1.一種基于數據關聯的自動內存證據分析方法，其特征在于：借助關鍵數據結構分析以及聚類方法全面分析了進程、文件、用戶、動態鏈接庫等主要內存數據之間的各種關系；對于進程與其他信息之間，依次自動識別進程與文件關聯、進程與動態鏈接庫關聯、進程與用戶關聯以及進程與網絡報關聯；對于進程與進程之間的關聯，依次可自動識別進程間父子關聯、進程間服務關聯和進程間通信關聯。?

2.根據權利要求1所述的基于數據關聯的自動內存證據分析方法，其特征是所述進程與文件之間的自動關聯方法步驟如下：?

步驟1：在內存中定位到每個需分析的文件對象；?

步驟2：從對象基址向前0x018偏移量，讀取每個文件對象的_OBJECT_HEADER對象；?

步驟3：讀取_OBJECT_HEADER對象的HandleInfoOffset屬性，并根據其值獲取文件對象的對應句柄信息；?

步驟4：讀取句柄信息的第一個字；其內容即為擁有該文件的進程對象的基地址；?

步驟5：根據步驟4中獲得的地址信息讀取進程對象并建立進程與文件之間的關聯。?

3.根據權利要求1所述的基于數據關聯的自動內存證據分析方法，其特征是進程與動態鏈接庫(DLL)之間的自動關聯方法具體步驟如下：?

步驟1：在內存中定位到每個需調查進程的_EPROCESS結構；?

步驟2：讀取_EPROCESS的屬性ObjectTable，根據其值獲取進程的句柄表_HANDLE_TABLE；?

步驟3：遍歷_HANDLE_TABLE的屬性HandleTableList指向的雙向鏈接表；找到其中類型為File，名稱的后綴是dll的句柄，這些句柄就是進程載入的動態鏈接庫文件。?

4.根據權利要求1所述的基于數據關聯的自動內存證據分析方法，其特征是進程與用戶之間的自動關聯方法具體步驟如下：?

步驟1：在內存中定位到每個需調查進程的_EPROCESS結構；?

步驟2：根據_EPROCESS中的屬性Token值獲取進程的_TOKEN結構；進程的很多安全有關的信息都保存在_TOKEN結構中，包括用戶和組的安全標識符(SID)；?

步驟3：讀取_TOKEN結構中記錄的用戶和組的安全標識符(SID)；?

步驟4：基于Windows的系統通用安全標識符文檔過濾掉通用標示符，余下的即是實際登陸用戶的安全標識符；?

步驟5：在注冊表中找到HKLM/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ProfileList項，其中記錄了所有用戶的安全標識符；?

步驟6：根據篩選后余下的非通用安全標示符的ProfileImagePath屬性即可提取出與其對應的用戶名，從而可將進程與具體用戶關聯起來。?

5.根據權利要求1所述的基于數據關聯的自動內存證據分析方法，其特征是進程與網絡信息之間的自動關聯方法具體步驟如下：?

步驟1：通過基于特征分析的掃描方法定位結構_TCPT_OBJECT，該結構在內存中出現時帶有特殊的標識TCPT即0x54435054；?

步驟2：根據_TCPT_OBJECT中的屬性Pid將每個_TCPT_OBJECT關聯到對應的進程；?

步驟3：根據每個_TCPT_OBJECT的Next屬性找到下一個TCP對象，重復步驟(2)。?

6.根據權利要求1所述的基于數據關聯的自動內存證據分析方法，其特征是進程間的父子關聯方法具體步驟如下：?

步驟1：找到內存中的所有進程；為識別隱藏進程，通過基于特征(signature)的掃描技術掃描進程的池分配標記Proc，這樣就能保證獲取的進程完整；?

步驟2：在內存中定位到每個需調查進程的_EPROCESS結構；?

步驟3：讀取_EPROCESS中的屬性UniqueProcessId和InheritedFromUniqueProcessId，它們分別表示了進程自己的id和其父進程的id；根據進程id之間的父子關系即可將進程以父子關系關聯起來。?