公安部应用创新计划(2011YYCXXJXY121)
- 作品数:4 被引量:10H指数:1
- 相关作者:罗文华更多>>
- 相关机构:中国刑事警察学院更多>>
- 发文基金:公安部应用创新计划更多>>
- 相关领域:自动化与计算机技术政治法律更多>>
- CMD命令执行记录调查方法研究被引量:1
- 2013年
- 作为计算机犯罪侦查中重要的证据与线索来源,CMD命令执行记录在揭示犯罪分子行为细节方面发挥着重要作用。本文在详细分析CMD命令执行记录于内存中的数据存储结构基础上,着重说明基于Win-dows操作系统内存转储文件的历史记录重建方法,并对过程中涉及到的具体技术与注意事项予以阐述。
- 罗文华
- 关键词:命令提示符数据结构物理地址DOSKEY
- 针对进程用户空间的电子数据取证方法研究
- 2014年
- 进程用户空间中的信息往往与特定用户的特定操作行为直接关联,对于证据链的建立意义重大。从数目繁多的用户空间数据结构中筛选出最重要的三种:进程环境块、线程环境块与虚拟地址描述符,说明其定位方法,并重点讨论其结构格式的电子数据取证特性,为内存空间电子数据取证提供了新的思路与方法。实例分析部分,则以目前广泛使用的Windows 7操作系统为应用背景,说明了所述方法的具体应用。
- 罗文华
- 关键词:电子数据取证
- 基于逆向技术的恶意程序分析方法被引量:9
- 2011年
- 逆向分析是恶意程序分析的常用方法之一,在揭示恶意程序意图及行为方面发挥着其他方法无法比拟的作用。着重从启动函数、函数参数传递、数据结构、控制语句、Windows API等方面归纳总结恶意程序反汇编代码一般规律,并结合一起利用恶意程序窃取QQ账号与密码的真实案例说明快速准确定位关键信息的具体方法。
- 罗文华
- 关键词:数据结构控制语句WINDOWSAPI
- 基于Windows7环境下的跳转列表解析用户操作行为
- 2014年
- 作为计算机犯罪侦查中重要的证据与线索来源,用户行为信息在揭示犯罪分子操作细节方面发挥着重要作用。以往关于此方面的研究主要集中于Prefetch文件夹、Rencent文件夹以及注册表等方面。针对Windows 7新增功能——跳转列表进行研究,剖析其内部结构,从电子数据取证角度归纳总结用户操作对其产生的影响。实践证明,上述方法准确高效。
- 罗文华
- 关键词:用户行为
