第2章 内存取证基础知识

计算机取证研究的是在数字环境中发生的事件。在实际环境下的犯罪现场调查中，现场的证据用来关联一些行为是否发生，是受到客观物理世界规律限制的。类似地，在计算机取证中的数据关联也受限于底层硬件以及系统可以执行的指令、能够访问的资源。

在大多数平台上，硬件的访问是通过一个称为操作系统的软件层实现的。操作系统管理计算机系统的硬件、软件及数据资源，控制程序运行、资源管理和与外部设备的通信。操作系统是计算机硬件和其他软件的接口，负责处理计算机系统中的处理器、设备和内存等硬件的底层请求。另外，操作系统还实现了一组高级服务和接口，这些接口定义了用户程序如何访问计算机的硬件。

计算机取证过程中，取证人员的目的是寻找可疑程序或计算机用户行为产生的信息，分析这些行为对计算机系统环境变化的影响。在分析和事件重构的过程中，熟悉系统硬件和操作系统，可以为取证人员提供宝贵的参考框架。

本章对内存取证涉及的计算机硬件组成和操作系统结构进行了简要的概述，目的是为初次接触这个领域的读者提供一些有用的背景知识，另外也可以帮助有经验的读者快速复习相关的概念和知识。本书后面会经常用到本章讨论的概念和定义。