|
|||||
|
|
| 针对进程用户空间的电子数据取证方法研究 | |
| 作者姓名: | 罗文华 |
| 作者单位: | 中国刑事警察学院网络犯罪侦查系,辽宁沈阳,110854 |
| 基金项目: | 公安部应用创新计划项目 |
| 摘 要: | 进程用户空间中的信息往往与特定用户的特定操作行为直接关联,对于证据链的建立意义重大.从数目繁多的用户空间数据结构中筛选出最重要的三种:进程环境块、线程环境块与虚拟地址描述符,说明其定位方法,并重点讨论其结构格式的电子数据取证特性,为内存空间电子数据取证提供了新的思路与方法.实例分析部分,则以目前广泛使用的Windows 7操作系统为应用背景,说明了所述方法的具体应用. |
| 关 键 词: | 进程用户空间 电子数据取证 进程环境块 线程环境块 虚拟地址描述符 |
| 本文献已被 维普 等数据库收录! | |