内存取证研究与进展 被引量：27

1

作者 张瑜 刘庆中 +2 位作者 李涛 吴丽华 石春 《软件学报》 EI CSCD 北大核心 2015年第5期1151-1172,共22页

网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面... 网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源和发展演化过程;其次介绍了操作系统内存管理关键机制;然后探讨了内存取证的数据获取和分析方法,归纳总结目前内存取证研究的最新技术;最后讨论了内存取证存在的问题、发展趋势和进一步的研究方向. 展开更多

关键词 网络安全 内存取证 网络攻击 网络犯罪 应急响应

下载PDF 职称材料

基于内存取证的内核完整性度量方法 被引量：7

2

作者 陈志锋 李清宝 +1 位作者 张平 王炜 《软件学报》 EI CSCD 北大核心 2016年第9期2443-2458,共16页

内核级攻击对操作系统的完整性和安全性造成严重威胁.当前,内核完整性度量方法在度量对象选取上存在片面性,且大部分方法采用周期性度量,无法避免TOC-TOU攻击.此外,基于硬件的内核完整性度量方法因添加额外的硬件使得系统成本较高;基于H... 内核级攻击对操作系统的完整性和安全性造成严重威胁.当前,内核完整性度量方法在度量对象选取上存在片面性,且大部分方法采用周期性度量,无法避免TOC-TOU攻击.此外,基于硬件的内核完整性度量方法因添加额外的硬件使得系统成本较高;基于Hypervisor的内核完整性度量方法,应用复杂的VMM带来的系统性能损失较大.针对现有方法存在的不足,提出了基于内存取证的内核完整性度量方法 KIMBMF.该方法采用内存取证分析技术提取静态和动态度量对象,提出时间随机化算法弱化TOC-TOU攻击,并采用Hash运算和加密运算相结合的算法提高度量过程的安全性.在此基础上,设计实现了基于内存取证的内核完整性度量原型系统,并通过实验评测了KIMBMF的有效性和性能.实验结果表明:KIMBMF能够有效度量内核的完整性,及时发现对内核完整性的攻击和破坏,且度量的性能开销小. 展开更多

关键词 内核完整性 完整性度量 TOC-TOU 内存取证 时间随机化

下载PDF 职称材料

一种基于隐藏事件触发机制的内存取证方法 被引量：5

3

作者 崔超远 李勇钢 +1 位作者 乌云 王励成 《计算机研究与发展》 EI CSCD 北大核心 2018年第10期2278-2290,共13页

内存取证是计算机取证科学的重要分支,能够提取和分析操作系统运行状态的数字证据,已经成为对抗网络犯罪的有力武器.现有内存取证方法大多是全面获取内存数据,因而包含大量冗余信息,为后续内存分析带来不便.此外,在取证时间点选取方面... 内存取证是计算机取证科学的重要分支,能够提取和分析操作系统运行状态的数字证据,已经成为对抗网络犯罪的有力武器.现有内存取证方法大多是全面获取内存数据,因而包含大量冗余信息,为后续内存分析带来不便.此外,在取证时间点选取方面存在盲目性,尤其是对具有隐藏特性的恶意软件,无法准确地在攻击发生时进行实时取证.由于内存具有易失性和不可恢复性的特点,取证时间点与攻击过程不匹配将使得取证内容无法表征攻击行为,导致取证数据无效.针对以上问题,提出一种基于隐藏事件触发机制的内存取证方法 ForenHD.该方法利用虚拟化技术实时监视目标虚拟机中的内核对象,并通过分析内核对象的逻辑连接关系和运行状态的变化来检测隐藏对象;然后以隐藏对象的发现作为内存取证的触发事件,通过内存映射提取隐藏对象的代码段信息,实现实时和局部内存取证.通过对多种隐藏对象取证的实验,证明了ForenHD的可行性和有效性. 展开更多

关键词 内存取证 实时取证 局部取证 隐藏事件 触发机制 系统虚拟化技术

下载PDF 职称材料

基于VAD树的Windows 10用户地址空间遍历方法

4

作者 翟继强 孙宏泰 +1 位作者 赵洛平 杨海陆 《西北工业大学学报》 EI CAS CSCD 北大核心 2022年第3期699-707,共9页

内存取证研究中,现存的用户地址空间遍历方法只适用于Windows XP和Windows 7的32位系统,而Windows 1064位系统已经被个人用户广泛使用,是网络攻击者的主要目标。提出了一种基于虚拟地址描述符(virtual address descriptor,VAD)树的Windo... 内存取证研究中,现存的用户地址空间遍历方法只适用于Windows XP和Windows 7的32位系统,而Windows 1064位系统已经被个人用户广泛使用,是网络攻击者的主要目标。提出了一种基于虚拟地址描述符(virtual address descriptor,VAD)树的Windows 10用户地址空间遍历方法。方法对Windows 1064位系统内存内核和用户地址空间元数据进行定位,解析内存映射文件、共享内存、堆栈缓冲区和保留系统结构等相关元数据,与VAD树中的节点信息相匹配,最后描述每一段内存区域的分配起止地址、占用大小、分配保护、内存类型和详细信息。测试结果表明,方法能够兼容目前所有版本的Windows 1064位系统,在应对不同复杂程度的进程时能有效遍历常见的结构。 展开更多

关键词 内存取证 VAD树 用户地址空间 VOLATILITY Rekall

下载PDF 职称材料

Windows内核变量定位与应用研究

5

作者 车生兵 易文 《电子测量技术》 2015年第5期27-32,共6页

Windows内核变量是内存分析过程中经常需要使用到的数据,但是由于Windows操作系统的封闭性,定位到Windows内核变量的位置非常困难。前人提出了一些内核变量定位的方法,但是在实验后发现,结果并不尽人意。针对这一现状,在前人的算法上进... Windows内核变量是内存分析过程中经常需要使用到的数据,但是由于Windows操作系统的封闭性,定位到Windows内核变量的位置非常困难。前人提出了一些内核变量定位的方法,但是在实验后发现,结果并不尽人意。针对这一现状,在前人的算法上进行了改进,提出一种基于虚拟地址转换的算法,使得可以准确定位内核变量位置。另外,也提出了一个基于Windows XP全新的内核变量快速定位方法。最后,以内核变量MmPhysicalMemoryBlock的应用为例,提出了基于MmPhysicalMemoryBlock的内存数据快速导出算法。实验结果表明,2个内核变量定位算法能准确的定位内核变量,内存数据快速导出算法也能准确完整的导出需要的内存数据。 展开更多

关键词 内核变量定位 内存取证 MmPhysicalmemoryBlock 内存分析

下载PDF 职称材料

CFMMQ:一种共享内存多队列协同取证方法 被引量：3

6

作者 王文奇 刘安战 郭基凤 《电子技术应用》 北大核心 2016年第8期144-147,153,共5页

为了使网络取证系统能够协同多个安全取证系统有效取证,提出了一种共享内存多队列的协同取证方法。该方法采用了共享内存通信方式,借助信号机制,设计了基于多个队列进行数据交换算法,解决网络协同取证大数据量通信问题,基于入侵检测报... 为了使网络取证系统能够协同多个安全取证系统有效取证,提出了一种共享内存多队列的协同取证方法。该方法采用了共享内存通信方式,借助信号机制,设计了基于多个队列进行数据交换算法,解决网络协同取证大数据量通信问题,基于入侵检测报文格式协议(IDMEF)设计了协同取证网络报文协议。通过实现取证系统,验证了协议设计的有效性。 展开更多

关键词 协同取证 共享内容取证 多队列协同取证 代理取证 协同取证控制协议

下载PDF 职称材料

面向Windows操作系统的内存取证技术研究 被引量：2

7

作者 钱勤 董步云 +2 位作者 唐哲 伏晓 茅兵 《计算机工程》 CAS CSCD 2014年第8期310-317,共8页

传统的计算机取证方法收集被攻击的计算机磁盘等能持久化保存数据的介质。但是随着磁盘存储能力的提升以及数据加密等技术的发展,使用原来针对硬盘的取证方法获取数据进行分析变得越来越困难。对计算机的取证开始采用其他数据源,包括计... 传统的计算机取证方法收集被攻击的计算机磁盘等能持久化保存数据的介质。但是随着磁盘存储能力的提升以及数据加密等技术的发展,使用原来针对硬盘的取证方法获取数据进行分析变得越来越困难。对计算机的取证开始采用其他数据源,包括计算机内存中易失性的信息。对Windows操作系统的主要内存获取、分析方法以及内存取证过程进行介绍,采用分析和对比的手段对每种方法的特点、优势和不足进行比较,得出比较结果并给出计算机犯罪内存取证领域未来需要研究的方向。 展开更多

关键词 网络犯罪 计算机取证 内存取证 内存获取 内存分析 易失性信息 内存取证过程

下载PDF 职称材料

基于GHM可视化和深度学习的恶意代码检测与分类

8

作者 张淑慧 胡长栋 +3 位作者 王连海 徐淑奖 邵蔚 兰田 《信息安全研究》 CSCD 北大核心 2024年第3期216-222,共7页

恶意代码的复杂性和变异性在不断增加,致使恶意软件的检测变得越来越具有挑战性.大多数变异或未知的恶意程序是在现有恶意代码的逻辑基础上进行改进或混淆形成的,因此发现恶意代码家族并确定其恶意行为变得越来越重要.提出了一种基于GHM... 恶意代码的复杂性和变异性在不断增加,致使恶意软件的检测变得越来越具有挑战性.大多数变异或未知的恶意程序是在现有恶意代码的逻辑基础上进行改进或混淆形成的,因此发现恶意代码家族并确定其恶意行为变得越来越重要.提出了一种基于GHM(Gray, HOG,Markov)的新型恶意软件可视化方法进行数据预处理.与传统的可视化方法不同,该方法在可视化过程中通过HOG和马尔科夫提取出更加有效的数据特征,并构建了3通道彩色图像.此外,构建了基于CNN和LSTM的VLMal分类模型,对可视化图像进行恶意软件检测分类.实验结果表明,该方法可以有效地检测和分类恶意代码,具有较好的准确性和稳定性. 展开更多

关键词 恶意软件检测 深度学习 恶意软件分类 内存取证 可视化

下载PDF 职称材料

通过交叉验证堆栈和VAD信息检测Windows代码注入

9

作者 翟继强 韩旭 +2 位作者 王家乾 孙海旭 杨海陆 《哈尔滨理工大学学报》 CAS 北大核心 2024年第2期43-51,共9页

Windows 32/64位代码注入攻击是恶意软件常用的攻击技术,在内存取证领域,现存的代码注入攻击检测技术在验证完整性方面不能处理动态内容,并且在解析内存中数据结构方面无法兼容不同版本的Windows系统。因此提出了通过交叉验证进程堆栈和... Windows 32/64位代码注入攻击是恶意软件常用的攻击技术,在内存取证领域,现存的代码注入攻击检测技术在验证完整性方面不能处理动态内容,并且在解析内存中数据结构方面无法兼容不同版本的Windows系统。因此提出了通过交叉验证进程堆栈和VAD信息定位注入代码方法,将基于遍历栈帧得到的函数返回地址、模块名等信息结合进程VAD结构来检测函数返回地址、匹配文件名以定位注入代码,并且研发了基于Volatility取证框架的Windows代码注入攻击检测插件codefind。测试结果表明,即使在VAD节点被恶意软件修改,方法仍能够有效定位Windows 32/64位注入代码攻击。 展开更多

关键词 VAD 堆栈 Windows代码注入 内存取证技术

下载PDF 职称材料

基于深度学习的Linux系统DKOM攻击检测

10

作者 陈亮 孙聪 《计算机科学》 CSCD 北大核心 2024年第9期383-392,共10页

直接内核对象操纵(DKOM)攻击通过直接访问和修改内核对象来隐藏内核对象,是主流操作系统长期存在的关键安全问题。对DKOM攻击进行基于行为的在线扫描适用的恶意程序类型有限且检测过程本身易受DKOM攻击影响。近年来,针对潜在受DKOM攻击... 直接内核对象操纵(DKOM)攻击通过直接访问和修改内核对象来隐藏内核对象,是主流操作系统长期存在的关键安全问题。对DKOM攻击进行基于行为的在线扫描适用的恶意程序类型有限且检测过程本身易受DKOM攻击影响。近年来,针对潜在受DKOM攻击的系统进行基于内存取证的静态分析成为一种有效和安全的检测方法。现有方法已能够针对Windows内核对象采用图神经网络模型进行内核对象识别,但不适用于Linux系统内核对象,且对于缺少指针字段的小内核对象的识别有效性有限。针对以上问题,设计并实现了一种基于深度学习的Linux系统DKOM攻击检测方案。首先提出了一种扩展内存图结构刻画内核对象的指针指向关系和常量字段特征,利用关系图卷积网络对扩展内存图的拓扑结构进行学习以实现内存图节点分类,使用基于投票的对象推测算法得出内核对象地址,并通过与现有分析框架Volatility的识别结果对比实现对Linux系统DKOM攻击的检测。提出的扩展内存图结构相比现有的内存图结构能更好地表示缺乏指针但具有常量字段的小内核数据结构的特征,实现更高的内核对象检测有效性。与现有基于行为的在线扫描工具chkrootkit相比,针对5种现实世界Rootkit的DKOM行为,所提方案实现了更高的检测有效性,精确度提高20.1%,召回率提高32.4%。 展开更多

关键词 内存取证 恶意软件检测 操作系统安全 图神经网络 二进制分析

下载PDF 职称材料

基于内存池标记快速扫描技术的Windows内核驱动对象扫描 被引量：4

11

作者 翟继强 肖亚军 +1 位作者 杨海陆 王健 《西北工业大学学报》 EI CAS CSCD 北大核心 2019年第5期1044-1052,共9页

计算机内存取证领域中,基于内存池标记的池标记扫描技术在对内核驱动对象进行扫描时需要对全部物理内存进行详尽搜索,效率很低。提出了一种使用内存池标记快速扫描技术扫描Windows内核驱动对象的方法。该方法采用内存池标记快速扫描技术... 计算机内存取证领域中,基于内存池标记的池标记扫描技术在对内核驱动对象进行扫描时需要对全部物理内存进行详尽搜索,效率很低。提出了一种使用内存池标记快速扫描技术扫描Windows内核驱动对象的方法。该方法采用内存池标记快速扫描技术,减小扫描的内存范围,然后根据内核驱动对象特征对驱动对象进行快速扫描,以帮助调查人员判断驱动是否存在异常。实验表明,使用内存池标记快速扫描技术进行内核驱动对象扫描可以在保证误报率不变的情况下,极大地提高扫描效率,减少在扫描步骤花费的时间。 展开更多

关键词 内存取证 内存池标记 内存池标记快速扫描 内核驱动对象

下载PDF 职称材料

Windows 8下基于镜像文件的内存取证研究 被引量：3

12

作者 向涛 苟木理 《计算机工程与应用》 CSCD 2013年第19期63-67,共5页

内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结... 内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结构进行分析,提取出相应特征;基于这些特征,提出了一种能够从物理内存镜像文件中得到系统当前进程和线程信息的算法。实验结果和分析表明,该算法能够成功提取隐藏进程和非隐藏进程,及其各进程相关的线程信息,为内存取证分析提供了可靠的数据基础。 展开更多

关键词 内存取证 WINDOWS8 进程 线程 物理内存分析

下载PDF 职称材料

浏览器隐私模式下进程内存数据快速获取方法 被引量：2

13

作者 李豪俊 陈龙 田庆宜 《计算机应用》 CSCD 北大核心 2012年第A01期50-52,55,共4页

浏览器隐私模式使得用户浏览行为的取证调查变得困难,相关证据只能来自于内存。提出一种获取活动进程内存空间的方法,通过使用目标进程的CR3寄存器的内容替换当前进程的CR3寄存器的内容,使当前进程可获取目标进程的页目录和页表等信息,... 浏览器隐私模式使得用户浏览行为的取证调查变得困难,相关证据只能来自于内存。提出一种获取活动进程内存空间的方法,通过使用目标进程的CR3寄存器的内容替换当前进程的CR3寄存器的内容,使当前进程可获取目标进程的页目录和页表等信息,进而访问并获取目标进程内存空间。相对于先对内存进行完整镜像再获取目标进程数据空间的方法,缩小了下一步对用户浏览行为进行分析所涉及的数据范围,获取进程内存空间数据的速度更快。该方法也适用于目标明确的单个或几个其他进程的内存数据获取。 展开更多

关键词 计算机取证 内存取证 WEB浏览器 隐私浏览模式

下载PDF 职称材料

基于元数据和指令流的64位Windows堆栈取证 被引量：2

14

作者 翟继强 徐晓 +1 位作者 陈攀 杨海陆 《哈尔滨理工大学学报》 CAS 北大核心 2021年第5期51-59,共9页

为解决64位Windows环境中,现有工具针对含有恶意进程的转储文件中没有堆栈帧指针和调试符号时,构建的堆栈取证会产生漏报问题和没有元数据时构建的堆栈取证会产生错报问题,提出了从内存转储构建堆栈跟踪方法。从内存转储中检索目标进程... 为解决64位Windows环境中,现有工具针对含有恶意进程的转储文件中没有堆栈帧指针和调试符号时,构建的堆栈取证会产生漏报问题和没有元数据时构建的堆栈取证会产生错报问题,提出了从内存转储构建堆栈跟踪方法。从内存转储中检索目标进程的用户上下文,确定堆栈跟踪的起始点,然后基于异常处理的元数据展开。如果元数据不可用,使用基于指令流的验证方法生成等效数据。基于框架Volatility实现了相应插件,实验表明,方法不依赖堆栈帧指针和调试符号,利用元数据可获取更加完整的堆栈跟踪;没有元数据时,基于指令流的验证可以极大地提高取证的精确性。 展开更多

关键词 内存取证 Windows堆栈 元数据 指令流 返回地址

下载PDF 职称材料

面向数字货币特征的细粒度代码注入攻击检测 被引量：1

15

作者 孙聪 李占魁 +2 位作者 陈亮 马建峰 乔新博 《计算机研究与发展》 EI CSCD 北大核心 2021年第5期1035-1044,共10页

数字货币的迅速发展使其被越来越多的恶意软件利用.现有勒索软件通常使用数字货币作为支付手段,而现有代码注入攻击检测手段缺乏对相关恶意特征的考虑,使得其难以有效检测勒索软件的恶意行为.针对此问题,提出了一种细粒度的代码注入攻... 数字货币的迅速发展使其被越来越多的恶意软件利用.现有勒索软件通常使用数字货币作为支付手段,而现有代码注入攻击检测手段缺乏对相关恶意特征的考虑,使得其难以有效检测勒索软件的恶意行为.针对此问题,提出了一种细粒度的代码注入攻击检测内存特征方案,利用勒索软件在引导被攻击者支付过程中表现的数字货币内存特征,结合多种通用的细粒度内存特征,实现了一种细粒度的代码注入攻击检测系统.实验结果表明:新的内存特征方案能够在多个指标上有效提升现有检测系统内存特征方案的检测性能,同时使得基于主机的代码注入攻击检测系统能够准确检测勒索软件行为,系统还具有较好的内存特征提取性能及对未知恶意软件家族的检测能力. 展开更多

关键词 代码注入攻击 机器学习 内存取证 勒索软件 数字货币

下载PDF 职称材料

基于结构链逆向的内存碎片文件雕刻算法

16

作者 李炳龙 周振宇 +2 位作者 张宇 张和禹 常朝稳 《通信学报》 EI CSCD 北大核心 2021年第7期117-127,共11页

为解决内存映像中碎片证据文件提取问题,针对doc、pdf等常见文件类型,提出了一种基于内存映像的碎片文件雕刻模型。基于该模型,设计了基于文件对象结构链逆向的碎片文件雕刻算法,能够获取遗留在内存中的文件数据。实验结果表明,该算法... 为解决内存映像中碎片证据文件提取问题,针对doc、pdf等常见文件类型,提出了一种基于内存映像的碎片文件雕刻模型。基于该模型,设计了基于文件对象结构链逆向的碎片文件雕刻算法,能够获取遗留在内存中的文件数据。实验结果表明,该算法能够成功从内存映像中雕刻出文件相关的元数据信息,例如文件名、文件来源及操作行为等,雕刻精确度达到100%;而且在典型应用情况下,文件内容数据雕刻精度达到87.5%,远高于基于磁盘文件雕刻算法的精确度。 展开更多

关键词 文件雕刻 内存取证 内存碎片 碎片连接 结构逆向

下载PDF 职称材料

计算机取证中的物理内存取证分析方法研究 被引量：6

17

作者 殷联甫 《计算机应用与软件》 CSCD 2010年第12期295-298,共4页

阐述物理内存取证分析的基本概念及相关研究现状,重点研究了Windows系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作。

关键词 计算机犯罪 计算机安全 计算机取证 物理内存取证

下载PDF 职称材料