%0 Journal Article
%T 基于EPROCESS特征的物理内存查找方法
%A 陈龙
%A 敬凯
%A 董振兴
%A 田庆宜
%J 重庆邮电大学学报(自然科学版)
%D 2013
%X 为了快速定位目标活动进程，提取对应的物理内存数据，分析了Windows系统中进程运行时其EPROCESS结构的特性及作用，提出了基于EPROCESS特征的物理内存查找方法。该方法利用EPROCESS结构的特性，定位出活动进程的EPROCESS结构，找出进程页目录基地址，并根据虚拟地址描述符的功能，提取活动进程物理内存。实验结果表明，该方法能快速、有效地定位活动进程，提取出活动进程物理内存，缩小取证分析范围，提高取证效率。
%K 计算机取证
%K EPROCESS
%K 进程
%K 内存
%U http://journal.cqupt.edu.cn/jcuptnse/jcuptnse/ch/reader/view_abstract.aspx?file_no=20130120&flag=1