第2章 內(nèi)存取證基礎(chǔ)知識(shí)

計(jì)算機(jī)取證研究的是在數(shù)字環(huán)境中發(fā)生的事件。在實(shí)際環(huán)境下的犯罪現(xiàn)場(chǎng)調(diào)查中，現(xiàn)場(chǎng)的證據(jù)用來(lái)關(guān)聯(lián)一些行為是否發(fā)生，是受到客觀物理世界規(guī)律限制的。類似地，在計(jì)算機(jī)取證中的數(shù)據(jù)關(guān)聯(lián)也受限于底層硬件以及系統(tǒng)可以執(zhí)行的指令、能夠訪問(wèn)的資源。

在大多數(shù)平臺(tái)上，硬件的訪問(wèn)是通過(guò)一個(gè)稱為操作系統(tǒng)的軟件層實(shí)現(xiàn)的。操作系統(tǒng)管理計(jì)算機(jī)系統(tǒng)的硬件、軟件及數(shù)據(jù)資源，控制程序運(yùn)行、資源管理和與外部設(shè)備的通信。操作系統(tǒng)是計(jì)算機(jī)硬件和其他軟件的接口，負(fù)責(zé)處理計(jì)算機(jī)系統(tǒng)中的處理器、設(shè)備和內(nèi)存等硬件的底層請(qǐng)求。另外，操作系統(tǒng)還實(shí)現(xiàn)了一組高級(jí)服務(wù)和接口，這些接口定義了用戶程序如何訪問(wèn)計(jì)算機(jī)的硬件。

計(jì)算機(jī)取證過(guò)程中，取證人員的目的是尋找可疑程序或計(jì)算機(jī)用戶行為產(chǎn)生的信息，分析這些行為對(duì)計(jì)算機(jī)系統(tǒng)環(huán)境變化的影響。在分析和事件重構(gòu)的過(guò)程中，熟悉系統(tǒng)硬件和操作系統(tǒng)，可以為取證人員提供寶貴的參考框架。

本章對(duì)內(nèi)存取證涉及的計(jì)算機(jī)硬件組成和操作系統(tǒng)結(jié)構(gòu)進(jìn)行了簡(jiǎn)要的概述，目的是為初次接觸這個(gè)領(lǐng)域的讀者提供一些有用的背景知識(shí)，另外也可以幫助有經(jīng)驗(yàn)的讀者快速?gòu)?fù)習(xí)相關(guān)的概念和知識(shí)。本書后面會(huì)經(jīng)常用到本章討論的概念和定義。