关于退出过程的记忆取证

Question

我是记忆鉴证学的新手。当Windows中的进程结束时，内存中的进程的所有工件是否都消失了？我之所以这样问，是因为我的EDR解决方案给出了我想要查看的进程的本地进程ID。几分钟后，我获得了完整的内存和内核映像，无法找到EDR报告的本地进程ID。

Answer 1

它们并没有立即消失，但不久就开始消失了。Windows将所有这些页面标记为未使用的，每次进程分配更多内存时，都可以使用这些页面并覆盖它们的内容。

不仅如此，而且当进程正在运行时，Windows会跟踪属于该进程的所有页面，您可以轻松地引用它们。随着过程的结束，您不再有引用了，您必须对整个内存空间进行梳理，查找未分配的页面并在其上查找数据，这并不容易。如果你发现了一些有趣的东西，就没有一种简单的方法可以判断哪个进程拥有这个页面。

最好的方法是在进程退出之前获取系统映像。如果这是不可能的，你抓住任何重要的机会之间非常困难和不可能。