第4章 基于物理內存分析的在線取證模型及其可信性評估

內存取證與分析的過程是根據物理內存鏡像來獲取系統運行時的狀態信息或在線信息。這個過程中隱含著一個假設，即基于物理內存鏡像文件能夠完全代表或近似代表計算機當時運行狀態。如果這個假設不成立，那么由此方法獲得的計算機系統在線證據也將面臨不被認可的局面。

本章討論基于內存鏡像的在線取證模型及其可信性評估[25]。首先分析了數字證據可信性的構成，然后提出基于內存鏡像的在線取證模型，在此基礎上，具體分析了進行內存取證與分析的過程中，影響其獲取信息的可靠性的幾個方面，最后提出基于測量理論的評估方法，通過實驗對基于內存鏡像的在線取證模型的可信性進行了評估。