[发明专利]一种基于内存取证的dll注入检测方法

说明书

本发明涉及一种基于内存取证的dll注入检测方法。本发明首先对磁盘PE文件建立哈希集；然后利用Volatility取证框架获取操作系统版本和配置文件信息；在操作系统版本和配置文件信息支持下遍历进程VAD节点，并通过VAD节点成员获取内存PE文件；将PE文件重定位后计算哈希值并与磁盘哈希集匹配，出现不匹配的哈希值的页面作为可疑页面输出。本发明的基于内存取证的dll注入检测方法，辅助取证分析人员检测并提取内存中存在dll注入的内存区域，方便开展后续的恶意代码分析工作。

技术领域：

本发明涉及一种基于内存取证的dll注入检测方法，该方法在计算机内存取证领域中有着很好的应用，主要用于检测并提取内存中出现dll注入的区域。

背景技术：

随着互联网技术的发展和普及，随之而来的网络攻击也逐渐复杂化和多样化。计算机取证技术能够针对计算机入侵，进行数字证据的获取、分析和保存以作为有效的诉讼证据提供给法庭。磁盘取证和内存取证作为计算机取证技术的分支，在打击网络违规中取到关键作用。

dll注入攻击拥有多种注入形式，其中包括修改注册表注入、创建远程线程注入、反射式 dll注入、Windows消息钩子注入、APC线程注入和Atom-bombing注入等。其中反射式dll 注入、APC线程注入和Atom-bombing注入技术不会将恶意dll文件加载与磁盘中，使得传统的磁盘取证无法取得有效的数字证据，而针对计算机物理内存的内存取证技术能够有效分析进程内存数据，提取出关键数字证据。因此，使用内存取证技术检测dll注入攻击具有重要意义。

发明内容：

为了辅助取证分析人员检测内存dll注入攻击，本发明公开了一种基于内存取证的dll注入检测方法。

为此，本发明提供了如下技术方案：

1.基于内存取证的dll注入检测方法，该方法包括以下步骤：

步骤1：计算磁盘PE文件哈希集。

步骤2：通过软件获取计算机物理内存的转储文件。

步骤3：将内存转储文件载入Volatility取证框架，识别匹配的操作系统版本，并导入配置文件。

步骤4：基于VAD树获取进程内存PE文件，匹配内存PE文件与磁盘PE文件哈希值。

2.根据权利要求1所述的基于内存取证的dll注入检测方法，其特征在于，所述步骤1中，计算磁盘PE文件哈希集，具体步骤为：

步骤1-1遍历文件系统，获取全部PE文件；

步骤1-2模拟PE文件加载内存过程，将.text代码段以0x1000大小为单位计算哈希值；

步骤1-3获取PE文件的重定位表副本，与计算的哈希集关联。

3.根据权利要求1所述的基于内存取证的dll注入检测方法，其特征在于，所述步骤2中，通过软件获取计算机物理内存的转储文件，具体步骤为：

步骤2-1为系统中与dll注入相关的API设置监控；

步骤2-2监控触发条件时拍摄物理内存镜像；

4.根据权利要求1所述的基于内存取证的dll注入检测方法，其特征在于，所述步骤3中，将内存转储文件载入Volatility取证框架，识别匹配的操作系统版本，并导入配置文件，具体步骤为：

步骤3-1将内存镜像导入Volatility内存取证框架；

步骤3-2解析内核调试数据块信息，获取操作系统详细版本信息；

步骤3-3通过版本信息确定配置文件。