哈尔滨理工大学翟继强获国家专利权
买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
龙图腾网获悉哈尔滨理工大学申请的专利一种基于计算机内存取证技术的代码签名验证方法获国家发明授权专利权,本发明授权专利权由国家知识产权局授予,授权公告号为:CN113761595B 。
龙图腾网通过国家知识产权局官网在2025-07-29发布的发明授权授权公告中获悉:该发明授权的专利申请号/专利号为:202111069279.5,技术领域涉及:G06F21/64;该发明授权一种基于计算机内存取证技术的代码签名验证方法是由翟继强;孙宏泰;赵洛平设计研发完成,并于2021-09-13向国家知识产权局提交的专利申请。
本一种基于计算机内存取证技术的代码签名验证方法在说明书摘要公布了:本发明涉及一种基于计算机内存取证技术的代码签名验证方法。本发明首先对计算机物理内存建立转储文件;然后利用Volatility取证框架获取操作系统版本和配置文件信息;在操作系统版本和配置文件信息支持下识别内存可移植可执行PortableExecutable,PE文件;如果识别出的PE文件中包含数字证书,则验证证书。本发明的内存代码签名验证方法能够有效验证内存中的代码签名,辅助取证分析人员验证内存中PE文件的可靠性。
本发明授权一种基于计算机内存取证技术的代码签名验证方法在权利要求书中公布了:1.基于计算机内存取证技术的代码签名验证方法,其特征在于,该方法包括以下步骤: 步骤1:通过硬件接口或软件获取计算机物理内存的转储文件; 步骤2:将内存转储文件载入Volatility取证框架并查找与之匹配的操作系统版本和配置文件,根据配置文件确定系统版本内核,识别内存转储文件的内存布局; 步骤3:使用池标记扫描技术扫描内存的文件对象; 步骤4:基于文件对象重构内存中的PE文件,具体过程为: 步骤4-1首先初始化二进制文件f作为PE文件的载体; 步骤4-2通过文件对象的SectionObjectPointer成员获取_CONTROL_AREA结构,在其偏移0x48位置处获取_SUBSECTION结构; 步骤4-3通过_SUBSECTION结构的SubsectionBase获取记录内存各个页面信息的PTE; 步骤4-4将有Valid和Transition标志位的PTE页面写入二进制文件f; 步骤5:验证PE文件及代码签名。
如需购买、转让、实施、许可或投资类似专利技术,可联系本专利的申请人或专利权人哈尔滨理工大学,其通讯地址为:150080 黑龙江省哈尔滨市南岗区学府路52号;或者联系龙图腾网官方客服,联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。
开放平台
担保交易
惠及多方
会员特惠
专属平台
适合多方
数据共享
功能齐全
皖公网安备 34010402703815号