公开(公告)号：CN102945288B

公开(公告)日：2016-01-20

申请号：CN201210499314.1

申请日：2012-11-29

Applicant: 重庆邮电大学

Inventor： 陈龙 ,  康磊 ,  董振兴

IPC: G06F17/30 ,  G06F17/22

Abstract: 本发明公开了一种从物理内存镜像中提取文本数据文件的方法，利用eprocess结构特征值及它们之间的偏移量搜索出notepad.exe进程的eprocess结构，获取进程的页目录基地址；获取文本数据描述信息、内存中的标示信息，通过操作系统地址转换的原理，准确获取notepad.exe进程中的文本数据。本发明可用于数据恢复、数据提取、计算机取证等方面。

公开(公告)号：CN102945288A

公开(公告)日：2013-02-27

申请号：CN201210499314.1

申请日：2012-11-29

Applicant: 重庆邮电大学

Inventor： 陈龙 ,  康磊 ,  董振兴

IPC: G06F17/30 ,  G06F17/22

Abstract: 本发明公开了一种从物理内存镜像中提取文本数据文件的方法，利用eprocess结构特征值及它们之间的偏移量搜索出notepad.exe进程的eprocess结构，获取进程的页目录基地址；获取文本数据描述信息、内存中的标示信息，通过操作系统地址转换的原理，准确获取notepad.exe进程中的文本数据。本发明可用于数据恢复、数据提取、计算机取证等方面。