通過交叉驗證堆棧和VAD信息檢測Windows代碼注入

打開文本圖片集

摘  要：Windows 32/64位代碼注入攻擊是惡意軟件常用的攻擊技術(shù)，在內(nèi)存取證領(lǐng)域，現(xiàn)存的代碼注入攻擊檢測技術(shù)在驗證完整性方面不能處理動態(tài)內(nèi)容，并且在解析內(nèi)存中數(shù)據(jù)結(jié)構(gòu)方面無法兼容不同版本的Windows系統(tǒng)。因此提出了通過交叉驗證進程堆棧和VAD信息定位注入代碼方法，將基于遍歷棧幀得到的函數(shù)返回地址、模塊名等信息結(jié)合進程VAD結(jié)構(gòu)來檢測函數(shù)返回地址、匹配文件名以定位注入代碼，并且研發(fā)了基于Volatility取證框架的Windows代碼注入攻擊檢測插件codefind。（剩余14846字）