基于GHM可视化和深度学习的恶意代码检测与分类 被引量：1

1

作者 张淑慧 胡长栋 +3 位作者 王连海 徐淑奖 邵蔚 兰田 《信息安全研究》 CSCD 北大核心 2024年第3期216-222,共7页

恶意代码的复杂性和变异性在不断增加,致使恶意软件的检测变得越来越具有挑战性.大多数变异或未知的恶意程序是在现有恶意代码的逻辑基础上进行改进或混淆形成的,因此发现恶意代码家族并确定其恶意行为变得越来越重要.提出了一种基于GHM... 恶意代码的复杂性和变异性在不断增加,致使恶意软件的检测变得越来越具有挑战性.大多数变异或未知的恶意程序是在现有恶意代码的逻辑基础上进行改进或混淆形成的,因此发现恶意代码家族并确定其恶意行为变得越来越重要.提出了一种基于GHM(Gray, HOG,Markov)的新型恶意软件可视化方法进行数据预处理.与传统的可视化方法不同,该方法在可视化过程中通过HOG和马尔科夫提取出更加有效的数据特征,并构建了3通道彩色图像.此外,构建了基于CNN和LSTM的VLMal分类模型,对可视化图像进行恶意软件检测分类.实验结果表明,该方法可以有效地检测和分类恶意代码,具有较好的准确性和稳定性. 展开更多

关键词 恶意软件检测 深度学习 恶意软件分类 内存取证 可视化

在线阅读 下载PDF 职称材料

基于深度学习的Linux系统DKOM攻击检测 被引量：1

2

作者 陈亮 孙聪 《计算机科学》 CSCD 北大核心 2024年第9期383-392,共10页

直接内核对象操纵(DKOM)攻击通过直接访问和修改内核对象来隐藏内核对象,是主流操作系统长期存在的关键安全问题。对DKOM攻击进行基于行为的在线扫描适用的恶意程序类型有限且检测过程本身易受DKOM攻击影响。近年来,针对潜在受DKOM攻击... 直接内核对象操纵(DKOM)攻击通过直接访问和修改内核对象来隐藏内核对象,是主流操作系统长期存在的关键安全问题。对DKOM攻击进行基于行为的在线扫描适用的恶意程序类型有限且检测过程本身易受DKOM攻击影响。近年来,针对潜在受DKOM攻击的系统进行基于内存取证的静态分析成为一种有效和安全的检测方法。现有方法已能够针对Windows内核对象采用图神经网络模型进行内核对象识别,但不适用于Linux系统内核对象,且对于缺少指针字段的小内核对象的识别有效性有限。针对以上问题,设计并实现了一种基于深度学习的Linux系统DKOM攻击检测方案。首先提出了一种扩展内存图结构刻画内核对象的指针指向关系和常量字段特征,利用关系图卷积网络对扩展内存图的拓扑结构进行学习以实现内存图节点分类,使用基于投票的对象推测算法得出内核对象地址,并通过与现有分析框架Volatility的识别结果对比实现对Linux系统DKOM攻击的检测。提出的扩展内存图结构相比现有的内存图结构能更好地表示缺乏指针但具有常量字段的小内核数据结构的特征,实现更高的内核对象检测有效性。与现有基于行为的在线扫描工具chkrootkit相比,针对5种现实世界Rootkit的DKOM行为,所提方案实现了更高的检测有效性,精确度提高20.1%,召回率提高32.4%。 展开更多

关键词 内存取证 恶意软件检测 操作系统安全 图神经网络 二进制分析

在线阅读 下载PDF 职称材料

基于内存取证的内核完整性度量方法 被引量：9

3

作者 陈志锋 李清宝 +1 位作者 张平 王炜 《软件学报》 EI CSCD 北大核心 2016年第9期2443-2458,共16页

内核级攻击对操作系统的完整性和安全性造成严重威胁.当前,内核完整性度量方法在度量对象选取上存在片面性,且大部分方法采用周期性度量,无法避免TOC-TOU攻击.此外,基于硬件的内核完整性度量方法因添加额外的硬件使得系统成本较高;基于H... 内核级攻击对操作系统的完整性和安全性造成严重威胁.当前,内核完整性度量方法在度量对象选取上存在片面性,且大部分方法采用周期性度量,无法避免TOC-TOU攻击.此外,基于硬件的内核完整性度量方法因添加额外的硬件使得系统成本较高;基于Hypervisor的内核完整性度量方法,应用复杂的VMM带来的系统性能损失较大.针对现有方法存在的不足,提出了基于内存取证的内核完整性度量方法 KIMBMF.该方法采用内存取证分析技术提取静态和动态度量对象,提出时间随机化算法弱化TOC-TOU攻击,并采用Hash运算和加密运算相结合的算法提高度量过程的安全性.在此基础上,设计实现了基于内存取证的内核完整性度量原型系统,并通过实验评测了KIMBMF的有效性和性能.实验结果表明:KIMBMF能够有效度量内核的完整性,及时发现对内核完整性的攻击和破坏,且度量的性能开销小. 展开更多

关键词 内核完整性 完整性度量 toc-tou 内存取证 时间随机化

在线阅读 下载PDF 职称材料

内存取证研究与进展 被引量：30

4

作者 张瑜 刘庆中 +2 位作者 李涛 吴丽华 石春 《软件学报》 EI CSCD 北大核心 2015年第5期1151-1172,共22页

网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面... 网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源和发展演化过程;其次介绍了操作系统内存管理关键机制;然后探讨了内存取证的数据获取和分析方法,归纳总结目前内存取证研究的最新技术;最后讨论了内存取证存在的问题、发展趋势和进一步的研究方向. 展开更多

关键词 网络安全 内存取证 网络攻击 网络犯罪 应急响应

在线阅读 下载PDF 职称材料

面向Windows操作系统的内存取证技术研究 被引量：2

5

作者 钱勤 董步云 +2 位作者 唐哲 伏晓 茅兵 《计算机工程》 CAS CSCD 2014年第8期310-317,共8页

传统的计算机取证方法收集被攻击的计算机磁盘等能持久化保存数据的介质。但是随着磁盘存储能力的提升以及数据加密等技术的发展,使用原来针对硬盘的取证方法获取数据进行分析变得越来越困难。对计算机的取证开始采用其他数据源,包括计... 传统的计算机取证方法收集被攻击的计算机磁盘等能持久化保存数据的介质。但是随着磁盘存储能力的提升以及数据加密等技术的发展,使用原来针对硬盘的取证方法获取数据进行分析变得越来越困难。对计算机的取证开始采用其他数据源,包括计算机内存中易失性的信息。对Windows操作系统的主要内存获取、分析方法以及内存取证过程进行介绍,采用分析和对比的手段对每种方法的特点、优势和不足进行比较,得出比较结果并给出计算机犯罪内存取证领域未来需要研究的方向。 展开更多

关键词 网络犯罪 计算机取证 内存取证 内存获取 内存分析 易失性信息 内存取证过程

在线阅读 下载PDF 职称材料

基于KPCR结构的Windows物理内存分析方法 被引量：9

6

作者 郭牧 王连海 《计算机工程与应用》 CSCD 北大核心 2009年第18期74-77,143,共5页

介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,... 介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,适用范围更广,具有很高的实用价值。 展开更多

关键词 计算机取证 计算机在线取证 物理内存分析 数字取证

在线阅读 下载PDF 职称材料

氯胺酮与酒精对小鼠学习记忆行为的影响 被引量：3

7

作者 杨美玉 丁飞 +4 位作者 蒋小岗 吴勰星 顾振纶 郭次仪 卞士中 《法医学杂志》 CAS CSCD 2012年第2期115-119,共5页

目的研究氯胺酮与酒精对小鼠学习记忆的行为学及相关神经递质的影响。方法 40只小鼠分为4组:对照组、氯胺酮组、酒精组、氯胺酮酒精联合给药组,每组10只。氯胺酮和酒精分别采用腹腔注射和灌胃给药的方式,1次/d,连续14d。通过跳台和水迷... 目的研究氯胺酮与酒精对小鼠学习记忆的行为学及相关神经递质的影响。方法 40只小鼠分为4组:对照组、氯胺酮组、酒精组、氯胺酮酒精联合给药组,每组10只。氯胺酮和酒精分别采用腹腔注射和灌胃给药的方式,1次/d,连续14d。通过跳台和水迷宫实验检测各组小鼠的学习记忆能力,通过测定小鼠大脑组织中乙酰胆碱(acetylcholine,ACh)和5-羟色胺(5-hydroxy tryptamine,5-HT)的含量初步探讨氯胺酮与酒精对小鼠学习记忆的影响机制。结果 (1)跳台实验:给药组小鼠均出现潜伏期缩短,错误次数增多(P<0.05)。与单独给药相比,联合给药组错误次数显著增加。(2)水迷宫实验:给药组小鼠潜伏期显著增加(P<0.05),平台所在象限活动时间明显缩短(P<0.05),穿台次数显著减少(P<0.05)。(3)生化指标测定:各给药组ACh和5-HT含量明显下降,且联合给药组较单独给药组下降更为明显(P<0.05)。结论氯胺酮和酒精对小鼠学习记忆行为的抑制具有协同作用,这可能与共同抑制5-HT和ACh含量的降低有关。 展开更多

关键词 法医毒理学 氯胺酮 酒精 学习 记忆 小鼠

在线阅读 下载PDF 职称材料

一种基于闪存物理镜像的FAT文件系统重组方法 被引量：4

8

作者 张丽 谭毓安 +3 位作者 郑军 马忠梅 王文明 李元章 《电子学报》 EI CAS CSCD 北大核心 2013年第8期1487-1493,共7页

文件系统重组是闪存设备取证研究进行数据恢复的主要手段.传统的文件系统重组方法需要同时获取闪存设备在同一时刻的逻辑镜像和物理镜像,该条件在取证实践中常常难以满足,故提出一种仅依赖闪存物理镜像重组文件分配表(FAT)文件系统的方... 文件系统重组是闪存设备取证研究进行数据恢复的主要手段.传统的文件系统重组方法需要同时获取闪存设备在同一时刻的逻辑镜像和物理镜像,该条件在取证实践中常常难以满足,故提出一种仅依赖闪存物理镜像重组文件分配表(FAT)文件系统的方法.在引入统计分析法从物理镜像中提取逻辑地址字段和页状态字段的基础上,给出利用最新页状态值准确重组闪存设备最新FAT文件系统镜像的算法.最后以MTK6229闪存设备物理镜像的FAT文件系统重组过程为例,验证上述重组算法及相关方法是正确的. 展开更多

关键词 数字取证 闪存 物理镜像 文件系统重组 空闲区

在线阅读 下载PDF 职称材料

一种基于隐藏事件触发机制的内存取证方法 被引量：5

9

作者 崔超远 李勇钢 +1 位作者 乌云 王励成 《计算机研究与发展》 EI CSCD 北大核心 2018年第10期2278-2290,共13页

内存取证是计算机取证科学的重要分支,能够提取和分析操作系统运行状态的数字证据,已经成为对抗网络犯罪的有力武器.现有内存取证方法大多是全面获取内存数据,因而包含大量冗余信息,为后续内存分析带来不便.此外,在取证时间点选取方面... 内存取证是计算机取证科学的重要分支,能够提取和分析操作系统运行状态的数字证据,已经成为对抗网络犯罪的有力武器.现有内存取证方法大多是全面获取内存数据,因而包含大量冗余信息,为后续内存分析带来不便.此外,在取证时间点选取方面存在盲目性,尤其是对具有隐藏特性的恶意软件,无法准确地在攻击发生时进行实时取证.由于内存具有易失性和不可恢复性的特点,取证时间点与攻击过程不匹配将使得取证内容无法表征攻击行为,导致取证数据无效.针对以上问题,提出一种基于隐藏事件触发机制的内存取证方法 ForenHD.该方法利用虚拟化技术实时监视目标虚拟机中的内核对象,并通过分析内核对象的逻辑连接关系和运行状态的变化来检测隐藏对象;然后以隐藏对象的发现作为内存取证的触发事件,通过内存映射提取隐藏对象的代码段信息,实现实时和局部内存取证.通过对多种隐藏对象取证的实验,证明了ForenHD的可行性和有效性. 展开更多

关键词 内存取证 实时取证 局部取证 隐藏事件 触发机制 系统虚拟化技术

在线阅读 下载PDF 职称材料

Windows 8下基于镜像文件的内存取证研究 被引量：3

10

作者 向涛 苟木理 《计算机工程与应用》 CSCD 2013年第19期63-67,共5页

内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结... 内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结构进行分析,提取出相应特征;基于这些特征,提出了一种能够从物理内存镜像文件中得到系统当前进程和线程信息的算法。实验结果和分析表明,该算法能够成功提取隐藏进程和非隐藏进程,及其各进程相关的线程信息,为内存取证分析提供了可靠的数据基础。 展开更多

关键词 内存取证 WINDOWS8 进程 线程 物理内存分析

在线阅读 下载PDF 职称材料

面向取证应用的PC版微信的内存分析方法 被引量：2

11

作者 李威 廖健 曾剑平 《计算机应用与软件》 北大核心 2019年第2期329-333,共5页

微信是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利。但同时也给不法分子带来新的机会,许多违法犯罪行为在微信平台上发生。设计一种PC版微信的内存分析方法,借助第三方工具pmdump得到微信应用的内存文件并对其进行分... 微信是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利。但同时也给不法分子带来新的机会,许多违法犯罪行为在微信平台上发生。设计一种PC版微信的内存分析方法,借助第三方工具pmdump得到微信应用的内存文件并对其进行分析,描述该方法的思路和具体步骤。特别针对文本、表情等多种不同类型信息撤回时,对内存文件中的特征变化进行分析。该方法对于微信应用的内存取证分析、撤回信息分析的应用场景具有一定参考价值。 展开更多

关键词 微信取证 内存分析 撤回信息 pmdump

在线阅读 下载PDF 职称材料

基于内存池标记快速扫描技术的Windows内核驱动对象扫描 被引量：4

12

作者 翟继强 肖亚军 +1 位作者 杨海陆 王健 《西北工业大学学报》 EI CAS CSCD 北大核心 2019年第5期1044-1052,共9页

计算机内存取证领域中,基于内存池标记的池标记扫描技术在对内核驱动对象进行扫描时需要对全部物理内存进行详尽搜索,效率很低。提出了一种使用内存池标记快速扫描技术扫描Windows内核驱动对象的方法。该方法采用内存池标记快速扫描技术... 计算机内存取证领域中,基于内存池标记的池标记扫描技术在对内核驱动对象进行扫描时需要对全部物理内存进行详尽搜索,效率很低。提出了一种使用内存池标记快速扫描技术扫描Windows内核驱动对象的方法。该方法采用内存池标记快速扫描技术,减小扫描的内存范围,然后根据内核驱动对象特征对驱动对象进行快速扫描,以帮助调查人员判断驱动是否存在异常。实验表明,使用内存池标记快速扫描技术进行内核驱动对象扫描可以在保证误报率不变的情况下,极大地提高扫描效率,减少在扫描步骤花费的时间。 展开更多

关键词 内存取证 内存池标记 内存池标记快速扫描 内核驱动对象

在线阅读 下载PDF 职称材料

计算机取证中的物理内存取证分析方法研究 被引量：6

13

作者 殷联甫 《计算机应用与软件》 CSCD 2010年第12期295-298,共4页

阐述物理内存取证分析的基本概念及相关研究现状,重点研究了Windows系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作。

关键词 计算机犯罪 计算机安全 计算机取证 物理内存取证

在线阅读 下载PDF 职称材料

Windows内核变量定位与应用研究 被引量：1

14

作者 车生兵 易文 《电子测量技术》 2015年第5期27-32,共6页

Windows内核变量是内存分析过程中经常需要使用到的数据,但是由于Windows操作系统的封闭性,定位到Windows内核变量的位置非常困难。前人提出了一些内核变量定位的方法,但是在实验后发现,结果并不尽人意。针对这一现状,在前人的算法上进... Windows内核变量是内存分析过程中经常需要使用到的数据,但是由于Windows操作系统的封闭性,定位到Windows内核变量的位置非常困难。前人提出了一些内核变量定位的方法,但是在实验后发现,结果并不尽人意。针对这一现状,在前人的算法上进行了改进,提出一种基于虚拟地址转换的算法,使得可以准确定位内核变量位置。另外,也提出了一个基于Windows XP全新的内核变量快速定位方法。最后,以内核变量MmPhysicalMemoryBlock的应用为例,提出了基于MmPhysicalMemoryBlock的内存数据快速导出算法。实验结果表明,2个内核变量定位算法能准确的定位内核变量,内存数据快速导出算法也能准确完整的导出需要的内存数据。 展开更多

关键词 内核变量定位 内存取证 MmPhysicalmemoryBlock 内存分析

在线阅读 下载PDF 职称材料

精神伤残鉴定者图片填充试验合作程度的眼动特征 被引量：1

15

作者 王俊杰 刘超 +3 位作者 刘露 张盛宇 李豪喆 蔡伟雄 《法医学杂志》 CAS CSCD 2017年第2期154-157,161,共5页

目的探索脑外伤所致精神障碍被试不合作者和合作者间眼动特征的差异。方法选取39名需进行精神伤残鉴定者,应用二项必选数字记忆测验将被试分为合作组和不合作组。让被试进行成人韦氏智力测验中的图片填充试验,同时应用眼动追踪系统记录... 目的探索脑外伤所致精神障碍被试不合作者和合作者间眼动特征的差异。方法选取39名需进行精神伤残鉴定者,应用二项必选数字记忆测验将被试分为合作组和不合作组。让被试进行成人韦氏智力测验中的图片填充试验,同时应用眼动追踪系统记录眼球活动轨迹,并分析注视、眼跳、瞳孔、眨眼等数据。结果合作组(10例)与不合作组(29例)在眼跳方面差异均具有统计学意义(P<0.05),其中不合作组眼跳的频率、时间、幅度、加速度均明显高于合作组,合作组的眼跳潜伏期则明显增加。两组仅注视离散总距离、平均距离和总时间差异存在统计学意义(P<0.05),注视平均时间、次数、频率等差异均无统计学意义(P>0.05)。合作组的眨眼频率高于不合作组。结论眼动可以作为初步判断合作程度的客观评定指标。 展开更多

关键词 司法精神病学 司法鉴定 病人依从 眼球运动 韦氏智力量表 二项必选数字记忆测验

在线阅读 下载PDF 职称材料

基于Windows物理内存取证系统设计与实现 被引量：1

16

作者 李炳龙 鲁越 《信息网络安全》 2011年第11期50-53,共4页

随着信息安全技术的快速发展,数字取证调查技术已经成为重要技术之一。由于物理内存中包含计算机操作的大量信息,针对物理内存的实时取证分析已成为当前数字犯罪调查领域中的热点研究问题之一。文章通过研究物理内存获取技术,内存进程... 随着信息安全技术的快速发展,数字取证调查技术已经成为重要技术之一。由于物理内存中包含计算机操作的大量信息,针对物理内存的实时取证分析已成为当前数字犯罪调查领域中的热点研究问题之一。文章通过研究物理内存获取技术,内存进程管理模式,信息关键词搜索技术等相关技术背景,实现对Windows物理内存的镜像获取,内存中的隐藏进程和异常进程的检测,内存中敏感信息的检测分析三方面功能。通过对用户主机进行调查检测,掌握用户大量的操作行为和有用信息,为计算机犯罪取证调查和信息安全检查提供了一种很好的方法手段。 展开更多

关键词 计算机取证 物理内存镜像 进程 EProcess 字符匹配

在线阅读 下载PDF 职称材料

基于删除PE文件头的恶意代码内存取证方法 被引量：2

17

作者 李鹏超 刘彦飞 《信息网络安全》 CSCD 北大核心 2021年第12期38-43,共6页

电子数据取证领域,一些恶意程序通过删除PE可执行文件头部后将其复制到具有执行保护权限内存页面的方式躲避取证人员的检验。文章针对文件头被恶意删除的PE可执行文件分析后,提出一种通过分析存储在具有保护权限的内存页面中的进程Sect... 电子数据取证领域,一些恶意程序通过删除PE可执行文件头部后将其复制到具有执行保护权限内存页面的方式躲避取证人员的检验。文章针对文件头被恶意删除的PE可执行文件分析后,提出一种通过分析存储在具有保护权限的内存页面中的进程Section表的方法,检测头被恶意删除的可执行文件。首先通过特征元素选择出虚拟地址描述符(VAD)中具有执行保护的non-private页面,这些页面很可能存储有恶意代码。然后对相应Section表中的Section头标识进行检索,并计算它们之间的偏移间隔是否为Section头大小的倍数以检验Section表特征。另外,文章将提出的算法实现为可以在内存取证工具Volatility 3框架中执行的插件,并通过使用该插件分析被Ursnif恶意软件感染的内存数据,以检验其有效性。 展开更多

关键词 内存取证 虚拟地址描述符 Volatility 3 恶意代码

在线阅读 下载PDF 职称材料

基于结构链逆向的内存碎片文件雕刻算法

18

作者 李炳龙 周振宇 +2 位作者 张宇 张和禹 常朝稳 《通信学报》 EI CSCD 北大核心 2021年第7期117-127,共11页

为解决内存映像中碎片证据文件提取问题,针对doc、pdf等常见文件类型,提出了一种基于内存映像的碎片文件雕刻模型。基于该模型,设计了基于文件对象结构链逆向的碎片文件雕刻算法,能够获取遗留在内存中的文件数据。实验结果表明,该算法... 为解决内存映像中碎片证据文件提取问题,针对doc、pdf等常见文件类型,提出了一种基于内存映像的碎片文件雕刻模型。基于该模型,设计了基于文件对象结构链逆向的碎片文件雕刻算法,能够获取遗留在内存中的文件数据。实验结果表明,该算法能够成功从内存映像中雕刻出文件相关的元数据信息,例如文件名、文件来源及操作行为等,雕刻精确度达到100%;而且在典型应用情况下,文件内容数据雕刻精度达到87.5%,远高于基于磁盘文件雕刻算法的精确度。 展开更多

关键词 文件雕刻 内存取证 内存碎片 碎片连接 结构逆向

在线阅读 下载PDF 职称材料

基于VAD树的Windows 10用户地址空间遍历方法

19

作者 翟继强 孙宏泰 +1 位作者 赵洛平 杨海陆 《西北工业大学学报》 EI CAS CSCD 北大核心 2022年第3期699-707,共9页

内存取证研究中,现存的用户地址空间遍历方法只适用于Windows XP和Windows 7的32位系统,而Windows 1064位系统已经被个人用户广泛使用,是网络攻击者的主要目标。提出了一种基于虚拟地址描述符(virtual address descriptor,VAD)树的Windo... 内存取证研究中,现存的用户地址空间遍历方法只适用于Windows XP和Windows 7的32位系统,而Windows 1064位系统已经被个人用户广泛使用,是网络攻击者的主要目标。提出了一种基于虚拟地址描述符(virtual address descriptor,VAD)树的Windows 10用户地址空间遍历方法。方法对Windows 1064位系统内存内核和用户地址空间元数据进行定位,解析内存映射文件、共享内存、堆栈缓冲区和保留系统结构等相关元数据,与VAD树中的节点信息相匹配,最后描述每一段内存区域的分配起止地址、占用大小、分配保护、内存类型和详细信息。测试结果表明,方法能够兼容目前所有版本的Windows 1064位系统,在应对不同复杂程度的进程时能有效遍历常见的结构。 展开更多

关键词 内存取证 VAD树 用户地址空间 VOLATILITY Rekall

在线阅读 下载PDF 职称材料

基于虚拟机监控器的类蜜罐实时内存取证 被引量：4

20

作者 赵宇韬 李清宝 +1 位作者 张贵民 程三军 《浙江大学学报（工学版）》 EI CAS CSCD 北大核心 2018年第2期387-397,共11页

为了解决传统的基于"镜像-分析"的内存取证技术面临的提取内存镜像时间过长及无法有效截获瞬时性内存攻击的问题,提出类蜜罐的实时内存取证方法(RTMF).利用虚拟机监控器针对性地提取内存片段,对提取的数据进行语义重构,以获... 为了解决传统的基于"镜像-分析"的内存取证技术面临的提取内存镜像时间过长及无法有效截获瞬时性内存攻击的问题,提出类蜜罐的实时内存取证方法(RTMF).利用虚拟机监控器针对性地提取内存片段,对提取的数据进行语义重构,以获得操作系统级语义信息.利用扩展页表机制设置关键内存页面的访问权限,将这些内存页面作为蜜罐;针对蜜罐的违规访问会触发扩展页表故障而陷入虚拟机监控器,实时拦截攻击.结果表明,在发现内存攻击后,RTMF既可记录攻击者对内存的修改历史,又可对攻击者追踪溯源.经微基准测试,该方法引入的性能开销在可接受的范围内. 展开更多

关键词 实时取证 蜜罐 内存行为 攻击载体 页面访问权限

在线阅读 下载PDF 职称材料