技術領域

本發明涉及一種獲取對象信息的方法，更具體的說，尤其涉及一種從64位Windows10操作系統的內存鏡像文件中獲取對象信息的方法。本方法將應用于計算機取證領域，主要用于信息安全事件和各類計算機犯罪案件的調查取證。

背景技術

計算機物理內存中存在某些能描述系統遭受攻擊時所處狀態的信息，如進程信息、每個進程開啟的線程信息、打開的文件信息、網絡連接信息等。這些信息隨著計算機系統的關機而消失。因此，對獲取計算機物理內存在計算機取證方面尤為重要。為推進物理內存分析技術的發展，DFRWS（Digital Forensic Research Workshop）于2005年推出了名為“Forensics Challenge”的活動，活動的主題就是物理內存分析。從此，對于物理內存的分析和獲取成為計算機取證的研究熱點，內存分析工具支持到Windows 7的內存鏡像文件分析，對目前新推出的64位windows10系統內存鏡像文件分析尚不支持。隨著計算機硬件水平的不斷發展提高，目前大多數計算機都具備4G以上內存空間，并支持64位操作系統，因此對64位windows 10操作系統的內存鏡像文件分析工作迫在眉睫。

在內存鏡像文件分析工作中，進程打開的文件信息、系統運行日志信息、用戶ntHash值的獲取、注冊表信息、系統日志信息等關系系統惡意代碼分析或敏感信息分析的重要信息獲取都依賴于系統對象信息的獲取，只有分析出了系統對象信息，才能進一步獲取以上信息。然而，對64位Windows 10操作系統來說，使用以往64位Windows 8操作系統及以下版本的對象信息獲取方法來獲取其對象信息是完全不可行的。

發明內容

本發明為了克服上述技術問題的缺點，提供了一種從64位Windows10操作系統的內存鏡像文件中獲取對象信息的方法。

本發明的從64位Windows10操作系統的內存鏡像文件中獲取對象信息的方法，其特別之處在于，通過以下步驟來實現：a).查找非系統進程，采用遍歷進程鏈表的方式，當進程的id≠0且id≠4時，則該進程為非系統進程，并獲取其進程結構體變量_Eprocess；b).獲取對象句柄表的值，根據步驟a)中的進程結構體變量_Eprocess獲取結構體中的對象句柄表ObjectTable變量的值；c).獲取對象句柄表的位置，根據對象句柄表ObjectTable值的最后一個字節確定對象句柄表的級數，并確定出對象句柄表在內存鏡像文件中的位置；d).獲取對象頭指針的地址，根據步驟c)中確定的對象句柄表的位置，遍歷對象句柄表，分析對象句柄表表項結構，獲取對象頭指針ObjectHeader的地址；e).獲取對象類型，根據步驟d)中獲取的對象頭指針ObjectHeader的地址，獲取對象的類型；f).對象類型的判斷，判斷步驟e)中所獲取的對象類型，對于對象類型不是File和IoCompletion的對象，獲取其nameInfo結構體；g).獲取對象名稱及類型，根據步驟f)中所獲取的nameInfo結構體，遍歷對象鏈表，獲取鏈表中對象的名稱及類型。

本發明的從64位Windows10操作系統的內存鏡像文件中獲取對象信息的方法，步驟c)所述的獲取對象句柄表位置的方法為：首先，根據_Eprocess進程結構體的內容，獲取對象句柄表ObjectTable的地址，并獲取對象句柄表ObjectTable；然后，分析進程句柄表的結構“_handle_table”，獲取其中“TableCode”變量的值，這個值的低2位記錄著對象句柄表的級數；

如果低2位的值為0，說明句柄表只有一級，此時“TableCode”變量的值就是對象句柄表的地址，句柄表是由所有內核對象指針組成的表；如果低2位的值為1，說明句柄表有兩級，“TableCode”變量的值指向第一級句柄表，第一級句柄表里存儲指向第二級句柄表的指針，第二級句柄表才是所有內核對象指針組成的表。

本發明的從64位Windows10操作系統的內存鏡像文件中獲取對象信息的方法，步驟d)中所述的對象頭指針的地址通過公式（1）進行求取：

ObjectHeaderVal= (((HandleTableEntryVa>>20)&0xFFFFFFFFFFF)<<4) + 0xFFFF000000000000； （1）