Enhancing Process Extraction From Windows Memory Dumps Through Deep Structural Analysis
Guardado en:
| Publicado en: | PQDT - Global (2025) |
|---|---|
| Autor principal: | |
| Publicado: |
ProQuest Dissertations & Theses
|
| Materias: | |
| Acceso en línea: | Citation/Abstract Full Text - PDF |
| Etiquetas: |
Sin Etiquetas, Sea el primero en etiquetar este registro!
|
MARC
| LEADER | 00000nab a2200000uu 4500 | ||
|---|---|---|---|
| 001 | 3229695988 | ||
| 003 | UK-CbPIL | ||
| 020 | |a 9798288806773 | ||
| 035 | |a 3229695988 | ||
| 045 | 2 | |b d20250101 |b d20251231 | |
| 084 | |a 189128 |2 nlm | ||
| 100 | 1 | |a Rawashdeh, Morad | |
| 245 | 1 | |a Enhancing Process Extraction From Windows Memory Dumps Through Deep Structural Analysis | |
| 260 | |b ProQuest Dissertations & Theses |c 2025 | ||
| 513 | |a Dissertation/Thesis | ||
| 520 | 3 | |a Memory forensics faces significant challenges in modern operating systems like Windows, particularly in reconstructing executables from memory pages that have been paged out. Traditional forensic tools rely heavily on text carving and string searches, often ineffective in handling data's fragmented and complex distribution across system memory and pagefile.sys. This research introduces a deep structural analysis approach that significantly improves process extraction and executable reconstruction from Windows memory dumps.The proposed method goes beyond traditional executable header analysis by deeply examining memory structures such as MMPTE (Prototype and Transition) to track missing memory pages accurately. This approach enables precise identification of executable regions that conventional tools often overlook by reconstructing the relationships between page table entries, virtual address mappings, and paged-out memory locations. Advanced page mapping techniques and structural validation of key Windows memory components like the Process Environment Block (PEB) ensure a more thorough and reliable recovery of executable data. Experimental results demonstrate a 35.06% improvement in executable extraction compared to existing tools like Volatility, highlighting the effectiveness of this deep structural analysis in forensic investigations.This research enhances digital forensic capabilities by addressing key limitations in process reconstruction and paged-out memory analysis, enabling investigators to recover critical evidence more effectively. The findings contribute to advancing forensic methodologies for analyzing Windows memory dumps, bridging gaps left by traditional approaches, and improving the accuracy of executable recovery from volatile and paged memory. تواجه عمليات تحليل الذاكرة تحديات كبيرة في أنظمة التشغيل الحديثة مثل أنظمة تشغيل ويندوز، وخاصة في إعادة بناء الملفات القابلة للتنفيذ (Executables) من صفحات الذاكرة التي تم حذفها. تعتمد أدوات التحليل الجنائي التقليدية بشكل كبير على طريقة البحث عن النصوص، والتي غالبًا ما تكون غير فعالة في التعامل مع توزيع البيانات المجزأ والمعقد عبر ذاكرة النظام وملف الذاكرة المساعدة (RAM)، يقدم هذا البحث نهجًا عميقًا للتحليل البنيوي حيث يحسن بشكل كبير من استخراج ملفات العمليات (Processes) وإعادة بناء الملفات القابلة للتنفيذ من ذاكرة ويندوز.تتجاوز الطريقة المقترحة الطريقة التقليدية في تحليل رأس الملفات القابلة للتنفيذ من خلال فحص هياكل الذاكرة بعمق مثل MMPTE لتتبع صفحات الذاكرة المفقودة بدقة. يتيح هذا النهج التعرف الدقيق على مناطق الملفات القابلة للتنفيذ التي غالبًا ما تتجاهلها الأدوات التقليدية من خلال إعادة بناء العلاقات بين إدخالات جدول الصفحات وتعيينات العناوين الافتراضية ومواقع الذاكرة التي تم حذفها. تضمن تقنيات تعيين الصفحات المتقدمة والتحقق البنيوي لمكونات ذاكرة الويندوز الرئيسية مثل كتلة بيئة العملية (PEB) استردادًا أكثر شمولاً وموثوقية للبيانات القابلة للتنفيذ. تظهر النتائج التجريبية تحسنًا أكبر بنسبة 35.06% في استخراج الملفات القابلة للتنفيذ مقارنة بالأدوات الحالية مثل Volatility، مما يسلط الضوء على فعالية هذا التحليل البنيوي العميق في التحقيقات الجنائية.يعزز هذا البحث قدرات الطب الشرعي الرقمي من خلال معالجة القيود الرئيسية في إعادة بناء الملفات وتحليل الذاكرة المقسمة، مما يمكن المحققين من استرداد الأدلة الحاسمة بشكل أكثر فعالية. تساهم النتائج في تطوير منهجيات الطب الشرعي لتحليل تفريغات ذاكرة ويندوز، وسد الفجوات التي خلفتها الأساليب التقليدية، وتحسين دقة استرداد الملفات القابلة للتنفيذ من الذاكرة. | |
| 653 | |a Computer science | ||
| 653 | |a Artificial intelligence | ||
| 773 | 0 | |t PQDT - Global |g (2025) | |
| 786 | 0 | |d ProQuest |t ProQuest Dissertations & Theses Global | |
| 856 | 4 | 1 | |3 Citation/Abstract |u https://www.proquest.com/docview/3229695988/abstract/embedded/7BTGNMKEMPT1V9Z2?source=fedsrch |
| 856 | 4 | 0 | |3 Full Text - PDF |u https://www.proquest.com/docview/3229695988/fulltextPDF/embedded/7BTGNMKEMPT1V9Z2?source=fedsrch |