1(中国科学院合肥物质科学研究院合肥智能机械研究所 合肥 230031);2(中国科学技术大学研究生院科学岛分院 合肥 230027);3(中国科学院合肥物质科学研究院应用技术研究所 合肥 230088);4(北京邮电大学网络空间安全学院 北京 100876) (cycui@iim.ac.cn)
出版日期:
2018-10-01基金资助:
国家重点研发计划项目(2018YFD0700302);中国科学院STS计划项目(KFJ-STS-ZDTP-004)A Memory Forensic Method Based on Hidden Event Trigger Mechanism
Cui Chaoyuan1, Li Yonggang1,2, Wu Yun3, Wang Licheng41(Institute of Intelligent Machines, Hefei Institutes of Physical Science, Chinese Academy of Sciences, Hefei 230031);2(Graduate School of Science Island Branch, University of Science and Technology of China, Hefei 230027);3(Institute of Applied Technology, Hefei Institutes of Physical Science, Chinese Academy of Sciences, Hefei 230088);4(School of Cyberspace Security, Beijing University of Posts and Telecommunications, Beijing 100876)
Online:
2018-10-01摘要/Abstract
摘要: 内存取证是计算机取证科学的重要分支,能够提取和分析操作系统运行状态的数字证据,已经成为对抗网络犯罪的有力武器.现有内存取证方法大多是全面获取内存数据,因而包含大量冗余信息,为后续内存分析带来不便.此外,在取证时间点选取方面存在盲目性,尤其是对具有隐藏特性的恶意软件,无法准确地在攻击发生时进行实时取证.由于内存具有易失性和不可恢复性的特点,取证时间点与攻击过程不匹配将使得取证内容无法表征攻击行为,导致取证数据无效.针对以上问题,提出一种基于隐藏事件触发机制的内存取证方法ForenHD.该方法利用虚拟化技术实时监视目标虚拟机中的内核对象,并通过分析内核对象的逻辑连接关系和运行状态的变化来检测隐藏对象;然后以隐藏对象的发现作为内存取证的触发事件,通过内存映射提取隐藏对象的代码段信息,实现实时和局部内存取证.通过对多种隐藏对象取证的实验,证明了ForenHD的可行性和有效性.
参考文献
相关文章 15
[1] | 付章杰, 李恩露, 程旭, 黄永峰, 胡雨婷. 基于深度学习的图像隐写研究进展[J]. 计算机研究与发展, 2021, 58(3): 548-568. |
[2] | 谢佳, 胡予濮, 江明明. 前向安全的格基代理签名[J]. 计算机研究与发展, 2021, 58(3): 583-597. |
[3] | 闫玮, 张兴军, 纪泽宇, 董小社, 姬辰肇. 基于持久性内存的单向移动B+树[J]. 计算机研究与发展, 2021, 58(2): 371-383. |
[4] | 吴俊锜, 翟黎明, 王丽娜, 方灿铭, 吴畑. 基于多尺度滤波器的空域图像隐写增强算法[J]. 计算机研究与发展, 2020, 57(11): 2251-2259. |
[5] | 王洋洋, 和红杰, 陈帆, 张善俊. 基于失真-扩展代价的JPEG图像可逆数据隐藏[J]. 计算机研究与发展, 2020, 57(11): 2271-2282. |
[6] | 冯涛, 王帅帅, 龚翔, 方君丽. 工业以太网EtherCAT协议形式化安全评估及改进[J]. 计算机研究与发展, 2020, 57(11): 2312-2327. |
[7] | 张耀, 储佳佳, 翁楚良. 纠删码存储系统数据更新方法研究综述[J]. 计算机研究与发展, 2020, 57(11): 2419-2431. |
[8] | 王永利, 徐秋亮. 量子计算与量子密码的原理及研究进展综述[J]. 计算机研究与发展, 2020, 57(10): 2015-2026. |
[9] | 魏立斐, 陈聪聪, 张蕾, 李梦思, 陈玉娇, 王勤. 机器学习的安全问题及隐私保护[J]. 计算机研究与发展, 2020, 57(10): 2066-2085. |
[10] | 王洋, 沈诗羽, 赵运磊, 王明强. 基于模格的密钥封装方案的比较分析与优化[J]. 计算机研究与发展, 2020, 57(10): 2086-2103. |
[11] | 卢冰洁, 周俊, 曹珍富. 一种增强的多用户前向安全动态对称可搜索加密方案[J]. 计算机研究与发展, 2020, 57(10): 2104-2116. |
[12] | 杨宁滨, 周权, 许舒美. 无配对公钥认证可搜索加密方案[J]. 计算机研究与发展, 2020, 57(10): 2125-2135. |
[13] | 韩妍妍, 何彦茹, 刘培鹤, 张铎, 王志强, 何文才. 一种基于混沌系统的ZUC动态S盒构造及应用方案[J]. 计算机研究与发展, 2020, 57(10): 2147-2157. |
[14] | 陈明. 后量子前向安全的可组合认证密钥交换方案[J]. 计算机研究与发展, 2020, 57(10): 2158-2176. |
[15] | 张应辉, 贺江勇, 郭瑞, 郑东. 工业物联网中服务器辅助且可验证的属性基签名方案[J]. 计算机研究与发展, 2020, 57(10): 2177-2187. |
PDF全文下载地址:
https://crad.ict.ac.cn/CN/article/downloadArticleFile.do?attachType=PDF&id=3796