記憶體取證原理與實踐

本書詳細討論了近年來計算機取證技術中最熱門並極富挑戰性的記憶體取證技術，共15章。第1~4章首先對記憶體取證的發展和意義進行概述式的描述，然後對涉及的現代計算機軟硬體技術基礎進行簡要介紹，最後介紹記憶體獲取和分析需要的方法、工具等。第5~10章根據幾個主要的作業系統（Windows、Linux和Mac）對記憶體分析進行更加深入的介紹。第11~15章介紹記憶體分析技術在最新計算環境下的一些相關進展和技術，如移動設備的記憶體分析、雲計算環境（虛擬機）下的記憶體分析套用。

本書的讀者對象為記憶體取證領域內本科生、研究生和科研人員，同時，對於具備計算機專業技術背景，並對計算機記憶體取證和分析技術感興趣的信息安全相關領域的從業人員，本書同樣是重要參考資料。

第 1章 記憶體取證技術概述 1

1.1　計算機取證技術　1

1.2　計算機取證技術的發展　3

1.3　計算機取證類型　4

1.4　記憶體取證　7

1.5　本章小結　10

第　2章 記憶體取證基礎知識　11

2.1　PC硬體架構　11

2.2　記憶體管理　14

2.3　地址轉換　17

2.4　ARM架構　21

2.5　本章小結　23

第3章　記憶體獲取技術　24

3.1　基於軟體的記憶體獲取技術和工具　24

3.2　基於硬體的記憶體獲取技術和工具　28

3.3　禁止DMA獲取記憶體的技術　33

3.4　記憶體獲取的其他方式　36

3.5　本章小結　38

第4章　基於物理記憶體分析的線上取證模型及其可信性評估　39

4.1　基於物理記憶體分析的線上取證模型　39

4.2　影響記憶體獲取可信性的因素　41

4.3　基於測量理論的記憶體取證的可信性評估　43

4.4　記憶體獲取的精密度、準確度和系統誤差分析　45

4.5　記憶體獲取工具的載入活動覆蓋關鍵痕跡的機率　50

4.6　記憶體鏡像檔案提取的數據與實際電子數據之間的比較　52

4.7　本章小結　54

第5章　Windows記憶體分析原理　55

5.1　Windows作業系統關鍵組件　55

5.2　基於系統組件名稱查找的Windows記憶體分析方法　57

5.3　基於池特徵掃描的記憶體分析方法　61

5.4　基於KPCR結構的方法　66

5.5　本章小結　74

第6章　Windows記憶體分析　75

6.1　進程信息分析　75

6.2　Windows事件日誌記憶體分析　92

6.3　Windows註冊表記憶體分析　95

6.4　Windows記憶體的網路信息分析　102

6.5　Windows服務的記憶體分析　106

6.6　Windows記憶體中的檔案　110

6.7　從PageFile中獲取更多記憶體數據　111

6.8　本章小結　113

第7章　Linux作業系統記憶體分析原理　114

7.1　Linux作業系統關鍵組件　114

7.2　ELF二進制格式　122

7.3　Volatility物理記憶體分析方法　128

7.4　不依賴於核心符號表檔案的Linux物理記憶體分析方法　129

7.5　本章小結　132

第8章　Linux記憶體分析　133

8.1　進程信息　133

8.2　檔案系統信息　141

8.3　網路連線信息　145

8.4　模組信息　149

8.5　系統信息　152

8.6　交換檔案的分析　156

8.7　本章小結　158

第9章　Mac OS記憶體分析原理　159

9.1　Mac OS的發展史　159

9.2　Mac OS X架構　162

9.3　Mach-O 執行檔格式　167

9.4　核心符號表　170

9.5　核心/用戶空間虛擬地址的劃分　170

9.6　核心地址空間布局隨機化　171

9.7　地址轉換　172

9.8　Matthieu Suiche的Mac OS記憶體分析原理　174

9.9　不依賴mach_kernel檔案的Mac OS記憶體分析方法　174

9.10　本章小結　177

第　10章 Mac OS記憶體分析技術　178

10.1　系統配置信息的分析　178

10.2　掛載的檔案系統信息的分析　179

10.3　進程信息的分析　181

10.4　核心擴展（驅動、核心模組）的分析　195

10.5　系統調用的分析　196

10.6　網路信息的分析　197

10.7　SLAB分配器的分析　201

10.8　Bash命令的獲取　203

10.9　核心調試緩衝區信息的獲取　203

10.10　本章小結　204

第　11章 安卓智慧型手機記憶體取證　205

11.1　智慧型手機的硬體組成　206

11.2　從數字取證到智慧型手機取證　207

11.3　智慧型手機的數據獲取　210

11.4　安卓系統概述　211

11.5　安卓智慧型手機記憶體獲取　214

11.6　安卓智慧型手機記憶體分析　218

11.7　本章小結　222

第　12章 記憶體分析在雲安全中的套用　223

12.1　雲計算服務模型　223

12.2　虛擬化環境下面臨的安全風險及研究現狀　225

12.3　基於記憶體分析的虛擬機安全監控方法　227

12.4　基於記憶體旁路的雲安全威脅監控技術　239

12.5　本章小結　242

第　13章 基於uKey的認證機制的破解　243

13.1　身份認證技術　243

13.2　uKey的認證機制　244

13.3　破解基於uKey的Windows登錄認證機制　249

13.4　本章小結　255

第　14章 木馬的檢測分析　256

14.1　惡意代碼　256

14.2　APT攻擊　263

14.3　Windows特種木馬檢測　266

14.4　Linux惡意代碼檢測　291

14.5　Mac OS惡意代碼檢測　309

14.6　本章小結　318

第　15章 系統密碼的破解　319

15.1　密碼認證機制　319

15.2　Windows系統密碼破解　325

15.3　Linux系統密碼破解　330

15.4　Mac OS X登錄屏保密碼破解　331

15.5　以修改記憶體方式向Mac OS植入應用程式　335

15.6　本章小結　337

參考文獻　339