5.一種基于結構鏈逆向的內存碎片文件重建系統，其特征在于，包含：掃描分析模塊和逆向重構模塊，其中，

掃描分析模塊，用于掃描并分析內存介質映像，建立碎片集合到文件碎片子集的映射，獲取文件碎片子集中的碎片元素；

逆向重構模塊，用于基于操作系統結構逆向分析，構建文件碎片子集中碎片元素的連接關系及邏輯位置，重構內存碎片文件；

利用文件內核對象池分配結構特征，掃描內存碎片集合，確定其中的數據文件個數；利用內核文件對象結構逆向分析來確定內存文件在內存映像中的結構信息，進而構建出內存文件碎片子集；

文件碎片子集和碎片集合S之間構成關系表示為：

其中，0≤i≤k，file_i表示文件碎片子集，k表示內存碎片中數據文件個數；

基于操作系統結構逆向分析，構建文件碎片子集中碎片元素的連接關系及邏輯位置，重構內存碎片文件，包含：利用掃描工具定位內存文件對象并通過重建內存文件對象字段進行文件結構重構的文件對象掃描重建；通過定位數據部分對象中的控制區域結構重構數據文件空間字段及用于索引字節頁面的MMPTE數組結構的文件碎片提取重建；及通過定位共享緩存映射結構并重構變量來依據基地址變量獲取緩存文件信息的緩存文件重建。