内存取证技术可以躲开黑客设置的陷阱，获取真实可信的计算机系统信息，特别是正在运行系统的信息。目前信息安全类图书市场上尚没有全面、完整和深入介绍内存取证技术理论和技术实际应用的书籍。跟随本书内容，读者可以一步一步学习如何获取内存信息（物理内存镜像、应用程序使用的内存），如何从内存信息中获取网络连接状态、进程信息、文件信息、用户信息、系统信息、应用程序信息等。本书完整地详细论述了内存取证技术的理论与技术原理，读者不仅能够知其然，而且也可以知其所以然。

本书详细讨论了近年来计算机取证技术中*热门并极富挑战性的内存取证技术，共15章。第1~4章首先对内存取证的发展和意义进行概述式的描述，然后对涉及的现代计算机软硬件技术基础进行简要介绍，*后介绍内存获取和分析需要的方法、工具等。第5~10章根据几个主要的操作系统（Windows、Linux和Mac）对内存分析进行更加深入的介绍。第11~15章介绍内存分析技术在*新计算环境下的一些相关进展和技术，如移动设备的内存分析、云计算环境（虚拟机）下的内存分析应用。
本书的读者对象为内存取证领域内本科生、研究生和科研人员，同时，对于具备计算机专业技术背景，并对计算机内存取证和分析技术感兴趣的信息安全相关领域的从业人员，本书同样是重要参考资料。

王连海，研究员，工学博士，山东省计算机网络重点实验室总工，山东省区块链技术应用创新中心秘书长，享受***政府津贴，山东省有突出贡献的中青年专家，山东省优秀科技工作者。主要研究方向为区块链、计算机取证、网络安全和网络性能测试。

第 1章 内存取证技术概述 1
1．1　计算机取证技术　1
1．2　计算机取证技术的发展　3
1．3　计算机取证类型　4
1．4　内存取证　7
1．5　本章小结　10
第　2章 内存取证基础知识　11
2．1　PC硬件架构　11
2．2　内存管理　14
2．3　地址转换　17
2．4　ARM架构　21
2．5　本章小结　23
第3章　内存获取技术　24
3．1　基于软件的内存获取技术和工具　24
3．2　基于硬件的内存获取技术和工具　28
3．3　禁止DMA获取内存的技术　33
3．4　内存获取的其他方式　36
3．5　本章小结　38
第4章　基于物理内存分析的在线取证模型及其可信性评估　39
4．1　基于物理内存分析的在线取证模型　39
4．2　影响内存获取可信性的因素　41
4．3　基于测量理论的内存取证的可信性评估　43
4．4　内存获取的精密度、准确度和系统误差分析　45
4．5　内存获取工具的加载活动覆盖关键痕迹的概率　50
4．6　内存镜像文件提取的数据与实际电子数据之间的比较　52
4．7　本章小结　54
第5章　Windows内存分析原理　55
5．1　Windows操作系统关键组件　55
5．2　基于系统组件名称查找的Windows内存分析方法　57
5．3　基于池特征扫描的内存分析方法　61
5．4　基于KPCR结构的方法　66
5．5　本章小结　74
第6章　Windows内存分析　75
6．1　进程信息分析　75
6．2　Windows事件日志内存分析　92
6．3　Windows注册表内存分析　95
6．4　Windows内存的网络信息分析　102
6．5　Windows服务的内存分析　106
6．6　Windows内存中的文件　110
6．7　从PageFile中获取更多内存数据　111
6．8　本章小结　113
第7章　Linux操作系统内存分析原理　114
7．1　Linux操作系统关键组件　114
7．2　ELF二进制格式　122
7．3　Volatility物理内存分析方法　128
7．4　不依赖于内核符号表文件的Linux物理内存分析方法　129
7．5　本章小结　132
第8章　Linux内存分析　133
8．1　进程信息　133
8．2　文件系统信息　141
8．3　网络连接信息　145
8．4　模块信息　149
8．5　系统信息　152
8．6　交换文件的分析　156
8．7　本章小结　158
第9章　Mac OS内存分析原理　159
9．1　Mac OS的发展史　159
9．2　Mac OS X架构　162
9．3　Mach-O 可执行文件格式　167
9．4　内核符号表　170
9．5　内核/用户空间虚拟地址的划分　170
9．6　内核地址空间布局随机化　171
9．7　地址转换　172
9．8　Matthieu Suiche的Mac OS内存分析原理　174
9．9　不依赖mach_kernel文件的Mac OS内存分析方法　174
9．10　本章小结　177
第　10章 Mac OS内存分析技术　178
10．1　系统配置信息的分析　178
10．2　挂载的文件系统信息的分析　179
10．3　进程信息的分析　181
10．4　内核扩展（驱动、内核模块）的分析　195
10．5　系统调用的分析　196
10．6　网络信息的分析　197
10．7　SLAB分配器的分析　201
10．8　Bash命令的获取　203
10．9　内核调试缓冲区信息的获取　203
10．10　本章小结　204
第　11章 安卓智能手机内存取证　205
11．1　智能手机的硬件组成　206
11．2　从数字取证到智能手机取证　207
11．3　智能手机的数据获取　210
11．4　安卓系统概述　211
11．5　安卓智能手机内存获取　214
11．6　安卓智能手机内存分析　218
11．7　本章小结　222
第　12章 内存分析在云安全中的应用　223
12．1　云计算服务模型　223
12．2　虚拟化环境下面临的安全风险及研究现状　225
12．3　基于内存分析的虚拟机安全监控方法　227
12．4　基于内存旁路的云安全威胁监控技术　239
12．5　本章小结　242
第　13章 基于uKey的认证机制的破解　243
13．1　身份认证技术　243
13．2　uKey的认证机制　244
13．3　破解基于uKey的Windows登录认证机制　249
13．4　本章小结　255
第　14章 木马的检测分析　256
14．1　恶意代码　256
14．2　APT攻击　263
14．3　Windows特种木马检测　266
14．4　Linux恶意代码检测　291
14．5　Mac OS恶意代码检测　309
14．6　本章小结　318
第　15章 系统密码的破解　319
15．1　密码认证机制　319
15．2　Windows系统密码破解　325
15．3　Linux系统密码破解　330
15．4　Mac OS X登录屏保密码破解　331
15．5　以修改内存方式向Mac OS植入应用程序　335
15．6　本章小结　337
参考文献　339