公开(公告)号：CN116432170A

公开(公告)日：2023-07-14

申请号：CN202310223576.3

申请日：2023-03-09

Applicant: 哈尔滨理工大学

Inventor： 翟继强 ,  王家乾 ,  韩旭

IPC: G06F21/52 ,  G06F21/56

Abstract: 本发明涉及一种基于Glibc堆实现的堆信息提取方法。本发明首先对计算机物理内存建立转储文件；然后利用Rekall取证框架获取操作系统版本和配置文件信息；在操作系统版本和配置文件信息支持下使用内存取证框架内置的扫描技术扫描内核空间并定位到task结构体；如果定位到task结构体，则遍历VMA结构，获取glibc库在内存中的位置，提取glibc库中main‑arena的位置；根据内存对象vtype描述信息中字段偏移定位glibc堆的相关数据结构并提取堆的相关信息。本发明的堆信息提取方法能够有效提取Linux系统中用户空间进程堆内部含有的信息。

公开(公告)号：CN115270119A

公开(公告)日：2022-11-01

申请号：CN202210574426.2

申请日：2022-05-25

Applicant: 哈尔滨理工大学

Inventor： 翟继强 ,  韩旭 ,  孙海旭 ,  王家乾

IPC: G06F21/56 ,  G06F21/52 ,  G06F9/445

Abstract: 本发明涉及一种基于内存取证技术的Windows代码注入检测方法。本发明首先有效区分Windows 64位进程和WoW64进程；然后基于遍历进程堆栈得到的函数返回地址以确定函数名、模块名等信息；然后将遍历堆栈得到的信息结合进程VAD结构来检测函数返回地址是否在VAD节点范围内、匹配堆栈信息中文件名与VAD结构中的文件名以定位注入代码。本发明的方法能够有效检测Windows代码注入，辅助取证分析人员定位内存中的代码注入攻击。