检索结果-南通市图书馆

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

内存取证研究与进展

软件学报 2015年第5期26卷 1151-1172页

作者：张瑜刘庆中李涛吴丽华石春海南师范大学计算机科学系海南海口571158 Department of Computer Science Sam Houston State UniversityUSA 四川大学计算机学院四川成都610065

网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面... 详细信息

网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源和发展演化过程;其次介绍了操作系统内存管理关键机制;然后探讨了内存取证的数据获取和分析方法,归纳总结目前内存取证研究的最新技术;最后讨论了内存取证存在的问题、发展趋势和进一步的研究方向.

关键词：网络安全内存取证网络攻击网络犯罪应急响应

基于内存取证技术的Windows代码注入攻击检测研究

在线全文

学校读者我要写书评

暂无评论

基于内存取证技术的Windows代码注入攻击检测研究

作者：韩旭哈尔滨理工大学

学位级别：硕士

近年来无文件恶意软件日益受到黑客的青睐,由于这种技术不使用本地持久化技战术点,避免了恶意文件“落地”到磁盘中从而躲避了传统的检测方法。代码注入技术作为无文件恶意软件的典型技术,更是恶意攻击者所频繁使用的技术手法之一。在... 详细信息

近年来无文件恶意软件日益受到黑客的青睐,由于这种技术不使用本地持久化技战术点,避免了恶意文件“落地”到磁盘中从而躲避了传统的检测方法。代码注入技术作为无文件恶意软件的典型技术,更是恶意攻击者所频繁使用的技术手法之一。在目前普及的Windows x64系统上同时运行的64位进程和32位进程(Wo W64进程)都是黑客的攻击目标,但目前在内存取证领域内,针对代码注入攻击的检测方法在兼容性、有效性方面都不再适用于Windows x64系统,不能同时有效检测Windows x64系统上的64位和32位代码注入攻击。因此,针对均适用Windows x64系统中的32位和64位代码注入攻击的检测方法显得尤为重要。本文通过对代码注入攻击实现原理研究以及对包含代码注入技术的恶意样本逆向分析总结之后,提取代码注入攻击的行为特征并将其分类,针对不同类型的代码注入攻击提出了相对应的检测方法。本文主要研究内容包括以下三个方面:1.对于目标进程为系统已存类型的代码注入攻击,提出利用交叉验证进程VAD和进程堆栈信息的方法以进行检测。方法首先分析了Windows平台维护进程VAD树的数据结构,提取该结构下的关键字段所描述的内容作为交叉验证的数据源之一;其次根据操作系统环境、进程类型分析了进程堆栈,提取出函数栈帧中的关键信息作为交叉验证的另一个数据源。在分析进程堆栈时,分析了不同类型进程堆栈的区别。该部分内容能够让取证人员了解代码注入攻击的实质,实验结果表明静态检测方法能够复现进程运行时堆栈的内存布局情况,能够有效的定位到代码注入内存区域。2.对于目标进程为病毒自建类型的代码注入攻击,提出了根据描述页面的页表项以获取页面实际可执行状态以进行检测。方法同样分析了Windows平台对于页表项进行维护的数据结构,分析了不同状态下页表项的数据结构并针对各状态提出相对应的页面执行状态检测方法。方法同时对Windows的虚拟地址转换、共享内存以及私有内存进行解析。实验结果表明,动态检测方法能够分析进程内存页的实际可执行状态并定位注入的代码。动态检测文方法能够有效帮助取证人员捕获恶意痕迹信息,减少取证人员分析的数据量以及分析时间。3.依据上述分析结果,分别在Volatility静态内存取证框架和Rekall动态内存取证框架上实现了检测插件。并选取近年来活动频繁的恶意软件家族样本作为测试样本,将本文检测方法与对内存取证领域内现存的代码注入检测方法进行对比。测试结果显示本文提出的检测方法在检测正确性、有效性方面优于现存检测方法。

关键词：内存取证进程堆栈虚拟地址描述符分页结构代码注入攻击

面向Windows恶意代码攻击的内存取证分析技术研究

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

面向Windows恶意代码攻击的内存取证分析技术研究

作者：张和禹战略支援部队信息工程大学

学位级别：硕士

恶意代码攻击给Windows用户造成了严重的安全威胁,传统的恶意代码静态检测方法准确率较低,动态检测方法资源占用较高,难以全面检测系统安全状态。而Windows内存取证技术在解决恶意代码攻击方面具有检测准确率较高、能检测无文件攻击、... 详细信息

恶意代码攻击给Windows用户造成了严重的安全威胁,传统的恶意代码静态检测方法准确率较低,动态检测方法资源占用较高,难以全面检测系统安全状态。而Windows内存取证技术在解决恶意代码攻击方面具有检测准确率较高、能检测无文件攻击、能全面检测系统安全状态的优势。但是目前基于内存取证的恶意代码攻击检测方法还存在自动化与智能化程度低、对新型代码注入攻击检测准确率低和恶意代码攻击证据难以有效提取的问题。为此,本文从Windows内存取证的角度,研究恶意代码进程智能检测方法、代码注入攻击隐蔽内存页面检测方法以及恶意代码攻击证据雕刻方法,能够解决Windows系统内存中恶意进程检测和新型代码模块注入检测问题。在此基础上,研究恶意代码攻击证据雕刻方法,解决恶意代码攻击的证据提取问题。本文主要工作包括以下三部分:(1)基于DGCNN的内存恶意进程检测方法当前基于人工智能与内存取证的研究大多基于字节特征检测恶意进程,检测准确率不高。本文提出一种基于DGCNN(Deep Graph Convolutional Neural Network)模型的内存恶意进程检测方法。该方法首先从内存映像中提取进程转储,然后提取进程的函数调用图(Function Call Graph,FCG),基于词袋模型对FCG中函数节点名称生成特征向量,最后基于DGCNN构建恶意进程检测模型对FCG进行分类以检测恶意进程。实验结果表明,提出的方法达到98.33%的准确率、0.9834的F1分数以及0.996的AUC值,检测效果优于现有基于静态特征的方法,并且检测速度较快,验证了基于静态函数调用特征和图表示学习的方法在内存取证方面的有效性。(2)基于内存结构逆向分析的代码注入攻击取证检测算法针对新型代码注入攻击取证检测准确率较低的问题,提出一种基于内存结构逆向分析的代码注入隐蔽内存页面检测取证算法。该方法首先在内存映像中基于DLL特征定位其对应的物理内存页面,设计了一种物理内存空间与虚拟内存空间映射子算法,实现DLL代码模块对应的物理页面子集逆向重建机制。然后从虚拟内存空间着手,逆向重建进程的LDR链表结构,设计了一种DLL虚拟页面子集逆向重建算法,实现其虚拟空间重建。最后设计并实现基于物理内存页面子集和虚拟空间页面子集的DLL注入攻击隐蔽页面检测子算法。实验结果表明,提出的算法达到88.89%的准确率,高于传统的注入攻击隐蔽内存页面检测方法,且仅有该方法能准确检测出VAD(Virtual Address Descriptor)重映射攻击。(3)基于内存进程逆向的恶意代码攻击证据雕刻算法针对物理内存中恶意代码攻击过程中关键证据难以有效提取的问题,设计了内存恶意代码攻击证据雕刻模型,提出基于内存进程逆向的恶意代码模块雕刻算法和基于结构链逆向的恶意数据文件雕刻算法。对恶意代码模块,基于所在进程的信息恢复函数导入表等PE结构,将恶意代码模块重组为PE文件形成恶意代码样本证据。然后逆向溯源进程的文件映射,通过重建内存文件对象和结构链,识别内存数据文件连接关系,雕刻出夹带恶意代码的数据文件元数据信息和内容信息,形成恶意数据文件证据。实验结果表明,该算法在典型应用情况下对文件元数据雕刻准确率为100%,文件内容雕刻准确率达到87.5%,高于基于磁盘文件雕刻算法。

关键词：内存取证内存结构逆向注入攻击取证图卷积网络恶意代码雕刻

基于深度学习的Linux内存取证分析技术研究与实现

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

基于深度学习的Linux内存取证分析技术研究与实现

作者：张洋北京邮电大学

学位级别：硕士

随着计算机技术越来越多地与日常生活的各个方面交织在一起,人们开始考虑如何打击针对这些场景的非法活动。目前,Linux由于其开源和稳定的特性,在服务器端得到了广泛的应用。然而,针对Linux平台的各种网络攻击手段层出不穷,对个人、企... 详细信息

随着计算机技术越来越多地与日常生活的各个方面交织在一起,人们开始考虑如何打击针对这些场景的非法活动。目前,Linux由于其开源和稳定的特性,在服务器端得到了广泛的应用。然而,针对Linux平台的各种网络攻击手段层出不穷,对个人、企业、政府机构和其他设备造成了重大影响。此外,基于内存的攻击趋势越来越明显,因此有必要对Linux平台的内存取证技术进行研究。目前,传统的取证软件大多依赖于文件系统,无法有效分析基于内存的攻击。对内存进行取证分析的方法仍然涉及物理内存的提取和分析,但是分段分页内存管理的机制可能会导致一些内存数据无法提取。因此,本文对Linux平台的内存取证技术进行了分析,重点是对提取的进程虚拟内存进行分析,重构二进制文件,通过深度学习进行二进制比较,判断系统中是否存在恶意进程,从而辅助取证人员开展工作。本文的主要贡献如下:(1)实现了一个取证系统的信息提取框架,能够在Linux系统运行期间获取相关信息,并实现了进程虚拟内存空间数据的提取。(2)利用深度学习进行二进制比较实验,从汇编指令序列中提取特征,通过Transformer 网络架构的神经网络生成嵌入向量,进行二进制比较。(3)构建基于Locality Sensitive Hash(LSH)算法的快速筛选模块,对二进制函数的各个属性进行权重设置,通过LSH算法对二进制文件的每个函数嵌入向量快速获得一组相似样本,并通过评分模型对样本库中的每个样本进行评估,从而快速获得一组与给定二进制文件相似的恶意样本。

关键词：内存取证网络安全汇编指令二进制相似检测恶意软件

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

Linux进程注入内存取证研究

Linux进程注入内存取证研究

作者：赵洛平哈尔滨理工大学

学位级别：硕士

随着Windows进程注入研究逐渐成熟,Linux中的进程注入研究也逐渐发展起来。现如今,随着各种防御机制的出现(如DEP、SSP等),传统的代码注入攻击手段得到了较好的检测和抑制。而进程注入在运行时披着合法进程的外壳,可以更好地绕过一些检... 详细信息

随着Windows进程注入研究逐渐成熟,Linux中的进程注入研究也逐渐发展起来。现如今,随着各种防御机制的出现(如DEP、SSP等),传统的代码注入攻击手段得到了较好的检测和抑制。而进程注入在运行时披着合法进程的外壳,可以更好地绕过一些检测和防御机制。目前针对Linux上的进程注入检测大多是使用的恶意代码行为特征监控的方式,而进程注入会在易失性存储器中留下一些未被发现的痕迹。此时,基于内存取证的检测方式开始广泛应用,该方法在Windows上已经相对成熟,但Linux下仍需要继续发掘研究。因此提出了针对Linux进程注入的内存取证的检测方法。本文的研究内容主要包括以下几个方面:1.提出了一种基于内存取证的Linux进程注入检测方法。首先遍历按位遍历进程的内存映射,将保护位权限为可读可写可执行的进程作为可疑进程输出,之后将该进程的实际执行文件与对应的可执行文件(ELF文件)进行按位对比分析,出现不同的进程作为可疑进程输出。2.提出了三种分别基于一般隐藏进程、共享内存和PTE等反取证技术的Linux取证检测方法。这个方法用于检测隐藏进程。首先针对一般隐藏进程,遍历检测/proc文件以及相对应的内容来对比分析;针对共享内存先收集vm＿file字段指向的文件对象并枚举共享内存中的内容,将收集到的文件内容进行对比分析,根据规则筛选后作为结果输出;对于PTE条目,则是收集进程的PTE映射并将其与VMA中的映射进行对比,将内容有异的进程作为隐藏进程输出。3.本文基于Volatility开发了Linux进程注入检测插件detcet＿proc＿inject,插件能够输出大多数被注入的进程。基于Rekall实现了Linux中隐藏进程检测插件detect＿hid、detect＿shm和detect＿pte＿hidden,插件可以输出对应注入行为相关的隐藏进程。本文提出的进程注入检测方法可以有效地检测多种注入手段,弥补了现存检测方法完整度低,误报率高等问题。研究的反取证检测技术适用于多种反取证手段,可以有效的检测出系统中隐藏的进程,以更好的辅佐取证人员进行后续的分析。两者相结合可以更加完整有效地检测出系统中的恶意进程,以方便检测人员后续对恶意代码的分析。

关键词：内存取证 Linux 进程注入反取证

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

基于内存取证技术的勒索软件密钥提取研究

基于内存取证技术的勒索软件密钥提取研究

作者：孙海旭哈尔滨理工大学

学位级别：硕士

近年来在金钱的诱惑下勒索软件数量逐渐增多。随着灰色产业链的发展闭合,勒索软件除了加密受害者主机上的重要文件,还会进行数据泄露,对受害公司及个人造成不可估量的损失。缴纳赎金不仅不能确保文件全部被解密,而且会刺激勒索软件的增... 详细信息

近年来在金钱的诱惑下勒索软件数量逐渐增多。随着灰色产业链的发展闭合,勒索软件除了加密受害者主机上的重要文件,还会进行数据泄露,对受害公司及个人造成不可估量的损失。缴纳赎金不仅不能确保文件全部被解密,而且会刺激勒索软件的增长。对抗勒索软件的攻击多数是在防御层面,需要总结前期勒索软件的特征,因此无法对新特征的勒索软件进行预防。研究发现勒索软件对受害者主机文件进行加密时,密钥会存在内存之中。可以通过内存取证技术,从内存中提取加密密钥用来解密受害者文件。减缓勒索软件攻击带来的危害。本文研究内容主要包括:(1)对勒索软件进行静态和动态分析,总结其主要行为、加密过程和其他功能。根据网络杀伤链结合勒索软件的攻击特征,映射出勒索软件杀伤链的各个环节,并对其进行验证。(2)通过对勒索软件特征分析提出了对应的监控系统。监控系统分为三个模块,监控模块的设计是分析总结现有的勒索软件使用的API,以判定进程是否为可疑勒索软件进程;检测模块是设置合理的诱饵文件,通过检测诱饵文件的熵值及文件类型签名判断该进程是否正在执行恶意的加密行为;转储模块是根据检测模块的反馈判断是否对当下内存进行转储及结束当时的进程。此系统可以有效的捕捉到勒索软件攻击并成功对其当下内存进行转存。(3)通过对勒索软件的密钥管理分析提出了从内存中提取AES密钥和RSA私钥。本文统计近四年的勒索软件,发现其74.11%的密钥管理使用AES+RSA进行混合加密。总结出勒索软件使用AES、AES+RSA的四种加密方式。根据其加密方式提出了定位提取AES密钥的算法和提取RSA私钥的方法。通过AES算法逆过程来判断内存中字节串是否为AES密钥,并添加识别key＿data＿s结构提高识别AES密钥的效率。获取RSA私钥的方法是识别ASN.1结构中的PKCS#8RSA私钥部分结合查找内存中的BLOBHEADER结构搜索勒索软件生成的RSA私钥。基于Volitility平台编写提取勒索软件密钥的插件keyfind来实现勒索软件AES密钥及RSA私钥的提取。实验表明,监控系统可以零误报捕捉到勒索软件的攻击,从转储的进程内存上可以找到AES密钥或者RSA私钥,获取的密钥可以成功对受害者主机的文件进行解密。

关键词：勒索软件内存取证 AES RSA 诱饵文件

基于GHM可视化和深度学习的恶意代码检测与分类

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

信息安全研究 2024年第3期10卷 216-222页

作者：张淑慧胡长栋王连海徐淑奖邵蔚兰田齐鲁工业大学(山东省科学院)山东省计算中心(国家超级计算济南中心) 济南250014 算力互联网与信息安全教育部重点实验室(齐鲁工业大学(山东省科学院)) 济南250014 山东省计算机网络重点实验室(山东省计算中心(国家超级计算济南中心)) 济南250014 山东省基础科学研究中心(计算机科学)齐鲁工业大学(山东省科学院) 济南250014

恶意代码的复杂性和变异性在不断增加,致使恶意软件的检测变得越来越具有挑战性.大多数变异或未知的恶意程序是在现有恶意代码的逻辑基础上进行改进或混淆形成的,因此发现恶意代码家族并确定其恶意行为变得越来越重要.提出了一种基于GHM... 详细信息

恶意代码的复杂性和变异性在不断增加,致使恶意软件的检测变得越来越具有挑战性.大多数变异或未知的恶意程序是在现有恶意代码的逻辑基础上进行改进或混淆形成的,因此发现恶意代码家族并确定其恶意行为变得越来越重要.提出了一种基于GHM(Gray, HOG,Markov)的新型恶意软件可视化方法进行数据预处理.与传统的可视化方法不同,该方法在可视化过程中通过HOG和马尔科夫提取出更加有效的数据特征,并构建了3通道彩色图像.此外,构建了基于CNN和LSTM的VLMal分类模型,对可视化图像进行恶意软件检测分类.实验结果表明,该方法可以有效地检测和分类恶意代码,具有较好的准确性和稳定性.

关键词：恶意软件检测深度学习恶意软件分类内存取证可视化

在线全文

学校读者我要写书评

暂无评论

基于内存取证的内核完整性度量方法

软件学报 2016年第9期27卷 2443-2458页

作者：陈志锋李清宝张平王炜解放军信息工程大学河南郑州450001 数学工程与先进计算国家重点实验室河南郑州450001

内核级攻击对操作系统的完整性和安全性造成严重威胁.当前,内核完整性度量方法在度量对象选取上存在片面性,且大部分方法采用周期性度量,无法避免TOC-TOU攻击.此外,基于硬件的内核完整性度量方法因添加额外的硬件使得系统成本较高;基于H... 详细信息

内核级攻击对操作系统的完整性和安全性造成严重威胁.当前,内核完整性度量方法在度量对象选取上存在片面性,且大部分方法采用周期性度量,无法避免TOC-TOU攻击.此外,基于硬件的内核完整性度量方法因添加额外的硬件使得系统成本较高;基于Hypervisor的内核完整性度量方法,应用复杂的VMM带来的系统性能损失较大.针对现有方法存在的不足,提出了基于内存取证的内核完整性度量方法 KIMBMF.该方法采用内存取证分析技术提取静态和动态度量对象,提出时间随机化算法弱化TOC-TOU攻击,并采用Hash运算和加密运算相结合的算法提高度量过程的安全性.在此基础上,设计实现了基于内存取证的内核完整性度量原型系统,并通过实验评测了KIMBMF的有效性和性能.实验结果表明:KIMBMF能够有效度量内核的完整性,及时发现对内核完整性的攻击和破坏,且度量的性能开销小.

关键词：内核完整性完整性度量 TOC-TOU 内存取证时间随机化

在线全文

学校读者我要写书评

暂无评论

一种基于隐藏事件触发机制的内存取证方法

计算机研究与发展 2018年第10期55卷 2278-2290页

作者：崔超远李勇钢乌云王励成中国科学院合肥物质科学研究院合肥智能机械研究所合肥230031 中国科学技术大学研究生院科学岛分院合肥230027 中国科学院合肥物质科学研究院应用技术研究所合肥230088 北京邮电大学网络空间安全学院北京100876

内存取证是计算机取证科学的重要分支,能够提取和分析操作系统运行状态的数字证据,已经成为对抗网络犯罪的有力武器.现有内存取证方法大多是全面获取内存数据,因而包含大量冗余信息,为后续内存分析带来不便.此外,在取证时间点选取方面... 详细信息

内存取证是计算机取证科学的重要分支,能够提取和分析操作系统运行状态的数字证据,已经成为对抗网络犯罪的有力武器.现有内存取证方法大多是全面获取内存数据,因而包含大量冗余信息,为后续内存分析带来不便.此外,在取证时间点选取方面存在盲目性,尤其是对具有隐藏特性的恶意软件,无法准确地在攻击发生时进行实时取证.由于内存具有易失性和不可恢复性的特点,取证时间点与攻击过程不匹配将使得取证内容无法表征攻击行为,导致取证数据无效.针对以上问题,提出一种基于隐藏事件触发机制的内存取证方法 ForenHD.该方法利用虚拟化技术实时监视目标虚拟机中的内核对象,并通过分析内核对象的逻辑连接关系和运行状态的变化来检测隐藏对象;然后以隐藏对象的发现作为内存取证的触发事件,通过内存映射提取隐藏对象的代码段信息,实现实时和局部内存取证.通过对多种隐藏对象取证的实验,证明了ForenHD的可行性和有效性.

关键词：内存取证实时取证局部取证隐藏事件触发机制系统虚拟化技术