Android应用进程内存的提取与分析方法研究

发布时间：2024-03-16 17:48

　　智能手机作为一款新型的电子产品进入了人们的生活,人们大部分的信息交互过程都发生在智能手机上。在所有的手机平台中,Android操作系统又占据着主导的地位。所以,Android手机的取证分析工作对于整治与电子工具相关的违法活动有十分重大的意义。特别地,相比于传统以静态文件为目标的Android手机取证工作,Android手机的内存取证工作可以获得更多有价值的电子线索。然而,现阶段大部分Android手机的内存取证方法在诸多方面存在不足:提取过程影响提取内容,缺乏一致性估计;提取内容在逻辑上离散需要额外的地址转换工作;内存分析广度不够,缺乏对应用层的数据分析;内存分析深度不够,简单的内容匹配难以分析出应用数据之间的关联信息。本文以解决现阶段Android内存取证中提取和分析方法的不足为出发点,以进程内存为目标深入研究了 Android应用进程内存提取方法,评估了所提取内容在时间上的一致性,设计了以堆对象为中心的从底往上的Android应用进程内存分析方法,并在此基础上实现了 Android应用进程内存分析系统。论文的主要研究工作如下:1.介绍了 Android取证的研究背景,并列举了国内外...

【文章页数】：94 页

【学位级别】：硕士

【部分图文】：

图２－１操作系统与进程的关系??

东南大学硕士学位论文??的进程模型。??与进程的关系??统大多数都使用进程的概念来进行资源的分配，Ａｎｄｒｏｉｄ础的操作系统。通常认为进程是一个处于工作状态的程序个部分构成：可执行的代码、相关数据以及包含程序指令程上下文。操作系统在创建一个进程时，会为进程的代码、进程活动时，维护....

图２－２进程状态转移模型??

?±Ｔｋ??逞作至统??图２－１操作系统与进程的关系??操作系统作为资源的管理者，正是在这个关系模型下管理资源的。操作系统在内存??中为进程的实体分配存储空间，并由进程自己负责存储空间中的数据更新，包括用户空??间的代码段、数据和堆。另外，操作系统还将自身管理的部分资源分割给进程....

图２－４逻辑到线性的地址翻译流程??在完成逻辑和线性的翻译工作后，分页单元会继续进行线性地址到物理地址的翻译??

……〉??图２－３逻辑地址、线性地址和物理地址的转换??图２－３描述的是三种地址之间的转换。在Ｌｉｎｕｘ操作系统中，处理单元首先使用硬??件上的分段单元结合内存区域中的全局描述表或者局部描述表将逻辑地址转化成线性??地址。紧接其后，处理单元再利用内存系统空间中的页目录表和页表将线....

图２－５?Ｌｉｎｕｘ三级分页机制－线性地址到物理地址的转换??

上并且初始化。在将线性地址转化成物理地址的过程中，处理单元会读取页表中的页表??项，完成更进一步的翻译工作。在Ｌｉｎｕｘ系统中采用的是三级分页模型１４３】，这是为了有??效减小页表提高主存的利用率。图２－５说明了?Ｌｉｎｕｘ下线性地址到物理地址的转化机制。??全局索§１?｜?中间....

本文编号：3929903