1、信息技術(shù)極大地促進了人類社會的進步，同時也帶來了計算機犯罪問題。黑客入侵、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)色情等案件的出現(xiàn)影響了互聯(lián)網(wǎng)的健康發(fā)展，更是破壞了正常的經(jīng)濟發(fā)展和社會生活秩序。計算機取證（Computer Forensics）是打擊計算機犯罪所使用的主要技術(shù)手段，是目前法律工作者和信息技術(shù)工作者共同研究重點內(nèi)容。
　　 本文針對傳統(tǒng)的rootkit查找方法的缺陷，根據(jù)物理內(nèi)存分析技術(shù)的發(fā)展提出的。通過分析物理內(nèi)存，得到所需的目標機器上存

2、在rootkit木馬或者不存在的證據(jù)。首先深入研究和分析了計算機物理內(nèi)存鏡像獲取技術(shù)和Rootkit的攻擊原理。在文中還介紹當今流行的Windows Rootkit。
　　 經(jīng)過分析windows rootkit原理可知，rootkit用于隱藏的技術(shù)比較多，如在中斷描述符表（IDT）和系統(tǒng)服務(wù)描述符表（SSDT）等地方設(shè)置鉤子或直接修改某些內(nèi)核數(shù)據(jù)結(jié)構(gòu)。本文中詳細的分析了幾種rootkit的隱藏技術(shù)的原理，分析了幾種常用的win

3、dows rootkit檢測工具。
　　 無論Windows Rootkit是通過修改中斷描述符表、驅(qū)動函數(shù)還是系統(tǒng)服務(wù)調(diào)度表等地方來實現(xiàn)欺騙系統(tǒng)，讓系統(tǒng)執(zhí)行其非法代碼，實現(xiàn)其非法目的，都要把它的進程隱藏起來。為了不讓系統(tǒng)或者反Rootkit 程序發(fā)現(xiàn)而隱藏自身的進程是Windows Rootkit 必須做的工作。根據(jù)這個原理，在檢測Windows rootkit的時候，我們就以檢測隱藏的進程為主要依據(jù)來檢測當時的系統(tǒng)中是否存在

4、rootkit。
　　 文章中利用基于交叉視圖（Cross-View）的方法來來檢測rootkit。在這個方法中獲得真實的進程列表是一個難點，在實驗的過程中通過Windbg調(diào)試內(nèi)核來得到EPROCESS,HADLE_TABLE等重要的內(nèi)核數(shù)據(jù)結(jié)構(gòu)。通過對這些重要的內(nèi)核數(shù)據(jù)結(jié)構(gòu)的研究掌握了通過進程句柄表來列舉當前系統(tǒng)進程列表的方法。
　　 論文主要研究內(nèi)容如下：
　　 1、對計算機取證的相關(guān)概念，背景及國內(nèi)外的發(fā)

5、展現(xiàn)狀進行了詳細介紹。
　　 2、對Windows XP系統(tǒng)下的日志文件的格式進行了詳細的分析。
　　 3、詳細的闡述windows系統(tǒng)下常用的幾種獲取物理內(nèi)存鏡像的方法，還介紹了內(nèi)存鏡像的分析方法。
　　 4、概述了windows物理內(nèi)存的管理機制，并且結(jié)合實例詳細的介紹了虛擬地址到物理地址的轉(zhuǎn)換方式。
　　 5、對rootkit所使用的幾種技術(shù)原理（如掛鉤系統(tǒng)服務(wù)描述符表，直接內(nèi)核操作法等）進