| 发明名称 | 一种物理内存镜像中文本数据文件提取方法 | ||
| 摘要 | 本发明公开了一种从物理内存镜像中提取文本数据文件的方法,利用eprocess结构特征值及它们之间的偏移量搜索出notepad.exe进程的eprocess结构,获取进程的页目录基地址;获取文本数据描述信息、内存中的标示信息,通过操作系统地址转换的原理,准确获取notepad.exe进程中的文本数据。本发明可用于数据恢复、数据提取、计算机取证等方面。 | ||
| 申请公布号 | CN102945288B | 申请公布日期 | 2016.01.20 |
| 申请号 | CN201210499314.1 | 申请日期 | 2012.11.29 |
| 申请人 | 重庆邮电大学 | 发明人 | 陈龙;康磊;董振兴 |
| 分类号 | G06F17/30(2006.01)I;G06F17/22(2006.01)I | 主分类号 | G06F17/30(2006.01)I |
| 代理机构 | 重庆华科专利事务所 50123 | 代理人 | 康海燕 |
| 主权项 | 一种物理内存镜像中文本数据提取方法,其特征在于:包括以下步骤:从配置文件中获取notepad进程存储文本数据的虚拟地址空间的起始虚拟页号<i>s</i>,以及存储文本数据大小的虚拟空间的起始虚拟地址<i>n</i>;获取进程的页目录基地址,通过eprocess结构特征值搜索notepad.exe进程的eprocess结构,根据eprocess结构在指定偏移位置处获取页目录基地址;根据存储文本数据大小的虚拟地址空间的起始虚拟地址<i>n</i>,通过页目录基地址实现地址转换,从对应的物理地址处向后搜索特征值“ffffffff”,获取文本数据在内存中的字符数,计算出文本数据的大小;根据文本数据大小计算文本数据在notepad.exe进程中的虚拟页区间;通过地址转换读取虚拟页区间内所有页面的数据,通过文本数据起始标志和文件大小,获取文本数据;所述eprocess结构特征值包括:在eprocess结构偏移位置+0x078处,有8个字节的0;在eprocess结构偏移位置+0x1b2处,有2个字节的值为0x7ffd;在eprocess结构偏移位置+0x24c处,有4个字节的值为0x00000103;所述获取页目录基地址具体为:根据eprocess结构特征值以及偏移位置,在内存镜像中搜索出所有正在运行的进程的eprocess结构;在eprocess结构中偏移位置+0x174处搜索出notepad.exe进程的eprocess结构;在notepad.exe进程的eprocess结构偏移位置+0x18处读取4个字节的数据,得到页目录基地址。 | ||
| 地址 | 400065 重庆市南岸区黄桷垭崇文路2号 | ||