一种基于数据关联的自动内存证据分析方法

一种基于数据关联的自动内存证据分析方法
【专利摘要】一种基于数据关联的自动内存证据分析方法，借助关键数据结构分析以及聚类方法全面分析了进程、文件、用户、动态链接库等主要内存数据之间的各种关系；对于进程与其他信息之间，依次自动识别进程与文件关联、进程与动态链接库关联、进程与用户关联以及进程与网络报关联；对于进程与进程之间的关联，依次可自动识别进程间父子关联、进程间服务关联和进程间通信关联。通过描述这些关系，本方法可以将彼此独立的数据组织成关联图，从更高的语义层次揭示原始证据的含义。
【专利说明】一种基于数据关联的自动内存证据分析方法

【技术领域】
[0001]本发明涉及的是一种计算机犯罪取证领域，涉及对内存证据自动分析、关联，以便重现犯罪场景的方法，尤其是一种适合自动分析Windows XP内存证据的方法。

【背景技术】
[0002]内存取证在过去十年发展迅速。这是因为内存能够提供磁盘不包含的正在运行的进程、实际执行的二进制代码、打开的网络连接及端口等调查者所关心的信息。尽管犯罪者可通过加密、代码混淆、挂钩等方式隐藏其行为，但非法行为仍必须在内存中执行，并难免留下痕迹。因此，来自内存的犯罪证据更加可靠，也更具实时性。基于上述优点，内存取证在近年来吸引了越来越多研究者的关注。但现有的内存取证研究主要侧重于如何可靠地获取内存镜像等证据，关于如何自动分析已获得证据的关注较少。近年来，随着硬件技术的发展，计算机内存容量已从MB级增长到TB级，而网络及云计算平台的广泛使用也使调查者经常需要同时分析很多内存镜像。面对海量的数据以及复杂、缺乏语义信息的低层OS数据结构，如何自动完成内存证据分析，找出其中隐藏的犯罪行为并以调查者容易理解的方式重构其犯罪过程已成为亟待解决的重要问题。
[0003]现有的内存证据分析方法主要分为基于字符串搜索、基于内存扫描、基于特征(signature)扫描和基于操作系统内核关键数据结构分析几种。字符串搜索建立在已知关键词的基础上，是早期流行的简单方法。该方法需要的人工干预较多，且搜索结果包含大量噪声。内存扫描分析方法是一种基于线性内存扫描的暴力破解方法。该方法逐个字节的扫描整个内存，然后获取需要的信息。在当前海量、复杂的分析背景下，该方法花费的时间往往比较长。基于特征(signature)扫描的分析技术通常使用一系列规则来精确的描述某种特征，然后使用扫描器进行扫描。该方法需要预先定义合适的规则，所以不能识别未知行为。尽管其精确度及效率较前两种方法有所提升，但在当前分析背景下该方法仍显得力不从心。目前主流的内存分析技术是分析内存数据结构，即通过研究关键的内存数据结构获得该结构中的信息，从而获得感兴趣的犯罪证据。但目前这类方法仅针对特定数据类型进行分析，比如恢复内存中的进程列表、二进制文件、打开的网络连接等，分析结果比较单一。即使是当前流行的取证分析框架volatility，也仅仅提供对各类内存信息的恢复及罗列，具体的犯罪行为识别及场景重构仍需人工完成。事实上证据分析过程需要综合考虑各类证据，通过数据之间的彼此关联印证来发现更多的犯罪行为，进而重构犯罪过程。


【发明内容】

[0004]针对现有技术在内存证据自动分析领域的不足，本发明目的是提出了一种基于数据关联的自动证据分析方法。借助关键数据结构分析以及聚类方法全面分析进程、文件、用户、动态链接库等主要内存数据之间的各种关系。
[0005]本发明的技术方案是，一种基于数据关联的自动内存证据分析方法，其特征在于:借助关键数据结构分析以及聚类方法全面分析了进程、文件、用户、动态链接库等主要内存数据之间的各种关系；对于进程与其他信息之间，依次自动识别进程与文件关联、进程与动态链接库关联、进程与用户关联以及进程与网络报关联；对于进程与进程之间的关联，依次可自动识别进程间父子关联、进程间服务关联和进程间通信关联。通过描述这些关系，本发明能够将彼此独立的数据组织成关联图，从更高的语义层次揭示原始证据的含义。
[0006]进一步，所述分析以进程为中心，涵盖了进程与进程之间的父子关联、通信关联和服务关联，以及进程与文件、动态链接库、用户、网络信息等内存信息的关联。本发明设计了一种基于数据关联的自动内存证据分析机制。在计算机取证过程中，内存中最重要的信息就是进程。进程代表了计算机中各种运行的软件、服务。因此，为了从内存包含的大量不同类别的信息中梳理出有用的关联关系，本发明机制采取了以进程为中心的关联分析策略，将内存中的关联关系分成进程间关联和进程与其他信息的关联两类。为了从不同角度展现内存中进程与进程的关系。提出了以父子关系、通信关系和服务目的关系为基础的关联方法。在进程与内存其他数据间的关联方面，主要选取了进程与文件、进程与动态链接库、进程与用户以及进程与网络包的关联关系加以分析。之所以选取这些关联，是因为它们对于计算机取证而言非常有用。为以可靠的方式揭示这些关联关系，并揭示内存中无直接指示信息的隐式关联关系，设计了一种综合使用数据结构分析及聚类技术的关联方法。对于内存中有标识的关联，将以分析内存数据结构为主进行识别。在识别过程中将比较各种标识数据结构，最终选择一种最为可靠的结构。而对于隐含关联的分析，主要基于聚类方法进行。因为windows XP仍是当前国内取证调查时最常见的操作系统，因此本发明主要基于Windows XP SP2操作系统的数据结构。
[0007]不同于以往的内存分析方法，本发明所提出的数据关联方法是首次将各类内存数据结合起来，较为完整地展示出内存中数据的关联关系。事实上，如果能够事先自动建立内存中各类信息的关联，那么不仅犯罪场景重构将变得更加容易，识别犯罪行为也会更为方便。因为异常的关联关系(例如outlook读取存储了用户密码的password文件)往往代表了非法的行为。而且，一旦识别出代表犯罪行为的某一证据，即可以依据已知的关联关系顺藤摸瓜找出更多的犯罪行为以及证据。这样犯罪者将更难隐藏其行为。
[0008]进一步，所述进程与文件之间的自动关联方法，具体步骤如下:
[0009]步骤1:在内存中定位到每个需分析的文件对象；
[0010]步骤2:从对象基址向前0x018偏移量，读取每个文件对象的_0BJECT_HEADER对象(其结构如图2所示)。
[0011]步骤3:读取_0BJECT_HEADER对象的HandleInfoOffset属性，并根据其值获取文件对象的对应句柄信息。
[0012]步骤4:读取句柄信息的第一个字。其内容即为拥有该文件的进程对象的基地址。
[0013]步骤5:根据步骤4中获得的地址信息读取进程对象并建立进程与文件之间的关联。
[0014]进一步，所述进程与动态链接库(DLL)之间的自动关联方法，具体步骤如下:
[0015]步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构(其数据结构如图4所示)O
[0016]步骤2:读取_EPR0CESS的属性ObjectTable，根据其值获取进程的句柄表_HANDLE_TABLE (其结构如图5所示)。
[0017]步骤3:遍历_HANDLE_TABLE的属性HandleTableList指向的双向链接表。找到其中类型为File，名称的后缀是动态数据库dll的句柄，这些句柄就是进程载入的动态链接库文件。
[0018]进一步，进程与用户之间的自动关联方法，具体步骤如下:
[0019]步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构。
[0020]步骤2:根据_EPR0CESS中的属性Token值获取进程的_Τ0ΚΕΝ结构(其结构如图7所示)。进程的很多安全有关的信息都保存在_Τ0ΚΕΝ结构中，包括用户和组的安全标识符(SID)。
[0021]步骤3:读取_Τ0ΚΕΝ结构中记录的用户和组的安全标识符(SID)。
[0022]步骤4:基于Windows的系统通用安全标识符文档过滤掉通用标示符，余下的即是实际登陆用户的安全标识符。
[0023]步骤5:在注册表中找到 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVers1n\ProfileList项,其中记录了所有用户的安全标识符。
[0024]步骤6:根据筛选后余下的非通用安全标示符的ProfileImagePath属性即可提取出与其对应的用户名，从而可将进程与具体用户关联起来。
[0025]进一步，所述进程与网络信息之间的自动关联方法，具体步骤如下:
[0026]步骤1:通过基于特征分析的扫描方法定位结构_TCPT_0BJECT (其结构如图9所示)，该结构在内存中出现时带有特殊的标识TCPT (0x54435054)。
[0027]步骤2:根据_TCPT_0BJECT中的属性Pid将每个_TCPT_0BJECT关联到对应的进程。
[0028]步骤3:根据每个_TCPT_0BJECT的Next属性找到下一个TCP对象，重复步骤⑵。
[0029]进一步，进程间的父子关联方法，具体步骤如下:
[0030]步骤1:找到内存中的所有进程。为识别隐藏进程，通过基于特征(signature)的扫描技术扫描进程的池分配标记Proc，这样就能保证获取的进程完整。
[0031]步骤2:在内存中定位到每个需调查进程的_EPR0CESS结构。
[0032]步骤3:读取 _EPR0CESS 中的属性 UniqueProcessId 和InheritedFromUniqueProcessId,它们分别表示了进程自己的id和其父进程的id。根据进程id之间的父子关系即可将进程以父子关系关联起来。
[0033]进一步，进程间的服务关联方法，具体步骤如下:
[0034]方法一，基于名称相似度的进程间服务关联。其特征在于具体步骤如下:
[0035]步骤1:找到内存中的所有进程。为识别隐藏进程，通过基于特征(signature)的扫描技术扫描进程的池分配标记Proc，这样就能保证获取的进程完整。
[0036]步骤2:识别进程名称。
[0037]步骤3:找出所有名称中有相同的前缀或后缀的进程，并建立关联。
[0038]方法二，基于动态链接库的进程间服务关联。具体步骤如下:
[0039]步骤1:根据前文所述的进程与动态链接库(DLL)之间的自动关联方法获取每个进程载入的动态链接库列表。
[0040]步骤2:根据进程及其动态链接库文件，使用无需事先指定聚类个数的聚类算法(例如=DBSCAN算法)来对进程进行聚类。具体步骤如下:
[0041]步骤2.1，选择关键dll并用其建模每个进程。其中，关键DLL的选择原则是:首先，选择选取出现频度较高的dll。其次，如果文件A出现，文件B和C必定会出现，那么在出现文件A的时候只需考虑A而不用考虑B和C。建模进程的具体方法是:基于关键dll，将每个进程建模为一个η元组。其定义如下:
[0042]定义I若把η个关键dll组织成一个有序集合，那么每个进程对应的η-元组是一个由η个O或I组成的序列，其中I表示进程加载了对应序号的关键dll，O表示该进程未加载该dll。
[0043]步骤2.2，为聚类算法设置合适的参数。例如:若选择DBSCAN算法，则可设置epsilon 的值为 4.0, minPoints 的值为 2。
[0044]步骤2.3，用选定的聚类算法基于第一步建立的模型聚类所有进程，并输出结果。
[0045]进一步，进程间的通信关联方法，包含共享内存通信、文件通信及管道通信的关联。
[0046]进程间共享内存通信关联方法，具体步骤如下:
[0047]步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构。
[0048]步骤2:根据_EPR0CESS对象的属性VadRoot获取进程的VAD树的根节点的地址。VAD树中每个节点都是一个_MMVAD结构，它代表了内存分配给进程的某段虚拟地址空间，属性StartingVpn和EndingVpn表明了这段虚拟地址空间的起始和结尾地址。同时属性LeftChild和RightChild指出了该节点的左右孩子节点，用于构建整棵VAD树，具体见图6所示。
[0049]步骤3:对VAD树进行遍历。VAD节点可分为私有的(private)或映射的(mapped),遍历时筛选出映射型VAD节点。
[0050]步骤4:读取筛选得到的VAD节点结构_MMVAD中的属性ControlArea。这是一个指向_C0NTR0L_AREA结构的指针。_C0NTR0L_AREA结构代表的是VAD节点这段虚拟地址空间的控制信息，包含了这段虚拟地址空间拥有的文件、共享内存、缓存数据等等的指针，具体结构如图7所示。根据ControlArea值得到_C0NTR0L_AREA结构。
[0051]步骤5:读取_C0NTR0L_AREA的属性FilePointer。这是一个指向一个文件对象_FILE_0BJECT结构的指针。通过FilePointer值识别共享内存块，即:如果FilePointer的值为null，说明_C0NTR0L_AREA对象指向的是一块共享内存区。
[0052]步骤6:基于_C0NTR0L_AREA结构中_SEGMENT属性识别进程间共享内存关联。_SEGMENT的属性Ul指向创建这个共享内存区的进程。若ul的值与起始测试进程地址不同，则说明测试进程与创建该共享内存的进程有通信。
[0053]进一步，进程间文件通信关联方法，具体步骤如下:
[0054]步骤1:根据前文所述的进程与文件之间的自动关联方法将内存中的文件与进程关联起来。
[0055]步骤2:如果发现多个进程关联同一个文件，即可认为这些进程间存在文件通信关联关系。
[0056]进一步，进程间管道通信关联方法，具体步骤如下:
[0057]步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构。
[0058]步骤2:读取_EPR0CESS的属性ObjectTable，根据其值获取进程的句柄表_HANDLE_TABLE0
[0059]步骤3:遍历_HANDLE_TABLE的属性HandleTableList指向的双向链接表。找到其中类型为命名管道的句柄，这些句柄就是进程对应的命名管道。
[0060]步骤4:获取命名管道的名称。
[0061]步骤5:将使用了同一个名称的命名管道的不同进程关联起来。
[0062]本发明提供的一套用于自动识别内存中各类信息间关联关系的方法，进程与其它内存信息的关联方法:本发明主要考虑对重构犯罪场景较为重要的文件、动态链接库、用户及网络信息。首先，基于windows操作系统的_0BJECT_HEADER结构自动获得进程与文件之间的关联。其次，基于windows操作系统的句柄表_HANDLE_TABLE自动获得进程与动态链接库(DLL)之间的关联。再次，基于进程的_Τ0ΚΕΝ结构及注册表自动获得进程与用户之间的关联。最后，基于_TCPT_0BJECT结构自动获得进程与网络信息的关联。
[0063]进程与进程关联方法:本发明主要考虑进程间的父子关系、服务关系以及共享内存通信、文件通信、管道通信三种通信关系。首先，基于进程的池分配标记及_EPR0CESS中的属性UniqueProcessId和InheritedFromUniqueProcessId自动识别进程间的父子关联。然后，基于进程名称及所加载的动态链接库自动识别进程间的服务关联。最后，基于_C0NTR0L_AREA结构自动识别共享内存通信；基于进程文件关联自动识别文件通信；基于进程句柄表_HANDLE_TABLE自动识别管道通信。
[0064]本发明的有益效果为:(I)与现有针对进程的内存分析方法相比，本发明并非单单地获取进程，而是能够以多种角度关联进程。(2)本发明还能将目前针对内存中各种信息的内存分析方法的分析结果关联到进程上，使得这些分析结果不是单独地存在，而是能较为完整地展示出内存中数据的关联关系，从更高的语义层次揭示原始证据的含义。(3)基于本发明事先自动建立的内存中各类信息的关联，犯罪场景重构将变得更加容易。(4)基于某个已知证据以及本发明识别出的关联关系，能够顺藤摸瓜找出更多的犯罪行为。(5)基于本发明识别出的一些异常的关联关系(例如outlook读取存储了用户密码的password文件)还可以识别潜藏在正常行为中的犯罪线索。(6)本发明提出的关联方法可通过不同证据的彼此佐证，增强取证结果的可靠性。

【专利附图】

【附图说明】
[0065]图1为进程与文件关联流程；
[0066]图2为_0BJECT_HEADER对象结构示意图；
[0067]图3为进程与动态链接库关联流程；
[0068]图4为进程的_EPR0CESS结构示意图；
[0069]图5为句柄表_HANDLE_TABLE结构示意图；
[0070]图6为进程与用户关联流程；
[0071]图7为_Τ0ΚΕΝ结构示意图；
[0072]图8为进程与网络信息关联流程；
[0073]图9为_TCPT_0BJECT结构示意图；
[0074]图10为进程间父子关联流程；
[0075]图11为基于名称相似度的进程间服务关联流程；
[0076]图12为基于动态链接库的进程间服务关联流程；
[0077]图13为进程间共享内存通信关联流程；
[0078]图14为_MMVAD结构示意图；
[0079]图15 为 _C0NTR0L_AREA 结构示意图；
[0080]图16为进程间文件通信关联流程；
[0081]图17为进程间管道通信关联流程；
图18关联进程与文件、关联进程与动态链接库、关联进程与用户以及关联进程与网络息的流程；
图19识别进程间父子关联、识别进程间服务关联、识别进程间通讯关联流程。

【具体实施方式】
[0082]为了更了解本发明的技术内容，特举具体实施例并配合所附图式说明如下。
[0083]图1、图2为进程与文件之间的自动关联方法涉及的数据结构与流程图。流程步骤如下:
[0084]步骤1:在内存中定位到每个需分析的文件对象。
[0085]步骤2:从对象基址向前0x018偏移量，读取每个文件对象的_0BJECT_HEADER对象(其结构如图2所示)。
[0086]步骤3:读取_0BJECT_HEADER对象的HandleInfoOffset属性，并根据其值获取文件对象的对应句柄信息。
[0087]步骤4:读取句柄信息的第一个字。其内容即为拥有该文件的进程对象的基地址。
[0088]步骤5:根据步骤4中获得的地址信息读取进程对象并建立进程与文件之间的关联。
[0089]图3、图4、图5为进程与动态链接库(DLL)之间的自动关联方法涉及的数据结构与流程图。流程步骤如下:
[0090]步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构(其数据结构如图4所示)O
[0091]步骤2:读取_EPR0CESS的属性ObjectTable，根据其值获取进程的句柄表_HANDLE_TABLE (其结构如图5所示)。
[0092]步骤3:遍历_HANDLE_TABLE的属性HandleTableList指向的双向链接表。找到其中类型为File，名称的后缀是dll的句柄，这些句柄就是进程载入的动态链接库文件。
[0093]图6、图7为进程与用户之间的自动关联方法涉及的数据结构与流程图。流程步骤如下:
[0094]步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构。
[0095]步骤2:根据_EPR0CESS中的属性Token值获取进程的_Τ0ΚΕΝ结构(其结构如图7所示)。进程的很多安全有关的信息都保存在_Τ0ΚΕΝ结构中，包括用户和组的安全标识符(SID)。
[0096]步骤3:读取_Τ0ΚΕΝ结构中记录的用户和组的安全标识符(SID)。
[0097]步骤4:基于Windows的系统通用安全标识符文档过滤掉通用标示符，余下的即是实际登陆用户的安全标识符。
[0098]步骤5:在注册表中找到 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVers1n\ProfileList项,其中记录了所有用户的安全标识符。
[0099]步骤6:根据筛选后余下的非通用安全标示符的ProfilelmagePath属性即可提取出与其对应的用户名，从而可将进程与具体用户关联起来。
[0100]图8、图9为进程与网络信息之间的自动关联方法涉及的数据结构与流程图。流程步骤如下:
[0101]步骤1:通过基于特征分析的扫描方法定位结构_TCPT_0BJECT (其结构如图9所示)，该结构在内存中出现时带有特殊的标识TCPT (0x54435054)。
[0102]步骤2:根据_TCPT_0BJECT中的属性Pid将每个_TCPT_0BJECT关联到对应的进程。
[0103]步骤3:根据每个_TCPT_0BJECT的Next属性找到下一个TCP对象，重复步骤(2)。
[0104]图10为进程间的父子关联方法涉及的流程图。流程步骤如下:
[0105]步骤1:找到内存中的所有进程。为识别隐藏进程，通过基于特征(signature)的扫描技术扫描进程的池分配标记Proc，这样就能保证获取的进程完整。
[0106]步骤2:在内存中定位到每个需调查进程的_EPR0CESS结构。
[0107]步骤3:读取 _EPR0CESS 中的属性 UniqueProcessId 和InheritedFromUniqueProcessId,它们分别表示了进程自己的id和其父进程的id。根据进程id之间的父子关系即可将进程以父子关系关联起来。
[0108]图11为基于名称相似度的进程间服务关联所涉及流程。流程步骤如下:
[0109]步骤1:找到内存中的所有进程。为识别隐藏进程，通过基于特征(signature)的扫描技术扫描进程的池分配标记Proc，这样就能保证获取的进程完整。
[0110]步骤2:识别进程名称。
[0111]步骤3:找出所有名称中有相同的前缀或后缀的进程，并建立关联。
[0112]图12为基于动态链接库的进程间服务关联所涉及流程。流程步骤如下:
[0113]步骤1:根据前文所述的进程与动态链接库(DLL)之间的自动关联方法获取每个进程载入的动态链接库列表。
[0114]步骤2:根据进程及其动态链接库文件，使用无需事先指定聚类个数的聚类算法(例如:DBSCAN算法)来对进程进行聚类。具体步骤如下:
[0115]步骤2.1，选择关键dll并用其建模每个进程。其中，关键DLL的选择原则是:首先，选择选取出现频度较高的dll。其次，如果文件A出现，文件B和C必定会出现，那么在出现文件A的时候只需考虑A而不用考虑B和C。建模进程的具体方法是:基于关键dll，将每个进程建模为一个η元组。其定义如下:
[0116]定义I若把η个关键dll组织成一个有序集合，那么每个进程对应的η-元组是一个由η个O或I组成的序列，其中I表示进程加载了对应序号的关键dll，O表示该进程未加载该dll。
[0117]步骤2.2，为聚类算法设置合适的参数。例如:若选择DBSCAN算法，则可设置epsilon 的值为 4.0, minPoints 的值为 2。
[0118]步骤2.3，用选定的聚类算法基于第一步建立的模型聚类所有进程，并输出结果。
[0119]图13、图14、图15为进程间共享内存通信关联方法涉及的数据结构与流程图。流程步骤如下:
[0120]步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构。
[0121]步骤2:根据_EPR0CESS对象的属性VadRoot获取进程的VAD树的根节点的地址。VAD树中每个节点都是一个_MMVAD结构，它代表了内存分配给进程的某段虚拟地址空间，属性StartingVpn和EndingVpn表明了这段虚拟地址空间的起始和结尾地址。同时属性LeftChild和RightChild指出了该节点的左右孩子节点，用于构建整棵VAD树，具体见图6所示。
[0122]步骤3:对VAD树进行遍历。VAD节点可分为私有的(private)或映射的(mapped),遍历时筛选出映射型VAD节点。
[0123]步骤4:读取筛选得到的VAD节点结构_MMVAD中的属性ControlArea。这是一个指向_C0NTR0L_AREA结构的指针。_C0NTR0L_AREA结构代表的是VAD节点这段虚拟地址空间的控制信息，包含了这段虚拟地址空间拥有的文件、共享内存、缓存数据等等的指针，具体结构如图7所示。根据ControlArea值得到_C0NTR0L_AREA结构。
[0124]步骤5:读取_C0NTR0L_AREA的属性FilePointer。这是一个指向一个文件对象_FILE_0BJECT结构的指针。通过FilePointer值识别共享内存块，即:如果FilePointer的值为null，说明_C0NTR0L_AREA对象指向的是一块共享内存区。
[0125]步骤6:基于_C0NTR0L_AREA结构中_SEGMENT属性识别进程间共享内存关联。_SEGMENT的属性ul指向创建这个共享内存区的进程。若ul的值与起始测试进程地址不同，则说明测试进程与创建该共享内存的进程有通信。
[0126]图16为进程间文件通信关联所涉及流程。流程步骤如下:
[0127]步骤1:根据前文所述的进程与文件之间的自动关联方法将内存中的文件与进程关联起来。
[0128]步骤2:如果发现多个进程关联同一个文件，即可认为这些进程间存在文件通信关联关系。
[0129]图17为进程间管道通信关联所涉及流程。流程步骤如下:
[0130]步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构。
[0131]步骤2:读取_EPR0CESS的属性ObjectTable，根据其值获取进程的句柄表_HANDLE_TABLE0
[0132]步骤3:遍历_HANDLE_TABLE的属性HandleTableList指向的双向链接表。找到其中类型为命名管道的句柄，这些句柄就是进程对应的命名管道。
[0133]步骤4:获取命名管道的名称。
[0134]步骤5:将使用了同一个名称的命名管道的不同进程关联起来。
【权利要求】
1.一种基于数据关联的自动内存证据分析方法，其特征在于:借助关键数据结构分析以及聚类方法全面分析了进程、文件、用户、动态链接库等主要内存数据之间的各种关系；对于进程与其他信息之间，依次自动识别进程与文件关联、进程与动态链接库关联、进程与用户关联以及进程与网络报关联；对于进程与进程之间的关联，依次可自动识别进程间父子关联、进程间服务关联和进程间通信关联。
2.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是所述进程与文件之间的自动关联方法步骤如下: 步骤1:在内存中定位到每个需分析的文件对象； 步骤2:从对象基址向前0x018偏移量，读取每个文件对象的_OBJECT_HEADER对象；步骤3:读取_OBJECT_HEADER对象的HandleInfoOfTset属性，并根据其值获取文件对象的对应句柄信息； 步骤4:读取句柄信息的第一个字；其内容即为拥有该文件的进程对象的基地址； 步骤5:根据步骤4中获得的地址信息读取进程对象并建立进程与文件之间的关联。
3.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是进程与动态链接库(DLL)之间的自动关联方法具体步骤如下: 步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构； 步骤2:读取_EPR0CESS的属性ObjectTable，根据其值获取进程的句柄表_HANDLE_TABLE ； 步骤3:遍历_HANDLE_TABLE的属性HandleTableList指向的双向链接表；找到其中类型为File，名称的后缀是dll的句柄，这些句柄就是进程载入的动态链接库文件。
4.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是进程与用户之间的自动关联方法具体步骤如下: 步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构； 步骤2:根据_EPR0CESS中的属性Token值获取进程的_Τ0ΚΕΝ结构；进程的很多安全有关的信息都保存在_Τ0ΚΕΝ结构中，包括用户和组的安全标识符(SID)； 步骤3:读取_Τ0ΚΕΝ结构中记录的用户和组的安全标识符(SID)； 步骤4:基于Windows的系统通用安全标识符文档过滤掉通用标示符，余下的即是实际登陆用户的安全标识符； 步骤 5:在注册表中找到 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVers1n\ProfileList项,其中记录了所有用户的安全标识符； 步骤6:根据筛选后余下的非通用安全标示符的ProfilelmagePath属性即可提取出与其对应的用户名，从而可将进程与具体用户关联起来。
5.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是进程与网络信息之间的自动关联方法具体步骤如下: 步骤1:通过基于特征分析的扫描方法定位结构_TCPT_0BJECT，该结构在内存中出现时带有特殊的标识TCPT即0x54435054 ； 步骤2:根据_TCPT_0BJECT中的属性Pid将每个_TCPT_0BJECT关联到对应的进程； 步骤3:根据每个_TCPT_0BJECT的Next属性找到下一个TCP对象，重复步骤(2)。
6.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是进程间的父子关联方法具体步骤如下: 步骤1:找到内存中的所有进程；为识别隐藏进程，通过基于特征(Signature)的扫描技术扫描进程的池分配标记Proc，这样就能保证获取的进程完整； 步骤2:在内存中定位到每个需调查进程的_EPR0CESS结构； 步骤3: 读取_EPR0CESS中 的属性UniqueProcessId和InheritedFromUniqueProcessId,它们分别表示了进程自己的id和其父进程的id ;根据进程id之间的父子关系即可将进程以父子关系关联起来。
7.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是进程间的服务关联具体步骤如下: 方法一，基于名称相似度的进程间服务关联步骤: 步骤1:找到内存中的所有进程；为识别隐藏进程，通过基于特征(signature)的扫描技术扫描进程的池分配标记Proc，这样就能保证获取的进程完整； 步骤2:识别进程名称； 步骤3:找出所有名称中有相同的前缀或后缀的进程，并建立关联； 方法二，基于动态链接库的进程间服务关联具体步骤: 步骤1:根据前文所述的进程与动态链接库(DLL)之间的自动关联方法获取每个进程载入的动态链接库列表； 步骤2:根据进程及其动态链接库文件，使用无需事先指定聚类个数的聚类算法来对进程进行聚类；具体步骤如下: 步骤2.1，选择关键dll并用其建模每个进程；其中，关键DLL的选择原则是:首先，选择选取出现频度较高的dll ;其次，如果文件A出现，文件B和C必定会出现，那么在出现文件A的时候只需考虑A而不用考虑B和C ;建模进程的具体方法是:基于关键dll，将每个进程建模为一个η元组；其定义如下: 定义I若把η个关键dll组织成一个有序集合，那么每个进程对应的η-元组是一个由η个O或I组成的序列，其中I表示进程加载了对应序号的关键dll，O表示该进程未加载该dll ； 步骤2.2，为聚类算法设置合适的参数；例如:若选择DBSCAN算法，则可设置epsilon的值为4.0，minPoints的值为2 ； 步骤2.3，用选定的聚类算法基于第一步建立的模型聚类所有进程，并输出结果。
8.根据权利要求1所述的基于数据关联的自动内存证据分析方法，其特征是进程间的通信关联方法，包含共享内存通信、文件通信及管道通信的关联； 进程间共享内存通信关联方法具体步骤如下: 步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构； 步骤2:根据_EPR0CESS对象的属性VadRoot获取进程的VAD树的根节点的地址；VAD树中每个节点都是一个_MMVAD结构，它代表了内存分配给进程的某段虚拟地址空间，属性StartingVpn和EndingVpn表明了这段虚拟地址空间的起始和结尾地址；同时属性LeftChild和RightChild指出了该节点的左右孩子节点，用于构建整棵VAD树，具体见图6所示； 步骤3:对VAD树进行遍历；VAD节点可分为私有的(private)或映射的(mapped),遍历时筛选出映射型VAD节点； 步骤4:读取筛选得到的VAD节点结构_MMVAD中的属性ControlArea ;这是一个指向_C0NTR0L_AREA结构的指针；_C0NTR0L_AREA结构代表的是VAD节点这段虚拟地址空间的控制信息，包含了这段虚拟地址空间拥有的文件、共享内存、缓存数据等等的指针，具体结构如图7所示；根据ControlArea值得到_C0NTR0L_AREA结构； 步骤5:读取_C0NTR0L_AREA的属性FilePointer ;这是一个指向一个文件对象_FILE_OBJECT结构的指针；通过FilePointer值识别共享内存块，即:如果FilePointer的值为nu11，说明_C0NTR0L_AREA对象指向的是一块共享内存区； 步骤6:基于_C0NTR0L_AREA结构中_SEGMENT属性识别进程间共享内存关联；_SEGMENT的属性ul指向创建这个共享内存区的进程；若111的值与起始测试进程地址不同，则说明测试进程与创建该共享内存的进程有通信。 进程间文件通信关联方法步骤如下: 步骤1:根据前文所述的进程与文件之间的自动关联方法将内存中的文件与进程关联起来； 步骤2:如果发现多个进程关联同一个文件，即可认为这些进程间存在文件通信关联关系; 进程间管道通信关联方法具体步骤如下: 步骤1:在内存中定位到每个需调查进程的_EPR0CESS结构； 步骤2:读取_EPR0CESS的属性ObjectTable，根据其值获取进程的句柄表_HANDLE_TABLE ； 步骤3:遍历_HANDLE_TABLE的属性HandleTableList指向的双向链接表；找到其中类型为命名管道的句柄，这些句柄就是进程对应的命名管道； 步骤4:获取命名管道的名称； 步骤5:将使用了同一个名称的命名管道的不同进程关联起来。
【文档编号】G06F21/52GK104392171SQ201410696545
【公开日】2015年3月4日 申请日期:2014年11月27日 优先权日:2014年11月27日
【发明者】伏晓, 骆斌 申请人:南京大学