堆栈取证可以还原事件发生时系统所进行的操作,研究主流Windows系统的堆栈取证对完善内存取证流程以及发展内存取证技术有重要意义。目前,针对不建立帧指针的64位Windows转储文件,现有堆栈取证方法会把不可执行地址及回调函数地址误识别为正确返回地址,同时一些取证或内存分析工具如Win Dbg过于依赖调试符号,含有恶意进程的转储文件通常没有调试符号而造成取证困难。另外,若不对Windows 10压缩内存数据进行提取,则会造成取证结果有缺失,而现有检索方法存在过程繁琐、未考虑系统版本带来的内核数据结构不同以及支持的压缩算法单一问题。为解决以上问题,本文提出了从64位Windows内存转储构建堆栈取证的方法。主要研究内容如下:1.对Windows 10下压缩内存取证做出改进,提出基于快速定位REGION KEY的检索算法（Retrieval Based on Quick Location REGION KEY,RBQLRK）。RBQLRK算法改进了压缩数据检索方式,提高了检索效率;修正了因为系统版本差异带来的内存结构块大小不同造成的计算偏差;增加了对不同压缩算法的支持。2.不依赖于调试符号及帧指针,提出基于异常表决策的堆栈取证算法（Stack Forensics Based on Exception Tables Decision,SFBETD）,还原事件发生时的调用信息。SFBETD算法首先对获取的内存证据进行预处理,得到进程相关信息;然后检索目标进程的用户上下文,确定堆栈跟踪的起始点;对寄存器指令指针位置进行判断,分析其在函数不同位置产生的对相关寄存器内容值的影响;根据该影响对异常表的利用方式做决策分析,对堆栈进行执行历史的回溯。3.在异常表不可用时,提出基于指令码的堆栈取证算法（Stack Forensics Based on Instruction Code,SFBIC）。算法首先扫描堆栈,将检测到所有可能的上一个返回地址标记下来作为候选地址;然后通过对调用地址处指令解码的方式对地址进行验证,排除基于扫描方法及指令流验证带来的误报。为了分析与验证本文提出的取证及优化算法,使用开源内存取证框架Volatility开发了相应的插件并做了全面实验测试和对比分析,结果证明本文提出的取证方法可以不依赖于帧指针和调试符号,利用异常表可以减少堆栈跟踪结果的漏报;在没有异常表的情况下,基于指令码的取证可以极大地提高取证的精确性;引入压缩内存取证方法后,Windows 10系统可以获取更加完整的堆栈跟踪。