據(jù)是很困難的事，成功獲取物理內(nèi)存鏡像文件之后，一般的處理流程是通過明文的關(guān)鍵字符串進(jìn)行查找，目的是得到賬戶信息，文檔數(shù)據(jù)等。雖然使用這種方法確實(shí)能得到一些信息，但是這種方法不能提供信息的上下文環(huán)境。無法知道匹配到的字符串來自哪個(gè)進(jìn)程地址空間，而且這種方

3、法對于經(jīng)過加密或特定文件格式編碼的內(nèi)存數(shù)據(jù)來說是無效的。本文就是針對上述問題對內(nèi)存取證技術(shù)開展了相關(guān)研究，取得成果如下：
　　1.本文對內(nèi)存取證技術(shù)中從內(nèi)存鏡像文件中提取內(nèi)存概要數(shù)據(jù)的方法和針對單個(gè)進(jìn)程的載入模塊遍歷方法進(jìn)行了研究，對相應(yīng)的進(jìn)程內(nèi)核結(jié)構(gòu)進(jìn)行了深入分析，通過采用內(nèi)存映射文件技術(shù)，對現(xiàn)有的內(nèi)存鏡像文件中進(jìn)程概要數(shù)據(jù)的提取方法進(jìn)行了改進(jìn)，極大地縮短了提取時(shí)間。然后對目前存在的進(jìn)程隱藏技術(shù)進(jìn)行了詳細(xì)的分析，從物理內(nèi)存數(shù)據(jù)變

4、化的角度，對進(jìn)程隱藏技術(shù)進(jìn)行了分類并提出相應(yīng)的隱藏進(jìn)程檢測方法。
　　2.在提取到進(jìn)程概要信息的基礎(chǔ)上，本文深入分析了進(jìn)程堆數(shù)據(jù)在內(nèi)存中的組織方式，提出了針對單個(gè)進(jìn)程的進(jìn)程堆數(shù)據(jù)的提取方法。同時(shí)，為了保證進(jìn)程內(nèi)存數(shù)據(jù)的完整性，對NTFS文件系統(tǒng)的格式進(jìn)行了研究，提出了頁面文件的提取方法。
　　3.本文研究了如何從進(jìn)程內(nèi)存數(shù)據(jù)中提取有用證據(jù)的方法，分析了未加密的內(nèi)存數(shù)據(jù)、使用異或操作和base64加密之后的內(nèi)存數(shù)據(jù)以及PDF文