Windows系统环境下基于内存分析的木马病毒取证

郑文庚; 李凌崴; 廖广军

首页> 中文期刊> 《刑事技术》 >Windows系统环境下基于内存分析的木马病毒取证

Windows系统环境下基于内存分析的木马病毒取证

开具论文收录证明 >>

期刊封面封底目录下载 >>

文献代查 >>

页面导航

摘要
著录项
相似文献
相关主题

摘要

木马病毒是网络犯罪的重要载体,动态内存取证分析研究能够确定木马病毒在计算机的位置、木马运行时的DLL、木马对注册表和系统的改变情况,从而实现木马病毒攻击的证据固定.笔者在Windows系统虚拟环境下开展仿真实验,利用木马病毒对目标计算机进行模拟攻击,使用占用内存最小的DumpIt取证软件对内存在线提取数据,并使用volatility分析内存中的注册表、进程等,对木马攻击行为进行分析研究.实验结果表明,通过内存数据分析能够获取木马病毒进程位置、通信端口、功能等信息.本文还将内存分析数据与注册表文件进行对比分析,进一步实现了木马病毒攻击计算机的线索发现或证据固定.

著录项

来源
《刑事技术》 |2020年第6期|572-576|共5页
作者
郑文庚; 李凌崴; 廖广军;
展开▼
作者单位

广州市公安局花都区分局广州 510800;

广州市公安局花都区分局广州 510800;

广东警官学院广州 510440;

展开▼
原文格式 PDF
正文语种 chi
中图分类侦查技术与方法;
关键词
网络犯罪; 木马取证; 内存分析; volatility; 注册表;

相似文献

中文文献
外文文献
专利

1. 基于内存分析的计算机动态取证工具的设计与实现 [J] . 杨燕燕 ,魏丰国 ,王斌君 . 中国人民公安大学学报（自然科学版） . 2013,第001期
2. 集成质量系统环境下基于过程取证的质量体系运行监管模式 [J] . 段桂江 ,陈盛照 . 计算机集成制造系统 . 2010,第005期
3. 基于KPCR结构的Windows物理内存分析方法 [J] . 郭牧 ,王连海 . 计算机工程与应用 . 2009,第018期
4. 基于Windows系统环境下的精确定时过程实现 [J] . 吴益明 ,卢京潮 ,魏莉莉 . 计测技术 . 2005,第006期
5. Windows 8下基于镜像文件的内存取证研究 [J] . 向涛 ,苟木理 . 计算机工程与应用 . 2013,第019期
6. 基于Pagefile的Windows物理内存取证分析方法 [C] . 殷联甫 . 2011年青年通信国际会议(ICYC2011) . 2011
7. 基于物理内存分析的在线取证模型与方法的研究 [A] . 王连海 . 2014

Windows系统环境下基于内存分析的木马病毒取证

摘要

著录项

相似文献

相关主题

期刊订阅