Content area

Abstract

Translate

Memory forensics faces significant challenges in modern operating systems like Windows, particularly in reconstructing executables from memory pages that have been paged out. Traditional forensic tools rely heavily on text carving and string searches, often ineffective in handling data's fragmented and complex distribution across system memory and pagefile.sys. This research introduces a deep structural analysis approach that significantly improves process extraction and executable reconstruction from Windows memory dumps.

The proposed method goes beyond traditional executable header analysis by deeply examining memory structures such as MMPTE (Prototype and Transition) to track missing memory pages accurately. This approach enables precise identification of executable regions that conventional tools often overlook by reconstructing the relationships between page table entries, virtual address mappings, and paged-out memory locations. Advanced page mapping techniques and structural validation of key Windows memory components like the Process Environment Block (PEB) ensure a more thorough and reliable recovery of executable data. Experimental results demonstrate a 35.06% improvement in executable extraction compared to existing tools like Volatility, highlighting the effectiveness of this deep structural analysis in forensic investigations.

This research enhances digital forensic capabilities by addressing key limitations in process reconstruction and paged-out memory analysis, enabling investigators to recover critical evidence more effectively. The findings contribute to advancing forensic methodologies for analyzing Windows memory dumps, bridging gaps left by traditional approaches, and improving the accuracy of executable recovery from volatile and paged memory.

Alternate abstract:

تواجه عمليات تحليل الذاكرة تحديات كبيرة في أنظمة التشغيل الحديثة مثل أنظمة تشغيل ويندوز، وخاصة في إعادة بناء الملفات القابلة للتنفيذ (Executables) من صفحات الذاكرة التي تم حذفها. تعتمد أدوات التحليل الجنائي التقليدية بشكل كبير على طريقة البحث عن النصوص، والتي غالبًا ما تكون غير فعالة في التعامل مع توزيع البيانات المجزأ والمعقد عبر ذاكرة النظام وملف الذاكرة المساعدة (RAM)، يقدم هذا البحث نهجًا عميقًا للتحليل البنيوي حيث يحسن بشكل كبير من استخراج ملفات العمليات (Processes) وإعادة بناء الملفات القابلة للتنفيذ من ذاكرة ويندوز.تتجاوز الطريقة المقترحة الطريقة التقليدية في تحليل رأس الملفات القابلة للتنفيذ من خلال فحص هياكل الذاكرة بعمق مثل MMPTE لتتبع صفحات الذاكرة المفقودة بدقة. يتيح هذا النهج التعرف الدقيق على مناطق الملفات القابلة للتنفيذ التي غالبًا ما تتجاهلها الأدوات التقليدية من خلال إعادة بناء العلاقات بين إدخالات جدول الصفحات وتعيينات العناوين الافتراضية ومواقع الذاكرة التي تم حذفها. تضمن تقنيات تعيين الصفحات المتقدمة والتحقق البنيوي لمكونات ذاكرة الويندوز الرئيسية مثل كتلة بيئة العملية (PEB) استردادًا أكثر شمولاً وموثوقية للبيانات القابلة للتنفيذ. تظهر النتائج التجريبية تحسنًا أكبر بنسبة 35.06% في استخراج الملفات القابلة للتنفيذ مقارنة بالأدوات الحالية مثل Volatility، مما يسلط الضوء على فعالية هذا التحليل البنيوي العميق في التحقيقات الجنائية.يعزز هذا البحث قدرات الطب الشرعي الرقمي من خلال معالجة القيود الرئيسية في إعادة بناء الملفات وتحليل الذاكرة المقسمة، مما يمكن المحققين من استرداد الأدلة الحاسمة بشكل أكثر فعالية. تساهم النتائج في تطوير منهجيات الطب الشرعي لتحليل تفريغات ذاكرة ويندوز، وسد الفجوات التي خلفتها الأساليب التقليدية، وتحسين دقة استرداد الملفات القابلة للتنفيذ من الذاكرة.

Details

1010268
Business indexing term
Subject
Computer science;
Artificial intelligence
Classification
0800: Artificial intelligence
0984: Computer science
Identifier / keyword
AI in memory forensics; Digital forensics; Executable reconstruction; Memory forensics; Paged-out memory reconstruction; Pagefile.sys analysis
Title
Enhancing Process Extraction From Windows Memory Dumps Through Deep Structural Analysis
Alternate title
تحسين عملية استخراج البيانات من ملفات ذاكرة نظام ويندوز من خلال التحليل الهيكلي العميق
Author
Rawashdeh, Morad
Number of pages
135
Publication year
2025
Degree date
2025
School code
2116
Source
MAI 87/1(E), Masters Abstracts International
ISBN
9798288806773
Advisor
Abu Alhaija, QasemAl-Dala'ien, Mu'awya
Committee member
Abu-Ein, Qusai; Ababneh, Mohammad; Fayoumi, Mustafa
University/institution
Princess Sumaya University for Technology (Jordan)
Department
Department of Computer Science
University location
Jordan
Degree
M.Sc.C.
Source type
Dissertation or Thesis
Language
English
Document type
Dissertation/Thesis
Dissertation/thesis number
32119641
ProQuest document ID
3229695988
Document URL
https://www.proquest.com/dissertations-theses/enhancing-process-extraction-windows-memory-dumps/docview/3229695988/se-2?accountid=208611
Copyright
Database copyright ProQuest LLC; ProQuest does not claim copyright in the individual underlying works.
Database
ProQuest One Academic