%0 Journal Article
%T Searching physical memory method based on EPROCESS characteristics<br>基于EPROCESS特征的物理内存查找方法
%A CHEN Long
%A JING Kai
%A DONG Zhenxing
%A TIAN Qingyi
%A <br>陈龙
%A 敬凯
%A 董振兴
%A 田庆宜
%J 重庆邮电大学学报(自然科学版)
%D 2013
%I 
%X 为了快速定位目标活动进程，提取对应的物理内存数据，分析了Windows系统中进程运行时其EPROCESS结构的特性及作用，提出了基于EPROCESS特征的物理内存查找方法。该方法利用EPROCESS结构的特性，定位出活动进程的EPROCESS结构，找出进程页目录基地址，并根据虚拟地址描述符的功能，提取活动进程物理内存。实验结果表明，该方法能快速、有效地定位活动进程，提取出活动进程物理内存，缩小取证分析范围，提高取证效率。
%K computer forensics
%K EPROCESS
%K process
%K memory<br>计算机取证
%K EPROCESS
%K 进程
%K 内存
%U http://www.alljournals.cn/get_abstract_url.aspx?pcid=01BA20E8BA813E1908F3698710BBFEFEE816345F465FEBA5&cid=96E6E851B5104576C2DD9FC1FBCB69EF&jid=5C2694A2E5629ECD6B59D7B28C6937AD&aid=1D447377FA3F59D025577FA78415DBCF&yid=FF7AA908D58E97FA&iid=CA4FD0336C81A37A&sid=B62E0EEFE746E568&eid=F122871CC7EC92DC&journal_id=1673-825X&journal_name=重庆邮电大学学报(自然科学版)&referenced_num=0&reference_num=0