[发明专利]一种基于数据关联的自动内存证据分析方法

权利要求书

1.一种基于数据关联的自动内存证据分析方法，其特征在于：借助关键数据结构分析以及聚类方法全面分析了进程、文件、用户、动态链接库等主要内存数据之间的各种关系；对于进程与其他信息之间，依次自动识别进程与文件关联、进程与动态链接库关联、进程与用户关联以及进程与网络报关联；对于进程与进程之间的关联，依次可自动识别进程间父子关联、进程间服务关联和进程间通信关联。 

2.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是所述进程与文件之间的自动关联方法步骤如下： 

步骤1：在内存中定位到每个需分析的文件对象； 

步骤2：从对象基址向前0x018偏移量，读取每个文件对象的_OBJECT_HEADER对象； 

步骤3：读取_OBJECT_HEADER对象的HandleInfoOffset属性，并根据其值获取文件对象的对应句柄信息； 

步骤4：读取句柄信息的第一个字；其内容即为拥有该文件的进程对象的基地址； 

步骤5：根据步骤4中获得的地址信息读取进程对象并建立进程与文件之间的关联。 

3.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是进程与动态链接库(DLL)之间的自动关联方法具体步骤如下： 

步骤1：在内存中定位到每个需调查进程的_EPROCESS结构； 

步骤2：读取_EPROCESS的属性ObjectTable，根据其值获取进程的句柄表_HANDLE_TABLE； 

步骤3：遍历_HANDLE_TABLE的属性HandleTableList指向的双向链接表；找到其中类型为File，名称的后缀是dll的句柄，这些句柄就是进程载入的动态链接库文件。 

4.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是进程与用户之间的自动关联方法具体步骤如下： 

步骤1：在内存中定位到每个需调查进程的_EPROCESS结构； 

步骤2：根据_EPROCESS中的属性Token值获取进程的_TOKEN结构；进程的很多安全有关的信息都保存在_TOKEN结构中，包括用户和组的安全标识符(SID)； 

步骤3：读取_TOKEN结构中记录的用户和组的安全标识符(SID)； 

步骤4：基于Windows的系统通用安全标识符文档过滤掉通用标示符，余下的即是实际登陆用户的安全标识符； 

步骤5：在注册表中找到HKLM/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ProfileList项，其中记录了所有用户的安全标识符； 

步骤6：根据筛选后余下的非通用安全标示符的ProfileImagePath属性即可提取出与其对应的用户名，从而可将进程与具体用户关联起来。 

5.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是进程与网络信息之间的自动关联方法具体步骤如下： 

步骤1：通过基于特征分析的扫描方法定位结构_TCPT_OBJECT，该结构在内存中出现时带有特殊的标识TCPT即0x54435054； 

步骤2：根据_TCPT_OBJECT中的属性Pid将每个_TCPT_OBJECT关联到对应的进程； 

步骤3：根据每个_TCPT_OBJECT的Next属性找到下一个TCP对象，重复步骤(2)。 

6.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是进程间的父子关联方法具体步骤如下： 

步骤1：找到内存中的所有进程；为识别隐藏进程，通过基于特征(signature)的扫描技术扫描进程的池分配标记Proc，这样就能保证获取的进程完整； 

步骤2：在内存中定位到每个需调查进程的_EPROCESS结构； 

步骤3：读取_EPROCESS中的属性UniqueProcessId和InheritedFromUniqueProcessId，它们分别表示了进程自己的id和其父进程的id；根据进程id之间的父子关系即可将进程以父子关系关联起来。