内存取证研究中，现存的用户地址空间遍历方法只适用于Windows XP和Windows 7的32位系统，而Windows 10 64位系统已经被个人用户广泛使用，是网络攻击者的主要目标。提出了一种基于虚拟地址描述符(virtual address descriptor, VAD)树的Windows 10用户地址空间遍历方法。方法对Windows 10 64位系统内存内核和用户地址空间元数据进行定位，解析内存映射文件、共享内存、堆栈缓冲区和保留系统结构等相关元数据，与VAD树中的节点信息相匹配，最后描述每一段内存区域的分配起止地址、占用大小、分配保护、内存类型和详细信息。测试结果表明，方法能够兼容目前所有版本的Windows 10 64位系统，在应对不同复杂程度的进程时能有效遍历常见的结构。

• 单位
  哈尔滨理工大学