[发明专利]一种基于内核对象链接关系的内存取证方法

摘要

本发明提出了一种基于内核对象链接关系的内存取证方法。本发明首先利用操作系统的蓝屏内存转储技术或者内存转存工具软件获得正在运行的内存镜像文件；其次利用调试工具Windbg获取内核对象的数据结构；第三由内核对象的数据结构得到内核对象的链接关系图；第四利用Windbg调试同版本的系统得到内核对象Eproces的魔数以及每个内核对象的Pool Tag；第五利用魔数来定位内存镜像文件中的Eproces数据结构；最后利用在步骤三得到的链接关系图逐步得到系统的各种内核对象信息，从而实现对内存系统的取证。本发明具有很好的准确性、高效性和针对性，克服了以前基于字符串匹配的内存取证存在的不确定性和速度慢的问题。

主权项

一种基于内核对象链接关系的内存取证方法，其特征在于包括如下步骤:步骤(1)获取正在运行的Ms‑windows操作系统的内存镜像；利用计算机蓝屏内存转储技术或者内存转存工具软件获得正在运行的Ms‑windows内存镜像文件，也就是内存的一份快照；步骤(2)获取计算机内核对象的数据结构；利用微软公司轻量级的用户态内核调试工具Windbg获取内核对象Eprocess、Peb和Vad的数据结构；Eprocess是指Ms‑windows为了进行进程管理而设计的一个内核对象，其保存了进程的各种相关信息和相关结构指针；Peb是指进程环境控制块，其存储了进程运行时的各种环境信息，在Peb里面有一个Ldr项这个结构描述了进程的加载模块信息，它指向的是一个_PEB_LDR_DATA结构，而这个结构中的InLoadOrderModuleList指向的是进程加载模块链表的表头；Vad是指进程的虚拟地址空间树，为方便系统进行内存管理Ms‑windows把进程的虚拟地址空间描述成一棵自适应的平衡二叉树，也就是VAD；步骤(3)获取内核对象的链接关系图；利用步骤(2)中得到内核对象Eprocess、Peb和Vad的数据结构，得到内核对象之间的链接关系图；步骤(4)获取Eprcoess的魔数Magic Number；利用Windbg调试同版本的MS‑Windows系统得到内核中Eprocess的Magic Number以及每个内核对象的Pool Tag；步骤(5)定位Eproces数据结构在内存镜像文件中的位置；在内存镜像文件中利用步骤(4)获得的Eprocess魔数进行字符串匹配来定位Eprocess结构的物理位置；步骤(6)获取系统运行时的信息；利用步骤(5)中得到的内核对象Eprocess在内存镜像文件中的位置以及步骤(3)中得到的内核对象的链接关系图依次遍历出其他的内核对象；接着利用这些内核对象对系统运行时信息进行重现。