Windows环境下进程空间信息深度挖掘方法研究

编号 zgly0000896957

文献类型 期刊论文

文献题名 Windows环境下进程空间信息深度挖掘方法研究

作者 罗文华 

作者单位 中国刑事警察学院网络犯罪侦查系 

母体文献 信息网络安全 

年卷期 2014(4)

页码 31-34

年份 2014 

关键词 虚拟地址描述符  进程结构体  二叉树  文件对象  API函数 

文摘内容 文章对现有的Windows环境下进程空间扫描技术进行了研究,提出了与传统的结构体扫描技术截然不同的进程空间深度挖掘方法。该方法利用进程的固有特征,通过内存中重要的数据结构,特别是实现特定功能所必需的VAD二叉树及栈,实现了关键信息的抽取。实验表明,所述方法具有较好的可靠性及检测效率。