Курсовая работа: Восстановление памяти виртуальной машины из расширенного образа памяти базовой системы на платформе Windows

Оглавление

Введение............................................................................................................................................. 4

Проблемы, связанные с анализом жесткого диска.................................................................... 4

Использование анализа памяти.................................................................................................... 5

Исследование запущенных виртуальных машин....................................................................... 5

Постановка задачи............................................................................................................................. 7

Обзор.................................................................................................................................................. 8

Методы захвата памяти................................................................................................................ 8

Аппаратные методы.................................................................................................................. 8

Программные методы............................................................................................................... 9

Методы анализа памяти.............................................................................................................. 10

PTFinder.................................................................................................................................... 10

Volatility Framework................................................................................................................ 10

Технологии виртуализации........................................................................................................ 10

Типы гипервизоров................................................................................................................. 11

Средства виртуализации......................................................................................................... 11

Необходимые сведения о подсистеме памяти Windows.......................................................... 12

Обзор механизма виртуальной памяти в архитектуре x86-64............................................ 12

Виды записей в таблицах преобразования............................................................................ 14

Типы недействительных PTE................................................................................................. 15

Архитектура решения..................................................................................................................... 16

Поиск процессов.......................................................................................................................... 16

Восстановление адресного пространства процесса................................................................. 16

Обработка недействительных записей.................................................................................. 17

Обработка прототипных PTE................................................................................................. 18

Восстановление физической памяти QEMU............................................................................ 20

Восстановление физической памяти VirtualBox...................................................................... 22

Проверка корректности восстановленной памяти................................................................... 26

Особенности реализации................................................................................................................ 27

Формат восстановленного адресного пространства................................................................ 27

Тестирование восстановления адресного пространства.......................................................... 28

Тестирование восстановления памяти гостевой системы....................................................... 28

Внедрение..................................................................................................................................... 29

Заключение...................................................................................................................................... 31

Дальнейшие исследования......................................................................................................... 31

Список литературы......................................................................................................................... 32

Введение

Компьютерный криминалистический анализ (computer forensics) представляет собой комплекс мероприятий, направленных на изучение вычислительных устройств и носителей информации в целях поиска и фиксирования доказательств (например, в ходе расследования гражданских или уголовных дел).

Типичный процесс экспертизы состоит из следующих основных шагов:

• Снятие (acquisition) образа данных на цифровом устройстве.

Результатом этого шага может быть образ жесткого диска, файловой системы, образ памяти и т.п.

• Анализ данных

Информация, представляющая интерес, может быть различной по виду и содержанию: история посещений веб-браузеров, журналы программ обмена мгновенными сообщениями, удаленные файлы различного типа и многое другое. Для извлечения и анализа данных могут применяться такие методы, как карвинг [7] или стохастическое моделирование [6].

• Подготовка отчёта о собранных артефактах

По окончании этапа анализа формируется отчёт с подробным описанием всех использованных средств, методов, и полученными результатами.


До недавнего времени главным объектом изучения при компьютерном криминалистическом анализе были жесткие диски. Они являются долгосрочными хранилищами информации, а значит, данные не уничтожаются в течение длительного времени, и сам диск может быть представлен в качестве вещественного