本發明專利技術公開了一種從物理內存鏡像中提取文本數據文件的方法,利用eprocess結構特征值及它們之間的偏移量搜索出notepad.exe進程的eprocess結構,獲取進程的頁目錄基地址;獲取文本數據描述信息、內存中的標示信息,通過操作系統地址轉換的原理,準確獲取notepad.exe進程中的文本數據。本發明專利技術可用于數據恢復、數據提取、計算機取證等方面。
【技術實現步驟摘要】
本專利技術涉及計算機取證學科中的數據安全、內存取證領域,特別涉及數據恢復、電子數據證據中的文本信息獲取方法。
技術介紹
內存數據組織復雜、多變,數據分析十分困難。目前針對內存取證所做的研究,大多是針對系統信息的,如DeutscheTelekom AG在2006年提出了如何從內存鏡像中提取進程和線程信息的方法;Dolan-Gavitt在2008年提出了如何從內存鏡像中提取注冊表信息,王連海在2009年提出了基于kpcr定位進程控制塊的方法,Okolica和Peterson在2010年提出了如何從內存鏡像中提取網絡連接信息的方法。然而目前針對如何從內存鏡像文件中提取用戶數據的研究還較少。2010年,Richard M. Stevens和Eoghan Casey剖析了命令提示符歷史數據結構并且開發出了一種能夠從Windows XP內存鏡像中重構Windows命令提示符歷史記錄的工具。2011年,JamesOkolica和Gilbert L. Peterson介紹了 Windows剪貼板的結構和Windows已開源的與剪切板相關的函數,提出了從剪貼板中獲取文本數據的方法。同命令提示符和剪切板一樣,Notepad也保存了大量用戶數據,然而,上述方法只能對內存鏡像文件中獲取部分信息,均不能從內存鏡像中準確提取數據,不能恢復被破壞和刪除的數據。因而如果可以從內存中獲取記事本的內容,將會對存儲器中已刪除的數據重新恢復,保護數據及對計算機取證工作提供幫助。
技術實現思路
針對現有技術在從內存鏡像文件中獲取數據存在的上述問題,本專利技術提出了。本專利技術解決上述技術問題的技術方案是提供,包括以下步驟SI :初始化。獲取當前操作系統的版本,從配置文件中獲取對應系統下not印ad(記事本)進程存儲文本數據的虛擬地址空間的起始虛擬頁號S,以及存儲文本數據大小的虛擬空間的起始虛擬地址η ;S2 :獲取進程的頁目錄基地址。通過eprocess結構中的三個特征值搜索notepad.exe進程的eprocess (內核編程中的數據結構)結構,在eprocess結構內偏移位置+0x18處獲取頁目錄基地址;S3 :獲取文本文件在內存中的大小。根據所獲取的存儲文本數據大小的虛擬地址空間的起始虛擬地址n,通過頁目錄基地址實現地址轉換,從轉換獲得的物理地址處向后搜索特征值十六進制數“ffffffff”,獲取文本數據文件在內存中的字符數,計算出文本數據文件在內存中的大小;S4 :根據文本數據文件大小計算出文本數據在not印ad. exe進程中的虛擬頁區間;S5:篩選。通過地址轉換讀取虛擬頁區間內所有頁面的數據,通過文本數據起始標志和文本數據大小,準確獲取文本數據。進一步,所述步驟S2進一步包括S21 :根據eprocess結構設定特征值,分別有3個特征值在起始位置處,4個字節的值為0x03001b00 ;在偏移位置+0xlb2處,兩個字節的值為0x7ffd ;在偏移位置+0x24c處,4個字節的值為0x00000103 ;S22 :搜索模塊搜索eprocess結構,根據三個特征值以及相互之間的偏移量,在內存鏡像中搜索出所有進程的eprocess結構;S23 :設定notepad, exe進程的特征值,具體為在notepad, exe進程的eprocess結構中偏移位置+0x174處的值作為notepad, exe進程的特征值;S24 :根據上述特征值和偏移地址,在搜索出的所有進程的eprocess結構中搜索出 notepad, exe 進程的eprocess結構;S25 :在notepad, exe進程的eprocess結構的偏移位置+0x18處讀取四個字節的數據,得到頁目錄基地址。進一步,所述步驟S3進一步包括如下步驟S31 :通過地址轉換得到虛擬地址η對應的物理地址;S32 :在η對應的物理地址處,向后搜索十六進制數據“ffffffff” ;S33 :當搜索到上述數據后,即刻終止搜索,并返回此數據結束位置的地址;S34 :在返回的地址處,向后讀取4個字節的數據(注意小端在前),得到文本數據文件的字符數;S35 :字符數乘以2b得到文本數據文件在內存中的大小m(如文本數據文件在內存中采用Unicode編碼格式,兩個字節表示一個字符)。進一步,所述步驟S4進一步包括S41 :通過文本文件的大小,根據公式虛擬頁區間起始頁號= s-l + ,和虛擬頁區間結束頁號=s -1+*2計算得到虛擬頁區間。其中,表示取大于等于X的最小整數,即表示取大于等于m/4KB的最小整數。進一步,所述步驟S5進一步包括S51 :通過地址轉換讀取虛擬頁區間內所有虛擬頁面所對應的物理內存鏡像中的數據。S52 :在所獲取的數據中搜索十六進制數據“0x010004002e0074400078007400”,得到這個數據的起始位置。S53 :從這個數據的起始位置處向后偏移24個字節便是text內容的起始位置。S54 :生成一個txt文件,首先在此文件的起始處寫入數據“Oxfffe”作為Unicode編碼的txt文件的標示(以ANSI編碼、Unicode編碼、Unicode big endian和UTF-8編碼保存的txt文件,打開后,在notepad, exe進程空間中的文本數據都是采用Unicode編碼)。S55 :從text內容的起始位置處,根據文本文件在內存中的大小讀取內存鏡像中的數據,并寫入所生成的txt文件內。本專利技術的優點在于能夠將物理內存鏡像中散亂無序的text文件的數據,按照邏輯地址重組,準確的得到text文件。附圖說明為了使本專利技術的目的、技術方案和優點更加清楚,下面將結合附圖對本專利技術作進一步的詳細描述。圖I為本專利技術提取text流程圖。具體實施例方式以下將結合附圖,對本專利技術的優選實施例進行詳細的描述;應當理解,優選實施例僅為了說明本專利技術,而不是為了限制本專利技術的保護范圍。如圖I所示為本專利技術提取text流程不意圖。本專利技術提供,包括以下步驟SI :初始化,從配置文件中獲取對應操作系統下notepad進程存儲文本數據的虛擬地址空間的起始虛擬頁號S,以及存儲文本數據大小的虛擬空間的起始虛擬地址n,例如,在未開啟物理地址擴展模式的Windows XP VOL版本操作系統下所得結果為s=0xaf,n=0xaa920o以下以該系統為例作進一步說明。S2 :獲取進程的頁目錄基地址,通過三個特征值搜索notepad, exe進程的eprocess結構,在eprocess結構偏移+0x18處獲取頁目錄基地址。S21 :設定特征值,根據運行的eprocess結構設定特征,分別有三個特征為在偏移位置+0x078處,是8個字節的O ;在偏移位置+0xlb2處,有兩個字節的值為0x7ffd ;在偏移位置+0x24c處,有4個字節的值為0x00000103 ;S22 :搜索^^ocess結構,根據三個特征值以及相互之間的偏移位置,在內存鏡像中搜索出所有正在運行的進程的eprocess結構;S23 :設定notepad, exe進程的eprocess結構的特征值,在eprocess結構偏移位置+0x174處的值為notepad, exe進程的特征值;S24 :根據特征值和偏移位置地址,在所得到的epr本文檔來自技高網...
【技術保護點】
一種物理內存鏡像中文本數據提取方法,其特征在于:包括以下步驟:從配置文件中獲取notepad進程存儲文本數據的虛擬地址空間的起始虛擬頁號s,以及存儲文本數據大小的虛擬空間的起始虛擬地址n;獲取進程的頁目錄基地址,通過eprocess結構特征值搜索notepad.exe進程的eprocess結構,根據eprocess結構在指定偏移位置處獲取頁目錄基地址;根據存儲文本數據大小的虛擬地址空間的起始虛擬地址n,通過頁目錄基地址實現地址轉換,從對應的物理地址處向后搜索特征值“ffffffff”,獲取文本數據在內存中的字符數,計算出文本數據的大小;根據文本數據大小計算文本數據在notepad.exe進程中的虛擬頁區間;通過地址轉換讀取虛擬頁區間內所有頁面的數據,通過文本數據起始標志和文件大小,獲取文本數據。
【技術特征摘要】
【專利技術屬性】
技術研發人員:陳龍,康磊,董振興,
申請(專利權)人:重慶郵電大學,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。