公开(公告)号：CN112486922B

公开(公告)日：2022-12-06

申请号：CN202011389437.0

申请日：2020-12-02

申请人： 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

发明人： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC分类号： G06F16/16 ,  G06F16/17 ,  G06F16/18

摘要： 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。

公开(公告)号：CN112486922A

公开(公告)日：2021-03-12

申请号：CN202011389437.0

申请日：2020-12-02

申请人： 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

发明人： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC分类号： G06F16/16 ,  G06F16/17 ,  G06F16/18

摘要： 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。

公开(公告)号：CN115481397A

公开(公告)日：2022-12-16

申请号：CN202211062373.2

申请日：2022-08-31

申请人： 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

发明人： 李炳龙 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  张玉臣 ,  汪永伟 ,  李媛芳 ,  常朝稳

IPC分类号： G06F21/56

摘要： 本发明提供一种基于内存结构逆向分析的代码注入攻击取证检测方法与系统。该方法包括：步骤1：对内存映像文件进行预处理，得到物理内存页面集合P；步骤2：基于DLL特征在物理内存页面集合P中定位得到DLL代码模块物理内存页面集合Pe；步骤3：逆向重建虚拟内存空间以构建虚拟内存空间到物理内存空间的页面映射t；步骤4：根据页面映射t，计算用户空间页面集合Vu并逆向查找得到物理内存页面集合Pe对应的虚拟内存页面集合Ve；步骤5：逆向重建进程的LDR链表结构以获取DLL代码模块虚拟内存页面集合Vl；步骤6：比较虚拟内存页面集合Ve、用户空间页面集合Vu和DLL代码模块虚拟内存页面集合Vl，得到隐蔽的注入DLL代码模块虚拟内存页面集合Vh。

公开(公告)号：CN116611062B

公开(公告)日：2023-12-01

申请号：CN202310438918.3

申请日：2023-04-21

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 李炳龙 ,  张和禹 ,  暴占彪 ,  孙怡峰 ,  常禾雨 ,  胡浩 ,  张玉臣 ,  李媛芳 ,  常朝稳 ,  王清贤

IPC分类号： G06F21/56 ,  G06N3/0464 ,  G06N3/08 ,  G06F18/213 ,  G06F18/214 ,  G06F18/241

摘要： 本发明提供一种基于图卷积网络的内存恶意进程取证方法与系统。该方法包括：步骤1：逆向重建内存映像的虚拟内存空间；步骤2：根据重建的虚拟内存空间提取进程的内存转储，根据所述内存转储提取所述进程的函数调用图FCG；步骤3：生成进程的FCG中每个函数节点的特征向量，进而得到特征向量化后的FCG；步骤4：构建并训练基于图卷积网络的进程分类模型ProcGCN；步骤5：将进程对应的特征向量化后的FCG输入至训练好的ProcGCN，得到该进程FCG的良性或恶意分类结果。

公开(公告)号：CN116611062A

公开(公告)日：2023-08-18

申请号：CN202310438918.3

申请日：2023-04-21

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 李炳龙 ,  张和禹 ,  暴占彪 ,  孙怡峰 ,  常禾雨 ,  胡浩 ,  张玉臣 ,  李媛芳 ,  常朝稳 ,  王清贤

IPC分类号： G06F21/56 ,  G06N3/0464 ,  G06N3/08 ,  G06F18/213 ,  G06F18/214 ,  G06F18/241

摘要： 本发明提供一种基于图卷积网络的内存恶意进程取证方法与系统。该方法包括：步骤1：逆向重建内存映像的虚拟内存空间；步骤2：根据重建的虚拟内存空间提取进程的内存转储，根据所述内存转储提取所述进程的函数调用图FCG；步骤3：生成进程的FCG中每个函数节点的特征向量，进而得到特征向量化后的FCG；步骤4：构建并训练基于图卷积网络的进程分类模型ProcGCN；步骤5：将进程对应的特征向量化后的FCG输入至训练好的ProcGCN，得到该进程FCG的良性或恶意分类结果。

公开(公告)号：CN115481397B

公开(公告)日：2023-06-06

申请号：CN202211062373.2

申请日：2022-08-31

申请人： 中国人民解放军战略支援部队信息工程大学

发明人： 李炳龙 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  张玉臣 ,  汪永伟 ,  李媛芳 ,  常朝稳

IPC分类号： G06F21/56

摘要： 本发明提供一种基于内存结构逆向分析的代码注入攻击取证检测方法与系统。该方法包括：步骤1：对内存映像文件进行预处理，得到物理内存页面集合P；步骤2：基于DLL特征在物理内存页面集合P中定位得到DLL代码模块物理内存页面集合Pe；步骤3：逆向重建虚拟内存空间以构建虚拟内存空间到物理内存空间的页面映射t；步骤4：根据页面映射t，计算用户空间页面集合Vu并逆向查找得到物理内存页面集合Pe对应的虚拟内存页面集合Ve；步骤5：逆向重建进程的LDR链表结构以获取DLL代码模块虚拟内存页面集合Vl；步骤6：比较虚拟内存页面集合Ve、用户空间页面集合Vu和DLL代码模块虚拟内存页面集合Vl，得到隐蔽的注入DLL代码模块虚拟内存页面集合Vh。