内存取证研究

专业资料 > 医药卫生 > 基础医学 > 文档预览

2 页 1107 浏览 5 收藏 4.7分

摘要:内存取证研究传统的计算机取证主要针对稳定的数据，包括未删除和已删除的文件、windows注册表、临时文件、交换文件、休眠文件、slack空间、浏览器缓存和各种可移动的介质等。不同于传统的计算机取证，计算机内存取证是从内存中提取信息，这些信息被称为挥发（易失）数据，挥发数据是指存在于正在运行的计算机或网络设备的内存中的数据，关机或重启后这些数据将不复存在。下面我将具体阐述在Windows“活”系统下加密的文件，删除的邮件在内存中保留的内容，利用Winhex内存取证工具，分析出“活”系统内存中文件的内容。1对加密文件的内存取证方法文件加密的基本过程是对明文按某种算法进行处理，使其成为一段不可读的代码，只有在输入相应的密钥后才能显示出明文。文件加密技术已经相当成熟不法分子很容易利用这种方法将自己的犯罪行迹隐藏。实现文件加密的方法有很多种，Windows2000/XP/VISTA提供了EFS（EncryptingFileSystem）加密文件系统，操作系统直接把ETFS卷上的文件和数据加密。另外，在操作系统上安装第三方加密软件，例如，Truecrypt，Clsspy，Kruptos，SerpentCryp也能实现对文件的加密。1.1分析加密后的文件在内存中的内容假设不法分子利用Truecrypt对含有敏感信息的文件加密，并且在犯罪过程中打开过加密的文件。在犯罪现场，为了获取电子证据，分析员要使计算机处于“活”状态，利用Winhex打开RAM，从中查找敏感信息。若加密的文件被打开后在内存中保留的是加密后的乱码，那么很难从计算机内存中取证。经过Truecrypt加密

温馨提示：当前文档最多只能预览 5 页，若文档总页数超出了 5 页，请下载原文档以浏览全部内容。

本文档由匿名用户于 2022-09-02 23:19:37上传分享

下载原文档(309.00 KB)

你可能在找

堆内存与栈内存的区别

栈内存与堆内存（Java）2009-08-0715:40Java把内存划分成两种：一种是栈内存，一种是堆内存。在函数中定义的一些基本类型的变量和对象的引用变量都在函数的栈内存中分配。当在一段代码块定义一个变量时，Java就在栈中为这个变量分配内存空间，当超过变量的作用域后，Java会自动释放掉为该变量所分配的内存空间，该内存空间可以立即被另作他用。堆内存用来存放由new创建的对象和数组。在堆中分配的内存，由Java虚拟机的自动垃圾回收器来管理。

4.8 分 2 页 | 18.50 KB | 2022-09-02 23:27
党员研究中存在的问题

通过对党员学习存在的问题进行剖析，让党员进一步树立正确的世界观、人生观和价值观，把理论学习的过程变成增强党性的过程，变成自觉抵制各种腐朽思想的过程，变成发挥先锋模范作用、永葆共产党员本色的过程。下面是学习啦小编为大家收集整理的党员学习存在的问题，欢迎大家阅读。党员学习存在的问题篇1我认真对照自己平时的实际工作及思想动态，进行了认真的反思，深深感到自己在学习、工作方面还存在不少问题，与上级要求相比，还相差甚远，为警示自己，修正错误，鉴知未来，以利工作，按照要求

4.7 分 7 页 | 27.50 KB | 2020-10-21 14:14
要双卡也要内存-SIM卡+内存卡双卡合一制作教程

要双卡也要内存华为Mate7SIM卡+内存卡双卡合一制作教程最近不少华为华为Mate7的机友都在折腾双卡合一的事情。就是将SIM卡的芯片拆下来粘贴在内存卡上，然后放入卡槽塞进手机，因为这样可以内存和双卡双待两不误。纠结其原因，Mate7的设计确实奇葩，因为内存扩展和SIM卡2是共用一个卡槽的，如果放了内存卡就不能放卡2，所谓鱼与熊掌不可兼得，可是小编就偏偏要逆天行事。

4.6 分 5 页 | 348.41 KB | 2022-10-29 00:50
内存与非分页内存

默认情况下，内核加载器会加载所有的代码部分和全局数据到非分页内存中。而且，加载器是一次加载整个驱动的可执行文件，包括相关的DLL。加载后，内核加载器关闭驱动程序文件，甚至你可以删除当前正在执行的驱动文件。但是，你可以告诉加载器你希望驱动的哪部分是可分页，所谓可分页，就是可能会被换页出内存（Pageout）。 pragmaalloc_text(PAGE,function_name1)#pragmaalloc_text(PAGE,function_name2)#endif由function_namex指定的函数代码将被放置于可分页内存中

4.7 分 4 页 | 113.96 KB | 2022-09-02 23:19
内存溢出和内存泄漏的区别

内存溢出和内存泄漏的区别（内存泄漏原因）内存溢出outofmemory，是指程序在申请内存时，没有足够的内存空间供其使用，出现outofmemory；比如申请了一个integer,但给它存了long才能存下的数，那就是内存溢出。内存泄露memoryleak，是指程序在申请内存后，无法释放已申请的内存空间，一次内存泄露危害可以忽略，但内存泄露堆积后果很严重，无论多少内存,迟早会被占光。

4.7 分 4 页 | 17.60 KB | 2022-09-02 23:19
“轮椅哥”本科生考取东大研究生

凯程考研集训营，为学生引路，为学员服务！“轮椅哥”本科生考取东大研究生还记得本报2011年报道过的“轮椅哥”乔科吗? 3岁患上小儿麻痹症的他，虽失去行走能力，与轮椅为伴，却始终不屈服命运，两度被“推进”高考考场坚守自己的“大学梦”，于2011年考取了扬州大学。 4年后，他又一次拼劲全力，以总分368的优异成绩成功考入东南大学研究生。“3年多时间，是同学每天轮流背我去教室。临近考研，是老师帮助我找辅导老师。我能取得今天这样的成绩，全靠他们给予的帮助。”

4.8 分 2 页 | 24.00 KB | 2021-02-11 04:02
T5500-内存

关于内存DellPrecision™T5500服务手册警告：拆装计算机内部组件之前，请阅读计算机附带的安全信息。您的计算机使用1066MHz和1333MhzDDR3非缓冲或寄存型ECCSDRAM内存。DDR3SDRAM（即第三代双倍数据速率同步动态随机存取存储器）是一种随机存取存储器技术。它是SDRAM系列技术的组成部分，即许多DRAM（动态随机存取存储器）实施的其中之一，并且对其前任（即DDR2SDRAM）进行了革命性的改进。

4.8 分 4 页 | 539.50 KB | 2022-09-02 23:10
C++内存管理-内存分配方式

第7章内存管理欢迎进入内存这片雷区。本章的内容比一般教科书的要深入得多，读者需细心阅读，做到真正地通晓内存管理。7.1内存分配方式内存分配方式有三种：（1）从静态存储区域分配。在执行函数时，函数内局部变量的存储单元都可以在栈上创建，函数执行结束时这些存储单元自动被释放。栈内存分配运算内置于处理器的指令集中，效率很高，但是分配的内存容量有限。

4.8 分 19 页 | 66.50 KB | 2022-09-02 23:09
服务器内存条的插法

DELLPowerEdgeR710服务器含18个内存插槽，分为两组，每组九个插槽，分别用于一个处理器。每组插槽（9个）分为三个通道，每个通道有三个内存插槽。每个通道的第一个插槽上都标有白色释放拉杆。 DELLPowerEdgeR710服务器支持的最大内存取决于所用的内存模块类型和大小：•对于大小为2GB、4-GB和8-GB（如果有）的单列和双列RDIMM，支持的总量最大为144GB。内存一般安装原则为确保获得最佳系统性能，请在配置系统内存时遵守以下通用原则：注：未遵循这些原则的内存配置会导致系统在启动时停机，并且无任何系统消息的视频输出。•不能混合安装RDIMM和UDIMM。

5.0 分 6 页 | 523.50 KB | 2020-11-03 10:00
某改过卷的研究生-透露申论改卷内幕。。。

以下内容摘自某大学研究生的日志，持续更新中。与本人观点无关，不要喷我，我只是个复印机。不在于写的多好看..只是清晰一目了然....越连笔有时候效果越差字难看不重要让人看懂最重要..从扫描到电脑屏幕我们每个人判一份卷子一般也就是几十秒一般同一份卷的同一道题两个人审之后给分分差不超过3分那么久取平均如果超过三分那么回库由第三个人来判最后取相近两人的平均分也就是三评而一个阅卷人有多少三评也就是三评率就显示了其阅卷的质量

4.9 分 21 页 | 62.54 KB | 2022-11-25 23:33