admin管理员组文章数量:1530242
2024年3月21日发(作者:)
基于VAD树的Windows 10用户地址空间遍历方法
翟继强;孙宏泰;赵洛平;杨海陆
【期刊名称】《西北工业大学学报》
【年(卷),期】2022(40)3
【摘 要】内存取证研究中,现存的用户地址空间遍历方法只适用于Windows XP
和Windows 7的32位系统,而Windows 1064位系统已经被个人用户广泛使用,
是网络攻击者的主要目标。提出了一种基于虚拟地址描述符(virtual address
descriptor,VAD)树的Windows 10用户地址空间遍历方法。方法对Windows
1064位系统内存内核和用户地址空间元数据进行定位,解析内存映射文件、共享内
存、堆栈缓冲区和保留系统结构等相关元数据,与VAD树中的节点信息相匹配,最
后描述每一段内存区域的分配起止地址、占用大小、分配保护、内存类型和详细信
息。测试结果表明,方法能够兼容目前所有版本的Windows 1064位系统,在应对
不同复杂程度的进程时能有效遍历常见的结构。
【总页数】9页(P699-707)
【作 者】翟继强;孙宏泰;赵洛平;杨海陆
【作者单位】哈尔滨理工大学计算机科学与技术学院
【正文语种】中 文
【中图分类】TP319
【相关文献】
1.一种Windows中内核态和用户态之间交互数据的方法在基于PC的开放式数控
系统中的应用2.基于遍历序列的唯一确定树或二叉树的方法3.一种Windows10
中文用户输入痕迹信息提取方法研究与实现4.基于遍历树的配网调度指令票安全
校核方法5.一种基于用户行为的Windows系统取证方法
因版权原因,仅展示原文概要,查看原文内容请购买
版权声明:本文标题:基于VAD树的Windows 10用户地址空间遍历方法 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1711017681a295413.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论