(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210574426.2 (22)申请日 2022.05.25 (71)申请人 哈尔滨理工大 学 地址 150080 黑龙江省哈尔滨市南岗区学 府路52号 (72)发明人 翟继强　韩旭　孙海旭　王家乾　 (51)Int.Cl. G06F 21/56(2013.01) G06F 21/52(2013.01) G06F 9/445(2018.01) (54)发明名称 一种基于内存取证技术的代码注入攻击检 测方式 (57)摘要 本发明涉及一种基于内存取证技术的 Windows代码注入检测方法。 本发明首先有效区 分Windows  64位进程和WoW64进程； 然后基于遍 历进程堆栈 得到的函数返回地址以确定函数名、 模块名等信息； 然后将遍历堆栈 得到的信息结合 进程VAD结构来检测函数返回地址是否在VAD节 点范围内、 匹配堆栈信息中文件名与VAD结构中 的文件名以定位注入代码。 本发 明的方法能够有 效检测Windows代码注入， 辅助取证分析人员定 位内存中的代码注入攻击 。 权利要求书1页 说明书4页 附图2页 CN 115270119 A 2022.11.01 CN 115270119 A 1.基于内存取证技 术的代码注入攻击检测方法， 其特 征在于， 该 方法包括以下步骤： 步骤1： 将内存样本载入Vo latility取证框架并读取内存样本的配置文件信息 。 步骤2： 加载地址空间， 读取进程信息 。 步骤3： 解析进程线程调用堆栈并获取栈帧信息 。 步骤4： 将V AD节点信息与堆栈信息进行交叉验证并输出检测结果。 2.根据权利要求1所述的基于 内存取证技术的代码注入攻击检测方法， 其特征在于， 所 述步骤1中， 将内存样本载入取证框架并读取内存样本的配置文件信息， 具体步骤为： 步骤1‑1使用内存转储工具获取内存转储文件(.raw、 .dmp等)； 步骤1‑2使用Volatility取证框架判断内存样本配置信息版本(W in10、 Win7等)。 3.根据权利要求1所述的基于 内存取证技术的代码注入攻击检测方法， 其特征在于， 所 述步骤2中， 读取进程信息并加载地址空间， 具体步骤为： 步骤2‑1查找并解析进程环境快 数据结构_PEB； 步骤2‑2判断进程类型(x64或W oW64)； 步骤2‑3使用Volatility取证框架内部功能函数加载地址空间。 4.根据权利要求1所述的基于 内存取证技术的代码注入攻击检测方法， 其特征在于， 所 述步骤3中， 解析进程线程调用堆栈并获取栈帧信息， 具体步骤为： 步骤3‑1根据进程对象EPROC ESS对象获得进程线程执 行上下文结构； 步骤3‑2获取64位PE文件中的.pdata节作为RUNTIM E_FUNCTION结构； 步骤3‑3根据线程调用堆栈的栈帧指针寄存器 计算栈桢大小及函数返回地址 。 5.根据权利要求1所述的基于 内存取证技术的代码注入攻击检测方法， 其特征在于， 在 所述步骤4中， 将V AD节点信息与堆栈信息进行交叉验证， 具体过程 为： 步骤4‑1首先通过VAD节点中StaringVpn和EndingVpn字段确定函数返回地址在VAD树 中的位置， 若V AD节点被恶意软件 破坏则进行步骤4 ‑4； 步骤4‑2利用VAD节点中ControlArea字段获取函数返回地址所对应 的文件对象信息， 若ControlArea字段为空则进行步骤4 ‑4， 若ControlArea字段非空则进行步骤4 ‑5； 步骤4‑3判断函数返回地址所在的VAD节点中FileObject字段是否为空， 若空则输出对 应堆栈信息并标记为代码注入攻击； 步骤4‑4通过获取到的进程线程堆栈信 息过滤该函数返回地址所对应的函数名是否为 敏感函数， 若是则输出对应堆栈信息并标记为代码注入攻击； 步骤4‑5匹配进程VAD信息中获取的文件对象和堆栈分析中获取的文件对象， 若不一致 则输出对应堆栈信息并标记为代码注入攻击 。权　利　要　求　书 1/1 页 2 CN 115270119 A 2一种基于内存取证技术的代码注入攻 击检测方式 技术领域： [0001]本发明涉及一种基于内存取证技术的Windows  x64代码注入攻击检测方法， 该方 法在内存取证领域中对于W indows x64代码注入攻击检测方面有着很好的应用。 背景技术： [0002]操作系统或应用程序执行的每项操作都会导致对计算机内存(RAM)进行特定的修 改， 这些修改通常会在操作后 持续很长时间并且会保留在系统中， 因此关键数据通常只存 在于内存中， 例如磁盘加密密钥、 内存驻留注入的代码片段、 记录外的聊天信息、 未加密的 电子邮件信息和不可缓存的互联网历史记录等。 内存取证是对计算机系统的物理内存内容 进行分析的技术， 以得出诸如故障或恶意活动来源等信息。 此外， 内存取证为系统所运行的 状态提供了可见性， 例如哪些进程正在运行、 打开的网络连接以及最近执行的命令。 在获取 内存转储文件之后可以独立于目标系统进行取证分析， 从而减少恶意软件或rootkit干扰 结果的可能性。 [0003]恶意软件利用代码注入在另一个进程的上下文中执行操作。 通过这样做， 恶意软 件可以迫使一个合法的进程以其名义执行操作， 例如下载额外的木马程序或从系统中窃取 信息。 攻击者可以通过多种方式将代码注入进程， 比如直接写入远程进程的内存， 或者添加 一个注册表键， 使新进程加载攻击者选择的DLL等。 近年来， 防范和检测CIA一直被广泛关 注， 开放Web应用程序安全项目(Open Web  Application  Security  Project， OWASP)评估了 十大Web应用程序安全风险， 其中CIA技术名列首位。 随着Win dows 10x64的普及， 对代码注 入技术产生了一定影响。 随着物理内存大小的增加， 取证人员需要对每个案例分析 的数据 量越来越大， 增加 了安全事件响应所需的周转时间。 因此， 在Windows取证过程中识别64位 代码注入攻击是至关重要的。 发明内容： [0004]为了辅助取证分析人员定位代码注入攻击的内存区域， 本发明公开了一种基于内 存取证技 术的Windows x64代码注入攻击检测方法。 [0005]为此， 本发明提供了如下技 术方案： [0006]1.基于内存取证技术的Windows  x64代码注入攻击检测方法， 其特征在于， 该方法 包括以下步骤： [0007]步骤1： 将内存样本载入Vo latility取证框架并读取内存样本的配置文件信息 。 [0008]步骤2： 加载地址空间， 读取进程信息 。 [0009]步骤3： 解析进程线程调用堆栈并获取栈帧信息 。 [0010]步骤4： 将V AD节点信息与堆栈信息进行交叉验证并输出检测结果。 [0011]2.根据权利要求1所述的基于内存取证技术的Windows  x64代码注入攻击检测方 法， 其特征在于， 所述步骤1 中， 将内存样本载入 取证框架并读取内存样 本的配置文件信息， 具体步骤为：说　明　书 1/4 页 3 CN 115270119 A 3