[发明专利]基于结构链逆向的内存碎片文件重建方法及系统

权利要求书

1.一种基于结构链逆向的内存碎片文件重建方法，其特征在于，包含如下内容：

扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；

基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件；

利用文件内核对象池分配结构特征，扫描内存碎片集合，确定其中的数据文件个数；利用内核文件对象结构逆向分析来确定内存文件在内存映像中的结构信息，进而构建出内存文件碎片子集；

文件碎片子集和碎片集合S之间构成关系表示为：

其中，0≤i≤k，file_i表示文件碎片子集，k表示内存碎片中数据文件个数；

基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件，包含：利用扫描工具定位内存文件对象并通过重建内存文件对象字段进行文件结构重构的文件对象扫描重建；通过定位数据部分对象中的控制区域结构重构数据文件空间字段及用于索引字节页面的MMPTE数组结构的文件碎片提取重建；及通过定位共享缓存映射结构并重构变量来依据基地址变量获取缓存文件信息的缓存文件重建。

2.根据权利要求1所述的基于结构链逆向的内存碎片文件重建方法，其特征在于，内存介质映像扫描分析中，先过滤非数据文件内存碎片，其中，所述非数据文件内存碎片包含：包含有0x00/0xFF数据的内存页面碎片及含有可执行代码的内存页面碎片。

3.根据权利要求1所述的基于结构链逆向的内存碎片文件重建方法，其特征在于，基于操作系统结构逆向分析，使用内核调试工具对文件对象及相关结构进行逆向分析重建。

4.根据权利要求3所述的基于结构链逆向的内存碎片文件重建方法，其特征在于，文件对象及相关结构分析中，首先定位内存映像中的文件对象，通过偏移量确定文件名称及内存区对象信息；依据内存区对象信息获取用于维护数据文件的控制区域指针变量；利用控制区域指针变量得到用于管理文件与内存碎片页面映射的分段结构；通过该分段结构获取数据文件页面存储内容，并结合共享缓存映射结构中缓存管理器来查找数据文件在虚拟地址中的数据。

5.一种基于结构链逆向的内存碎片文件重建系统，其特征在于，包含：扫描分析模块和逆向重构模块，其中，

扫描分析模块，用于扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；

逆向重构模块，用于基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件；

利用文件内核对象池分配结构特征，扫描内存碎片集合，确定其中的数据文件个数；利用内核文件对象结构逆向分析来确定内存文件在内存映像中的结构信息，进而构建出内存文件碎片子集；

文件碎片子集和碎片集合S之间构成关系表示为：

其中，0≤i≤k，file_i表示文件碎片子集，k表示内存碎片中数据文件个数；

基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件，包含：利用扫描工具定位内存文件对象并通过重建内存文件对象字段进行文件结构重构的文件对象扫描重建；通过定位数据部分对象中的控制区域结构重构数据文件空间字段及用于索引字节页面的MMPTE数组结构的文件碎片提取重建；及通过定位共享缓存映射结构并重构变量来依据基地址变量获取缓存文件信息的缓存文件重建。

6.一种计算机可读存储介质，其上存储有计算机程序，其中，该程序被处理器执行时执行权利要求1～4任一项所述的方法。

7.一种计算机设备，包含处理器和存储器，所述存储器存储有能够被所述处理器执行的机器可执行指令，所述处理器执行所述机器可执行指令以执行权利要求1～4任一项所述的方法。