基于内存逆向分析的即时会议取证方法与装置

本发明提供一种基于内存逆向分析的即时会议取证方法与装置。该方法包括：获取目标内存映像；利用预设的会议元数据逆向提取算法对所述目标内存映像进行分析，得到会议元数据；所述会议元数据逆向提取算法包括在内存映像中识别即时会议的进程信息，在内存中提取与所述进程信息相关的文件并进行转储，对转储出的内存文件进行分析以提取出会议元数据；利用预设的会议数据流雕刻算法对所述内存映像进行扫描和匹配，得到会议数据流信息；所述会议数据流调库算法包括重建即时会议中传输的文本消息和/或文件消息的数据结构，根据重建的数据结构在所述内存映像中识别定位需要取证的关键数据结构，在定位到的所述关键数据结构中提取会议数据流信息。