【技术实现步骤摘要】
基于Dumplt和volatility的内存取证分析方法、装置及存储介质
[0001]本专利技术涉及计算机内存取证领域,特别涉及一种基于Dumplt和 volatility的内存取证分析方法、装置及存储介质。
技术介绍
[0002]内存取证(MemoryForensics)通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据。内存是操作系统及各种软件交换数据的区域,数据易丢失,通常在关机后数据很快就消失。
[0003]内存取证大致分为两种方式,一是在主机存活时发现系统被入侵,然后直接把机器的运行内存dump下来,对运行内存进行分析,还原一些进程中的信息,分析获取有价值的数据。另一种是对机器做镜像之后进行分析,分析镜像分析镜像是否存在恶意程序。不管是哪种取证方式都应尽量避免破坏现场,例如通过内存转储工具对内存进行快照,通过磁盘克隆工具对磁盘进行克隆,方便后期的分析工作。内存取证为应对各种各样的复杂场景,方式各不相同,然而现有内存取证的方式往往需要特定的环境与设备条件下才能完成内存...
【技术保护点】
【技术特征摘要】
1.一种基于Dumplt和volatility的内存取证分析方法,其特征在于,所述方法包括:建立与目标设备的连接关系,通过Dumplt获取目标设备的内存镜像;基于volatility取证框架对获取到的内存镜像进行镜像内容分析得到威胁特征集;基于得到的威胁特征集建立内存取证分析模型,其中,所述内存取证分析模型用于对获取的信息进行内存取证分析。2.根据权利要求1所述的方法,其特征在于,所述通过Dumplt获取目标设备的内存镜像,包括:将所述内存镜像部署于usb闪存盘。3.根据权利要求1所述的方法,其特征在于,在通过Dumplt获取目标设备的内存镜像之后,还包括:通过MemProFS对所述内存镜像进行检测得到内存镜像详细信息,并将所述内存镜像详细信息挂载于dokany文件系统。4.根据权利要求1所述的方法,其特征在于,所述基于得到的威胁特征集建立内存取证分析模型,包括:通过对源代码进行修改和/或扩展功能集成库文件。5.根据权利要求1所述的方法,其特征在于,所述目标设备为windows系统,所述vola...
【专利技术属性】
技术研发人员:刘庆林,李宁,刘正伟,魏海宇,谢辉,安恩庆,刘刚,李小琼,康柏荣,王鲲,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。