随着计算机技术和信息技术的飞速发展,网络攻击方式逐渐内存化,网络犯罪逐渐隐遁化。在短时间内获得存储于易失性存储介质中的关键数字证据,成为打击网络犯罪的重要手段,其使用的主要技术为计算机内存取证。当前的内存取证技术存在扫描时间长、效率低的缺陷,达不到生产环境中应急响应的时间要求。在短时间内有效检测内核对象和内核Rootkit,对安全研究人员进行应急响应和攻击溯源具有重要意义。本文对内存池标记快速扫描技术进行了改进和优化,开发了针对Windows内核驱动对象的新型扫描插件,并提出了一种针对Windows内核Rootkit的自动化检测方案。本文通过对内存池标记快速扫描技术的研究,分析了Windows平台下内存取证技术待改进之处,缩小了关键内存扫描范围,添加了针对Windows内核驱动对象的约束条件,开发了针对Windows内核驱动对象的扫描插件qdriverscan。通过在多维度环境下对qdriverscan插件进行测试,结果表明该插件在保证扫描准确率不变的前提下,大幅度缩短了Windows内核驱动对象扫描花费的时间,提高了扫描效率。通过总结、分析Windows内核Rootkit检测技术的优缺点,结合现有内存取证框架,进一步改进、优化了Volatility的modscan、pstree、devicetree、driverirp、ssdt、callbacks和unloadedmodules插件,提出了一种针对Windows内核Rootkit的自动化检测方案。采用典型的真实Windows内核Rootkit进行实验测试,测试结果表明该方案可以全自动快速扫描出各Windows内核Rootkit的相关信息,定位可疑内存,为后续深入分析提供足够的参考资料。本文研究和实现的基于改进的内存池标记快速扫描技术的Windows内核驱动对象扫描插件和针对Windows内核Rootkit的自动化扫描方案可以大幅度缩短检测时间,以便在受害主机或系统被攻击后的最短时间内检测、获取攻击痕迹,有效地收集攻击信息,为后续的深入分析提供资料支撑和切入点参考,解决了安全研究员无法在短时间内快速定位攻击信息的难点。