通过交叉验证堆栈和VAD信息检测Windows代码注入

打开文本图片集

摘  要：Windows 32/64位代码注入攻击是恶意软件常用的攻击技术，在内存取证领域，现存的代码注入攻击检测技术在验证完整性方面不能处理动态内容，并且在解析内存中数据结构方面无法兼容不同版本的Windows系统。因此提出了通过交叉验证进程堆栈和VAD信息定位注入代码方法，将基于遍历栈帧得到的函数返回地址、模块名等信息结合进程VAD结构来检测函数返回地址、匹配文件名以定位注入代码，并且研发了基于Volatility取证框架的Windows代码注入攻击检测插件codefind。（剩余14846字）