【技术实现步骤摘要】
本专利技术涉及计算机取证学科中的数据安全、内存取证领域,特别涉及数据恢复、电子数据证据中的文本信息获取方法。
技术介绍
内存数据组织复杂、多变,数据分析十分困难。目前针对内存取证所做的研究,大多是针对系统信息的,如DeutscheTelekom AG在2006年提出了如何从内存镜像中提取进程和线程信息的方法;Dolan-Gavitt在2008年提出了如何从内存镜像中提取注册表信息,王连海在2009年提出了基于kpcr定位进程控制块的方法,Okolica和Peterson在2010年提出了如何从内存镜像中提取网络连接信息的方法。然而目前针对如何从内存镜像文件中提取用户数据的研究还较少。2010年,Richard M. Stevens和Eoghan Casey剖析了命令提示符历史数据结构并且开发出了一种能够从Windows XP内存镜像中重构Windows命令提示符历史记录的工具。2011年,JamesOkolica和Gilbert L. Peterson介绍了 Windows剪贴板的结构和Windows已开源的与剪切板相关的函数,提出了从剪贴板中获取文本数据的方法...
【技术保护点】
一种物理内存镜像中文本数据提取方法,其特征在于:包括以下步骤:从配置文件中获取notepad进程存储文本数据的虚拟地址空间的起始虚拟页号s,以及存储文本数据大小的虚拟空间的起始虚拟地址n;获取进程的页目录基地址,通过eprocess结构特征值搜索notepad.exe进程的eprocess结构,根据eprocess结构在指定偏移位置处获取页目录基地址;根据存储文本数据大小的虚拟地址空间的起始虚拟地址n,通过页目录基地址实现地址转换,从对应的物理地址处向后搜索特征值“ffffffff”,获取文本数据在内存中的字符数,计算出文本数据的大小;根据文本数据大小计算文本数据在note...
【技术特征摘要】
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。