d4680020 00 40 00 00 80 08 00 00-22 03 00 00 00 00 00 00 .@......"....... d4680030 00 00 80 00 00 00 00 00-00 b0 14 00 00 00 00 00 d4680040 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 d4680050 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 小结与展望 本文我们介绍了一些新技术以准确地从内存中重构文件及进程,并展示了文件对象成员 变量setion_onject_pointers结构体的重要作用。尤其是,从内存中萃取进程信息时, imagesectionobject结构体在定位进程内容在内存中的位置至关重要。datasectionobjects结构体在萃取数据文件时如从内存中获取word文档内容也起着重要作用。 为了在内存映像文件、数据文件、缓存文件中获取到更丰富的内容,寻找指定进程相关 的所有文件对象是必要的。在分析或获取一个进程的地址空间时,可以从两个渠道找到文件 对象:a)进程句柄表;…vad树。前面的分析主要目标在vad树,其实一些重要的取证调查 数据在句柄表中可以找到。比如windows注册表,注册表单元的大部分内容存放在08(^6中, 我们可以借助一些专用取证工具如RegRiroer对注册表进行取证分析;pdf文件、web浏览器 会话中的gifs文件等等。 |
