面向Windows操作系统的内存取证技术研究

传统的计算机取证方法收集被攻击的计算机磁盘等能持久化保存数据的介质。但是随着磁盘存储能力的提升以及数据加密等技术的发展,使用原来针对硬盘的取证方法获取数据进行分析变得越来越困难。对计算机的取证开始采用其他数据源,包括计算机内存中易失性的信息。对Windows操作系统的主要内存获取、分析方法以及内存取证过程进行介绍,采用分析和对比的手段对每种方法的特点、优势和不足进行比较,得出比较结果并给出计算机犯罪内存取证领域未来需要研究的方向。

内存取证研究与进展

网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源和发展演化过程;其次介绍了操作系统内存管理关键机制;然后探讨了内存取证的数据获取和分析方法,归纳总结目前内存取证研究的最新技术;最后讨论了内存取证存在的问题、发展趋势和进一步的研究方向.

基于内存取证的内核完整性度量方法

内核级攻击对操作系统的完整性和安全性造成严重威胁.当前,内核完整性度量方法在度量对象选取上存在片面性,且大部分方法采用周期性度量,无法避免TOC-TOU攻击.此外,基于硬件的内核完整性度量方法因添加额外的硬件使得系统成本较高;基于Hypervisor的内核完整性度量方法,应用复杂的VMM带来的系统性能损失较大.针对现有方法存在的不足,提出了基于内存取证的内核完整性度量方法 KIMBMF.该方法采用内存取证分析技术提取静态和动态度量对象,提出时间随机化算法弱化TOC-TOU攻击,并采用Hash运算和加密运算相结合的算法提高度量过程的安全性.在此基础上,设计实现了基于内存取证的内核完整性度量原型系统,并通过实验评测了KIMBMF的有效性和性能.实验结果表明:KIMBMF能够有效度量内核的完整性,及时发现对内核完整性的攻击和破坏,且度量的性能开销小.

一种基于隐藏事件触发机制的内存取证方法

内存取证是计算机取证科学的重要分支,能够提取和分析操作系统运行状态的数字证据,已经成为对抗网络犯罪的有力武器.现有内存取证方法大多是全面获取内存数据,因而包含大量冗余信息,为后续内存分析带来不便.此外,在取证时间点选取方面存在盲目性,尤其是对具有隐藏特性的恶意软件,无法准确地在攻击发生时进行实时取证.由于内存具有易失性和不可恢复性的特点,取证时间点与攻击过程不匹配将使得取证内容无法表征攻击行为,导致取证数据无效.针对以上问题,提出一种基于隐藏事件触发机制的内存取证方法 ForenHD.该方法利用虚拟化技术实时监视目标虚拟机中的内核对象,并通过分析内核对象的逻辑连接关系和运行状态的变化来检测隐藏对象;然后以隐藏对象的发现作为内存取证的触发事件,通过内存映射提取隐藏对象的代码段信息,实现实时和局部内存取证.通过对多种隐藏对象取证的实验,证明了ForenHD的可行性和有效性.

Windows 8下基于镜像文件的内存取证研究

内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结构进行分析,提取出相应特征;基于这些特征,提出了一种能够从物理内存镜像文件中得到系统当前进程和线程信息的算法。实验结果和分析表明,该算法能够成功提取隐藏进程和非隐藏进程,及其各进程相关的线程信息,为内存取证分析提供了可靠的数据基础。

计算机取证中的物理内存取证分析方法研究

阐述物理内存取证分析的基本概念及相关研究现状,重点研究了Windows系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作。

基于删除PE文件头的恶意代码内存取证方法

电子数据取证领域,一些恶意程序通过删除PE可执行文件头部后将其复制到具有执行保护权限内存页面的方式躲避取证人员的检验。文章针对文件头被恶意删除的PE可执行文件分析后,提出一种通过分析存储在具有保护权限的内存页面中的进程Section表的方法,检测头被恶意删除的可执行文件。首先通过特征元素选择出虚拟地址描述符(VAD)中具有执行保护的non-private页面,这些页面很可能存储有恶意代码。然后对相应Section表中的Section头标识进行检索,并计算它们之间的偏移间隔是否为Section头大小的倍数以检验Section表特征。另外,文章将提出的算法实现为可以在内存取证工具Volatility 3框架中执行的插件,并通过使用该插件分析被Ursnif恶意软件感染的内存数据,以检验其有效性。

Windows内存取证的研究与应用

应用计算机内存取证工具分析Windows系统内存中的敏感信息,从而获得犯罪证据,研究了当系统处于"活"状态下,加密的文件和删除的邮件在内存中保留的信息,发现在"活"系统中能够找到这些状态下的文件的信息,从而使得难以利用传统的计算机取证获得的犯罪证据,通过内存取证可以获得。

对隐藏文件内存取证的研究与应用

当系统处于“活”状态下，被打开过的隐藏文件在内存中仍然保留信息，应用计算机内存取证工具分析Windows系统内存中的敏感信息，发现在“活”系统中能够找到这种状态下的文件信息，从而获得犯罪证据，结果表明传统的计算机取证难于获得的证据，可以通过内存取证获取。

基于Windows内存取证的计算机病毒木马行为分析

随着技术发展,病毒木马对计算机的攻击隐秘性日益提高,只存在和运行于内存中的病毒已经出现,对内存的取证成为当前电子取证工作中重要一环。传统的取证手段已经无法完全满足当前的取证要求,因此,通过内存镜像对病毒木马进行取证研究已迫在眉睫。通过对木马病毒样本进行仿真、取证、分析,提出了一套从Windows内存镜像中对病毒木马行为进行分析研判的方法,该方法能够将内存分析简单模式化,为取证人员提供思路。

基于司法鉴定合法性原则的DMA技术内存取证方法

本文通过研究动态内存读取(DMA)与分析技术,比较当前内存取证常用方法,提出一种利用外置设备进行内存取证的新方法,并讨论其司法合法性。

基于操作系统内存镜像电子取证技术研究与实现

伴随着黑客技术、反取证技术的发展,计算机犯罪变得更加专业并具有针对性,严重危害国家安全、经济发展和社会稳定。本文对Windows内存取证相关技术进行了深入研究,设计并开发一套可实际运用的电子取证系统。

物理内存取证技术及其应用

本文围绕计算机物理内存取证技术展开研究,针对不同系统和应用场景研究不同系统的物理内存获取和分析技术;建立基于物理内存分析的在线取证模型,解决传统在线取证方法中的在线证据的可信性问题;研究基于内存分析的云安全监控技术以及基于内存旁路的网络安全威胁监控技术,解决多种网络环境下的网络安全威胁难以发现的难题;在物理内存提取和分析基础上,对主机中的数据进行深度挖掘分析和综合判断,实现木马行为方式的分析和恶意代码植入过程的回溯,解决静态电子犯罪场景中恶意程序难以判定的问题。最后说明该技术的应用现状,并说明其广阔的应用前景。

通过交叉验证堆栈和VAD信息检测Windows代码注入

Windows 32/64位代码注入攻击是恶意软件常用的攻击技术,在内存取证领域,现存的代码注入攻击检测技术在验证完整性方面不能处理动态内容,并且在解析内存中数据结构方面无法兼容不同版本的Windows系统。因此提出了通过交叉验证进程堆栈和VAD信息定位注入代码方法,将基于遍历栈帧得到的函数返回地址、模块名等信息结合进程VAD结构来检测函数返回地址、匹配文件名以定位注入代码,并且研发了基于Volatility取证框架的Windows代码注入攻击检测插件codefind。测试结果表明,即使在VAD节点被恶意软件修改,方法仍能够有效定位Windows 32/64位注入代码攻击。

基于深度学习的Linux系统DKOM攻击检测

直接内核对象操纵(DKOM)攻击通过直接访问和修改内核对象来隐藏内核对象,是主流操作系统长期存在的关键安全问题。对DKOM攻击进行基于行为的在线扫描适用的恶意程序类型有限且检测过程本身易受DKOM攻击影响。近年来,针对潜在受DKOM攻击的系统进行基于内存取证的静态分析成为一种有效和安全的检测方法。现有方法已能够针对Windows内核对象采用图神经网络模型进行内核对象识别,但不适用于Linux系统内核对象,且对于缺少指针字段的小内核对象的识别有效性有限。针对以上问题,设计并实现了一种基于深度学习的Linux系统DKOM攻击检测方案。首先提出了一种扩展内存图结构刻画内核对象的指针指向关系和常量字段特征,利用关系图卷积网络对扩展内存图的拓扑结构进行学习以实现内存图节点分类,使用基于投票的对象推测算法得出内核对象地址,并通过与现有分析框架Volatility的识别结果对比实现对Linux系统DKOM攻击的检测。提出的扩展内存图结构相比现有的内存图结构能更好地表示缺乏指针但具有常量字段的小内核数据结构的特征,实现更高的内核对象检测有效性。与现有基于行为的在线扫描工具chkrootkit相比,针对5种现实世界Rootkit的DKOM行为,所提方案实现了更高的检测有效性,精确度提高20.1%,召回率提高32.4%。

基于GHM可视化和深度学习的恶意代码检测与分类

恶意代码的复杂性和变异性在不断增加,致使恶意软件的检测变得越来越具有挑战性.大多数变异或未知的恶意程序是在现有恶意代码的逻辑基础上进行改进或混淆形成的,因此发现恶意代码家族并确定其恶意行为变得越来越重要.提出了一种基于GHM(Gray, HOG,Markov)的新型恶意软件可视化方法进行数据预处理.与传统的可视化方法不同,该方法在可视化过程中通过HOG和马尔科夫提取出更加有效的数据特征,并构建了3通道彩色图像.此外,构建了基于CNN和LSTM的VLMal分类模型,对可视化图像进行恶意软件检测分类.实验结果表明,该方法可以有效地检测和分类恶意代码,具有较好的准确性和稳定性.

Pimflo:基于过程解释的恶意函数定位方法

恶意软件的关键模块定位是逆向工程中的重要环节,然而目前大多数研究集中在判别程序是否恶意,少有研究对关键恶意模块进行定位,并且存在自动化定位难度高、定位过程难解释的问题.为此,本文提出了基于过程解释的恶意函数定位方法Pimflo,从具体的内存信息出发进行恶意识别和定位.Pimflo利用动态沙箱对目标二进制进行内存取证,基于签名技术识别可疑行为,追溯其相关的进程调用和堆栈信息.通过反汇编目标程序生成控制流图(CFG),还原可疑行为调用链,追溯和定位恶意源函数.本文在VIRUSSHARE的100个样本上对Pimflo进行了评估,实验证明Pimflo的恶意函数定位准确率可达90.28%,其解释性和逻辑性优于基于统计的非标量现有框架,为恶意软件定位领域提供了更可靠的新方案.

基于内存池标记快速扫描技术的Windows内核驱动对象扫描

计算机内存取证领域中,基于内存池标记的池标记扫描技术在对内核驱动对象进行扫描时需要对全部物理内存进行详尽搜索,效率很低。提出了一种使用内存池标记快速扫描技术扫描Windows内核驱动对象的方法。该方法采用内存池标记快速扫描技术,减小扫描的内存范围,然后根据内核驱动对象特征对驱动对象进行快速扫描,以帮助调查人员判断驱动是否存在异常。实验表明,使用内存池标记快速扫描技术进行内核驱动对象扫描可以在保证误报率不变的情况下,极大地提高扫描效率,减少在扫描步骤花费的时间。

基于元数据和指令流的64位Windows堆栈取证

为解决64位Windows环境中,现有工具针对含有恶意进程的转储文件中没有堆栈帧指针和调试符号时,构建的堆栈取证会产生漏报问题和没有元数据时构建的堆栈取证会产生错报问题,提出了从内存转储构建堆栈跟踪方法。从内存转储中检索目标进程的用户上下文,确定堆栈跟踪的起始点,然后基于异常处理的元数据展开。如果元数据不可用,使用基于指令流的验证方法生成等效数据。基于框架Volatility实现了相应插件,实验表明,方法不依赖堆栈帧指针和调试符号,利用元数据可获取更加完整的堆栈跟踪;没有元数据时,基于指令流的验证可以极大地提高取证的精确性。

基于结构链逆向的内存碎片文件雕刻算法

为解决内存映像中碎片证据文件提取问题,针对doc、pdf等常见文件类型,提出了一种基于内存映像的碎片文件雕刻模型。基于该模型,设计了基于文件对象结构链逆向的碎片文件雕刻算法,能够获取遗留在内存中的文件数据。实验结果表明,该算法能够成功从内存映像中雕刻出文件相关的元数据信息,例如文件名、文件来源及操作行为等,雕刻精确度达到100%;而且在典型应用情况下,文件内容数据雕刻精度达到87.5%,远高于基于磁盘文件雕刻算法的精确度。