第4章 基于物理内存分析的在线取证模型及其可信性评估

内存取证与分析的过程是根据物理内存镜像来获取系统运行时的状态信息或在线信息。这个过程中隐含着一个假设，即基于物理内存镜像文件能够完全代表或近似代表计算机当时运行状态。如果这个假设不成立，那么由此方法获得的计算机系统在线证据也将面临不被认可的局面。

本章讨论基于内存镜像的在线取证模型及其可信性评估[25]。首先分析了数字证据可信性的构成，然后提出基于内存镜像的在线取证模型，在此基础上，具体分析了进行内存取证与分析的过程中，影响其获取信息的可靠性的几个方面，最后提出基于测量理论的评估方法，通过实验对基于内存镜像的在线取证模型的可信性进行了评估。