[发明专利]一种基于内存取证的dll注入检测方法

权利要求书

1.基于内存取证的dll注入检测方法，其特征在于，该方法包括以下步骤：

步骤1：计算磁盘PE文件哈希集。

步骤2：通过软件获取计算机物理内存的转储文件。

步骤3：将内存转储文件载入Volatility取证框架，识别匹配的操作系统版本，并导入配置文件。

步骤4：基于VAD树获取进程内存PE文件，匹配内存PE文件与磁盘PE文件哈希值。

2.根据权利要求1所述的基于内存取证的dll注入检测方法，其特征在于，所述步骤1中，计算磁盘PE文件哈希集，具体步骤为：

步骤1-1遍历文件系统，获取全部PE文件；

步骤1-2模拟PE文件加载内存过程，将.text代码段以0x1000大小为单位计算哈希值；

步骤1-3获取PE文件的重定位表副本，与计算的哈希集关联。

3.根据权利要求1所述的基于内存取证的dll注入检测方法，其特征在于，所述步骤2中，通过软件获取计算机物理内存的转储文件，具体步骤为：

步骤2-1为系统中与dll注入相关的API设置监控；

步骤2-2监控触发条件时拍摄物理内存镜像。

4.根据权利要求1所述的基于内存取证的dll注入检测方法，其特征在于，所述步骤3中，将内存转储文件载入Volatility取证框架，识别匹配的操作系统版本，并导入配置文件，具体步骤为：

步骤3-1将内存镜像导入Volatility内存取证框架；

步骤3-2解析内核调试数据块信息，获取操作系统详细版本信息；

步骤3-3通过版本信息确定配置文件。

5.根据权利要求1所述的基于内存取证的dll注入检测方法，其特征在于，在所述步骤4中，基于VAD树获取进程内存PE文件，匹配内存PE文件与磁盘PE文件哈希值，具体过程为：

步骤4-1获取被注入进程的_EPROCESS结构体；

步骤4-2通过_EPROCESS结构体的VadRoot成员遍历VAD树节点；

步骤4-3若VAD节点的FileObject成员指向有效的结构，将StartingVpn到EndingVpn所指向的地址空间提取为PE文件，并用哈希集中的重定位表修复重定位；

步骤4-4将内存PE文件中具有可执行权限的页面与磁盘哈希集对比，出现匹配的页面作为恶意dll页面输出。