公开(公告)号：CN114692144A

公开(公告)日：2022-07-01

申请号：CN202210372926.8

申请日：2022-04-08

Applicant: 哈尔滨理工大学

Inventor： 翟继强 ,  白忆鸽 ,  孙楷轩

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明涉及一种基于内存取证的dll注入检测方法。本发明首先对磁盘PE文件建立哈希集；然后利用Volatility取证框架获取操作系统版本和配置文件信息；在操作系统版本和配置文件信息支持下遍历进程VAD节点，并通过VAD节点成员获取内存PE文件；将PE文件重定位后计算哈希值并与磁盘哈希集匹配，出现不匹配的哈希值的页面作为可疑页面输出。本发明的基于内存取证的dll注入检测方法，辅助取证分析人员检测并提取内存中存在dll注入的内存区域，方便开展后续的恶意代码分析工作。

公开(公告)号：CN115509960A

公开(公告)日：2022-12-23

申请号：CN202211250306.3

申请日：2022-10-13

Applicant: 哈尔滨理工大学

Inventor： 翟继强 ,  孙雪胤 ,  白忆鸽

IPC: G06F12/1009

Abstract: 本发明涉及一种基于页表条目的shellcode注入检测方法。本发明首先对计算机物理内存提取镜像文件；然后利用Volatility取证框架获取操作系统版本和配置文件信息；通过遍历进程PML4、页目录指针表、页目录表和页表的方式获取进程PTE；如果PTE中出现具有可执行权限的指标，那么对应页面作为可疑页面输出。本发明的shellcode注入检测方法能够有效检测进程内存中是否包含shellcode，辅助取证分析人员提取被感染系统中的恶意代码。

公开(公告)号：CN114428957A

公开(公告)日：2022-05-03

申请号：CN202111569096.X

申请日：2021-12-21

Applicant: 哈尔滨理工大学

Inventor： 赵洛平 ,  韩旭 ,  白忆鸽

IPC: G06F21/56

Abstract: 本发明涉及一种高准确率的Linux共享内存恶意代码检测方法。主要包括以下5个步骤：(1)筛选tmpfs文件类型；(2)收集vm_file字段指向的文件对象；(3)枚举共享内存中的内容；(4)将已收集到的内容进行对比分析；(5)根据文件权限位标志和父进程相关信息进行筛选。本发明为所收集文件对象的权限标志位以及父进程相关信息进行筛选，解决了现存共享内存恶意代码检测方法的误报率高的问题，对SYSTEM V类型的共享内存进行信息提取，解决了基于Rekall的动态共享内存恶意代码检测方法中对共享内存检测不全面、漏报率高等问题，本发明提出的共享内存恶意代码检测方法可以适用于Rekall框架适用的所有Linux系统版本。