【摘 要】
:
电子数据取证领域,一些恶意程序通过删除PE可执行文件头部后将其复制到具有执行保护权限内存页面的方式躲避取证人员的检验.文章针对文件头被恶意删除的PE可执行文件分析后,提出一种通过分析存储在具有保护权限的内存页面中的进程Section表的方法,检测头被恶意删除的可执行文件.首先通过特征元素选择出虚拟地址描述符(VAD)中具有执行保护的non-private页面,这些页面很可能存储有恶意代码.然后对相应Section表中的Section头标识进行检索,并计算它们之间的偏移间隔是否为Section头大小的倍数以
【机 构】
:
重庆警察学院,重庆 401331;西南大学,重庆 400715;重庆警察学院,重庆 401331;天津大学,天津 300072
论文部分内容阅读
电子数据取证领域,一些恶意程序通过删除PE可执行文件头部后将其复制到具有执行保护权限内存页面的方式躲避取证人员的检验.文章针对文件头被恶意删除的PE可执行文件分析后,提出一种通过分析存储在具有保护权限的内存页面中的进程Section表的方法,检测头被恶意删除的可执行文件.首先通过特征元素选择出虚拟地址描述符(VAD)中具有执行保护的non-private页面,这些页面很可能存储有恶意代码.然后对相应Section表中的Section头标识进行检索,并计算它们之间的偏移间隔是否为Section头大小的倍数以检验Section表特征.另外,文章将提出的算法实现为可以在内存取证工具Volatility 3框架中执行的插件,并通过使用该插件分析被Ursnif恶意软件感染的内存数据,以检验其有效性.
其他文献
随着我国“互联网+政务服务”的发展,传统的政务服务模式发生改变,移动应用深入到政务服务的方方面面,在带来高效便利的同时,也带来了安全风险.从政务APP的特征、移动恶意程序、权限过度使用、盗版仿冒等方面分析了政务APP的安全现状;统计分析了政务APP的安全漏洞;并着重分析了敏感信息泄露、内容篡改、第三方关联交易认证3个典型风险场景.最后从安全开发意识、安全检测规范、发布渠道管理等方面给出了应对政务APP安全风险的建议.对我国政务移动应用的健康发展具有一定的参考意义.
智能电网中的安全系统除了要实现普通应用系统的功能外,还要保证它所管理资源的安全性,包括保密性、完整性和可用性等.相较于其他编程语言,C++更接近操作系统底层,可以实现一些对性能有较高要求的底层算法,同时正是由于C++能够直接控制系统资源的分配和使用,这就为内存泄露埋下了隐患.提出一种基于电网操作系统中数据流分析进行内存泄露检测的方法,主要研究目标是提取目标代码或源程序的数据流,并利用数据流对其分析,实现内存泄露的检测.经过实验表明,提出的方法能够对由C++指针使用不当造成的内存泄露进行有效的检测,在自动化
信息技术在给人们带来便利的同时也带来了不少安全隐患,安全隐患的堆积倒逼着人们安全意识的提高,从而意识到网络安全是社会安全不可或缺的部分,是国家安全重要的组成部分.安全风险评估为网络安全程度提供重要的预判依据,其中安全风险评估标准是强大的理论支撑.但是安全风险评估标准落地还需要细化,为更加客观地落实GB/T 31509-2015信息安全风险评估实施指南,研读信息安全风险评估理论知识,遵照风险评估流程指引,在等级保护2.0的基础上,设计了信息安全风险评估模型.通过对信息化资产、存在的脆弱性和潜在威胁进行分层解
综合性集团往往涉及行业较多,旗下各行业网络安全水平参差不齐,网络安全水平统一评价工作经常难以开展.为解决这一问题,尝试站在综合性集团网络安全管理者的角度,分析了建立网络安全水平评价体系的意义、难点和思路,进而在已有的研究文献基础上,探索建立了跨行业网络安全3层指标体系及评价体系.通过在5家单位的试点应用,验证了指标体系、评价体系的合理性和可行性,并针对试点单位情况,提出了增进网络安全能力建设的意见,也为综合性集团的网络安全水平评价工作提供了参考.
在企业业务运行过程中会产生大量的数据,这些数据以事件日志的方式进行保存.通过对事件日志的采集、处理和分析可以支持对业务过程的挖掘、监控和优化.然而,原始的事件日志因含有各种类型的数据质量问题而无法直接应用于过程挖掘与分析.尽管目前在数据挖掘领域已提出各种数据预处理方法进行数据过滤,但由于业务过程事件日志中事件信息的序列化、动态化以及传递性等特点不同于普通数据,所以无法简单地应用传统的数据预处理方法对事件日志进行预处理.本文对事件日志数据预处理的研究现状进行了系统化的总结,分析了事件日志数据预处理技术面临的
针对恶意软件检测领域存在特征选择与模型参数调优难度大的问题,文章提出一种基于改进哈里斯鹰(Improved Harris Hawks Optimization,IHHO)算法同步优化特征选择的恶意软件检测方法.首先,将自适应精英反向学习策略、正余弦位置更新方式、circle混沌能量因子以及随机维度量子旋转门变异策略引入HHO算法,增强其全局探索和局部开发能力,提升算法收敛精度和稳定性.然后,采用IHHO同步优化极端梯度提升树分类算法参数及特征选择,构建基于网络流量特征的恶意软件检测模型.最后,使用改进算法
电信网络诈骗是典型的非接触式犯罪,防控工作应侧重对受害人特征的分析.现有研究成果多为针对受害人单一特征进行的研究,且依赖案件数量较少,难以全面深入反映特征规律,应用性较弱.文章将电信网络诈骗受害人的自身特征与案件特征作为指标构造贝叶斯网络,建立受害人特征分析模型,进而从案件类型出发,分析易受骗人群;从特征人群出发,分析受骗类型.
目前信息安全是计算机领域内讨论热烈的话题,为了让计算机使用者和管理者更好地对自己的文件数据进行保护,文章提出了一种电子文件保密机制,设计了基于对称加密算法的数字文件保密柜,用以保护本地文件内容不受到未经授权者的非法获取.数字文件保密柜为用户提供一种较为安全的保护机制,在用户透明地读写文件的同时对文件进行加密保护,且位于数字文件保密柜中的文件只可在本地计算机使用,异地使用则发生错误,防止敏感文件被恶意复制与传输.数字文件保密柜节省了用户对文件的安全管理,简化了一般加密软件的使用过程,提供了良好的抗破解性能.
文章提出一种基于离散空间轨迹矩阵分析的重点人员伴随关系挖掘方法,针对离散空间轨迹构建人与地址的映射矩阵,通过对人员地址关系矩阵进行关联分析识别伴随关系,针对离散时空轨迹构建基于有效距离判定的伴随关系挖掘模型,通过距离、时间、空间等特征对重点人员进行伴随关系挖掘.实验结果表明,基于离散空间轨迹矩阵分析方法可以快速识别人群中存在伴随关系的人,且在给定某个重点人员的情况下,可以快速找到与之存在伴随关系的人群,并对这些人的伴随次数进行排序,便于安防人员溯源和追踪;伴随人的数量与有效距离在一定程度上成正比,伴随次数
Checkm8漏洞是一种基于iPhone手机固件强制升降机模式的硬件漏洞.在电子数据取证工作中,针对未知锁屏密码的iPhone手机检材,文章提出一种利用Checkm8漏洞绕过密码验证提取iPhone手机数据的方法,并通过实验演示了漏洞利用、证据数据挖掘与提取、数据解密分析与证据展示.同时利用堆漏洞对锁屏状态下的iPhone手机进行最高权限提升,获取端口通信权限与数据提取传输权限,解决了密码缺失情况下数据提取问题.