本申請公開了一種Pico進程對象取證方法、裝置、設備及存儲介質，涉及計算機取證領域，包括：掃描目標內存池，并判斷目標內存池是否滿足第一判斷條件；若滿足第一判斷條件，則遍歷目標內存池中的待判定進程對象，根據第二判斷條件判斷遍歷到的當前待判定進程對象是否為Pico進程對象；若當前待判定進程對象為Pico進程對象，則獲取當前待判定進程對象的目標取證數據，并將目標取證數據保存至預設存儲器；若當前待判定進程對象不是Pico進程對象，則重新跳轉至遍歷目標內存池中的待判定進程對象的步驟，直到所述目標內存池中的所有待判定進程對象均遍歷完畢。這樣一來，可以通過判斷內存池中的對象是否滿足條件來確定Pico進程對象，以實現對Pico進程對象的取證。

技術領域

本發明涉及計算機取證領域，特別涉及一種Pico進程對象取證方法、裝置、設備及存儲介質。

背景技術

隨著計算機系統的不斷發展，各種類型的惡意軟件也不斷地涌現，在Windows10系統新增設的WSL(Windows?Subsystem?for?Linux，適用于Linux的Windows子系統)機制出現不久，便出現了對應的Bashware惡意軟件，這些軟件與傳統惡意軟件相比功能相似，但由于Pico進程不具有傳統NT進程的典型特征，因此Pico進程能夠輕松繞過安全產品的檢測。由此可見，對Pico進程內部數據的探究，能夠將分析方法集成到安全產品中，能夠擴大其檢測范圍，并能夠輔助安全研究人員解決由WSL引入的新的安全問題。

現有技術中針對Windows10系統中的傳統NT進程的分析方法較為全面，能夠有效定位Windows?10系統中的進程堆、棧、線程、動態鏈接庫等信息，對于傳統的NT進程中的數據能夠有效提取，但是現有技術目前還無法兼容Pico進程，無法對Pico進程對象的數據進行取證。

發明內容

有鑒于此，本發明的目的在于提供一種Pico進程對象取證方法、裝置、設備及存儲介質，可以通過判斷內存池中的對象是否滿足條件來確定Pico進程對象，然后對Pico進程相關的內核文件進行逆向分析，找出與Pico進程有關的數據和函數，然后獲取Pico進程的線程、句柄、共享庫等進程數據，得到Pico進程的關鍵數據，以完成針對Pico進程對象的取證。其具體方案如下：

第一方面，本申請公開了一種Pico進程對象取證方法，包括：

掃描目標內存池，并判斷所述目標內存池是否滿足第一判斷條件；

若滿足所述第一判斷條件，則遍歷所述目標內存池中的待判定進程對象，根據第二判斷條件判斷遍歷到的當前待判定進程對象是否為Pico進程對象；

若所述當前待判定進程對象為Pico進程對象，則獲取所述當前待判定進程對象的目標取證數據，并將所述目標取證數據保存至預設存儲器，并判斷遍歷是否完成；

若所述當前待判定進程對象不是Pico進程對象，則重新跳轉至所述遍歷所述目標內存池中的待判定進程對象的步驟，直到所述目標內存池中的所有待判定進程對象均遍歷完畢。

可選的，所述掃描目標內存池，并判斷所述目標內存池是否滿足第一判斷條件，若滿足則遍歷所述目標內存池中的若干待判定進程對象，包括：

基于預設掃描方式掃描所述目標內存池；所述預設掃描方式為以雙字節為單位的掃描方式；

判斷所述目標內存池的地址是否滿足預設目標地址；

判斷所述目標內存池的內存大小是否滿足預設有效范圍；

判斷所述目標內存池的地址池類型是否滿足預設地址池類型；

若均滿足，則對所述目標內存池中的所述若干待判定進程對象進行遍歷。

可選的，所述根據第二判斷條件判斷遍歷到的當前待判定進程對象是否為Pico進程對象，以確定目標判斷結果，包括：