ترجمه فارسی عنوان مقاله

جستجو برای فرآیندها و موضوعات در حافظه ویندوز مایکروسافت

عنوان انگلیسی

Searching for processes and threads in Microsoft Windows memory dumps

کد مقاله	سال انتشار	تعداد صفحات مقاله انگلیسی
50940	2006	7 صفحه PDF

منبع

Publisher : Elsevier - Science Direct (الزویر - ساینس دایرکت)

Journal : Digital Investigation, Volume 3, Supplement, September 2006, Pages 10–16

ترجمه کلمات کلیدی

شواهد دیجیتال، معاینه قانونی، ویندوز مایکروسافت، اطلاعات دائمی، حوادث پس از مرگ

کلمات کلیدی انگلیسی

Digital evidence; Forensic examination; Microsoft Windows; Volatile data; Incident postmortem

ترجمه چکیده

این مقاله ساختارهای حافظه را که پروسه ها و موضوعات را نشان می دهند، تحلیل می کند. این الگوهای جستجو را توسعه می دهد که بعد از آن برای اسکن تمام داده حافظه برای ردیابی اشیاء ذکر شده، مستقل از لیست های ذکر شده مورد استفاده قرار می گیرد. همانطور که توسط یک اجرای اثبات مفهوم نشان داده شده است، این رویکرد می تواند فرآیندهای پنهان و خاتمه یافته و موضوعات را در برخی از شرایط حتی بعد از بازبینی سیستم تحت بررسی نشان دهد.

چکیده انگلیسی

This article analyzes the in-memory structures which represent processes and threads. It develops search patterns which will then be used to scan the whole memory dump for traces of said objects, independent from the aforementioned lists. As demonstrated by a proof-of-concept implementation this approach could reveal hidden and terminated processes and threads, under some circumstances even after the system under examination has been rebooted.