基于图匹配和链表导向的内核数据结构取证技术.pdf.pdfVIP

2012(第五届)全国网络与信息安伞学术会议优秀论文 Telecom market 基于图匹配和链表导向的内核数据结构取证技术 王 浩 陈 平 茅 兵 (软件新技术国家重点实验 南京大学计算机科学与技术系 南京 210046) 摘 要：从内存镜像中识别内核数据结构的技术广泛应用于安全领域，具有非常重要的作用。 当前的一种重要取证方法即指针指向图Signature存在void指针、NULL指针、同构等问题。 针对这些问题，提出了一种新的内核数据结构取证方法 该取证方法区分双向链表指针与 一 般指针，在Signature的构造过程中优先选择双向链表指针。与以前的技术相 比，依据新 取证方法构建的识别器具有识别精度高、识别速度快、鲁棒性强等优点。 关键词：内存分析，数据结构，安全，内存取证 GraphM atchin~andLinkedListBasedKernelData StructuresForensicTechnology WANG Hao CHEN Pin MAOBing (StateKeyLabo