-
题名Windows环境下进程空间信息深度挖掘方法研究
被引量:5
- 1
-
-
作者
罗文华
-
机构
中国刑事警察学院网络犯罪侦查系
-
出处
《信息网络安全》
2014年第4期31-34,共4页
-
基金
公安部应用创新计划[2011YYCXXJXY121]
-
文摘
文章对现有的Windows环境下进程空间扫描技术进行了研究,提出了与传统的结构体扫描技术截然不同的进程空间深度挖掘方法。该方法利用进程的固有特征,通过内存中重要的数据结构,特别是实现特定功能所必需的VAD二叉树及栈,实现了关键信息的抽取。实验表明,所述方法具有较好的可靠性及检测效率。
-
关键词
虚拟地址描述符
进程结构体
二叉树
文件对象
API函数
-
Keywords
virtual address descriptor
process structure
binary tree
file object
API function
-
分类号
TP311.12
[自动化与计算机技术—计算机软件与理论]
-
-
题名基于删除PE文件头的恶意代码内存取证方法
被引量:2
- 2
-
-
作者
李鹏超
刘彦飞
-
机构
重庆警察学院
西南大学
天津大学
-
出处
《信息网络安全》
CSCD
北大核心
2021年第12期38-43,共6页
-
基金
重庆市教育委员会科学技术研究项目[KJQN201901702]。
-
文摘
电子数据取证领域,一些恶意程序通过删除PE可执行文件头部后将其复制到具有执行保护权限内存页面的方式躲避取证人员的检验。文章针对文件头被恶意删除的PE可执行文件分析后,提出一种通过分析存储在具有保护权限的内存页面中的进程Section表的方法,检测头被恶意删除的可执行文件。首先通过特征元素选择出虚拟地址描述符(VAD)中具有执行保护的non-private页面,这些页面很可能存储有恶意代码。然后对相应Section表中的Section头标识进行检索,并计算它们之间的偏移间隔是否为Section头大小的倍数以检验Section表特征。另外,文章将提出的算法实现为可以在内存取证工具Volatility 3框架中执行的插件,并通过使用该插件分析被Ursnif恶意软件感染的内存数据,以检验其有效性。
-
关键词
内存取证
虚拟地址描述符
Volatility
3
恶意代码
-
Keywords
memory forensics
virtual address descriptor
volatility3
malicious code
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
