第3章 內(nèi)存獲取技術(shù)

物理內(nèi)存鏡像的獲取是進(jìn)行在線取證的基礎(chǔ)，如何快速并完整地獲取內(nèi)存鏡像是內(nèi)存取證技術(shù)的關(guān)鍵，由于在線取證是在系統(tǒng)運(yùn)行過程中進(jìn)行的，而內(nèi)存中的數(shù)據(jù)在系統(tǒng)運(yùn)行過程中是不斷變化的，因此內(nèi)存數(shù)據(jù)能否及時(shí)獲取對后續(xù)的分析工作起決定性的作用。

目前的內(nèi)存鏡像獲取方法主要分為基于硬件設(shè)備的和基于軟件的。兩種方式雖然都能完整獲取到內(nèi)存中的數(shù)據(jù)，但是二者也有很大的差異。通過硬件獲取，可以最大限度地保持?jǐn)?shù)據(jù)的原始性，但是需要特殊的物理設(shè)備支持，甚至需要提前安裝在目標(biāo)計(jì)算機(jī)上。軟件方式可能會對原有的數(shù)據(jù)產(chǎn)生一定程度的干擾，不需要特定硬件設(shè)備的支持。如果操作合理，也能得到較為完整的內(nèi)存數(shù)據(jù)鏡像。