主管:中华人民共和国司法部
主办:司法鉴定科学研究院
ISSN 1671-2072  CN 31-1863/N
中国司法鉴定

›› 2014 ›› Issue (5): 64-68.

• 鉴定实践 • 上一篇    下一篇

针对进程用户空间的电子数据取证方法研究

罗文华   

  1. 中国刑事警察学院
  • 收稿日期:2014-01-26 修回日期:2014-01-11 出版日期:2014-09-15 发布日期:2014-09-15
  • 通讯作者: 罗文华
  • 基金资助:

    公安部应用创新计划项目

  1. China Criminal Police University
  • Received:2014-01-26 Revised:2014-01-11 Published:2014-09-15 Online:2014-09-15

摘要: 进程用户空间中的信息往往与特定用户的特定操作行为直接关联,对于证据链的建立意义重大。从数目繁多的用户空间数据结构中筛选出最重要的三种:进程环境块、线程环境块与虚拟地址描述符,说明其定位方法,并重点讨论其结构格式的电子数据取证特性,为内存空间电子数据取证提供了新的思路与方法。实例分析部分,则以目前广泛使用的Windows 7操作系统为应用背景,说明了所述方法的具体应用。

关键词: font-size: 10.5pt, mso-ascii-font-family: 'Times New Roman', mso-hansi-font-family: 'Times New Roman', mso-bidi-font-size: 10.0pt, mso-font-kerning: 1.0pt, mso-bidi-font-family: 'Times New Roman', mso-ansi-language: EN-US, mso-fareast-language: ZH-CN, mso-bidi-language: AR-SA">进程用户空间;电子数据取证;进程环境块;线程环境块;虚拟地址描述符

中图分类号: