{“状态”：“确定”，“消息类型”：“工作”，“信息版本”：“1.0.0”，“邮件”：{“索引”：{-“日期-部件”：[[2024,6,23]]，“日期-时间”：“2024-06-23T19:12:33Z”，“时间戳”：1719169953429}，“引用-计数”：75，“发布者”：“MDPI AG”，“问题”：“3”，“许可证”：[{“开始”：{-date-parts”：[2022,7,20]]，”日期-时间“：”202 2-07-20T00:00:00Z“，”时间戳“：1658275200000}，“content-version”：“vor”，“delay-in-days”：0，“URL”：“https:\/\/creativecommons.org\/licenses\/by\/4.0\/”}]，“出资人”：[{“DOI”：“10.13039\/1000000015”，“名称”：“美国能源部”，“DOI-asserted-by”：“publisher”，“奖项”：[“DE-AC52-07NA27344”]}]，”content-domain“：{”domain“:[]，”crossmark-restriction“：false}，”短集装箱标签“：[“JCP”]，“摘要”：“易失性记忆的收集和分析是网络安全领域一个活跃的研究领域。不断发展和增长的威胁环境正趋向于无文件恶意软件，这种恶意软件可以避免传统检测，但可以通过检查系统\u2019的随机访问内存（RAM）来发现。此外，易失性内存分析可以深入了解其他恶意向量。它包含加密文件\u2019内容的片段，以及正在运行的进程、导入的模块和网络连接的列表，所有这些都很难或不可能从文件系统中提取。由于这些令人信服的原因，最近的研究工作集中于收集内存快照以及分析它们是否存在恶意软件的方法。然而，据我们所知，目前还没有任何评论或调查将记忆获取和分析的研究系统化。我们通过探索最先进的易失性内存获取和恶意软件识别分析工具和技术来填补这一空白。对于内存获取方法，我们探讨了许多技术在快照质量、性能开销和安全性之间的权衡。对于记忆分析，我们研究了使用的传统取证方法，包括基于签名的方法、在沙箱环境中执行的动态方法以及基于机器学习的方法。我们总结了当前可用的工具，并提出了需要进一步研究的领域<\/jats:p>“，”DOI“：”10.3390\/jcp2030028“，”type“：”期刊文章“，”created“：｛”日期部分“：[[2022,7,20]]，”日期时间“：”2022-07-20T15:22:24Z“，”时间戳“：1658330544000｝，”page“：”556-572“，”source“：”Crossref“，”由count引用“：6，”title“：[”挥发性内存取证学的演变“]，”prefix“：”10.3390“，”volume“：”2“，”author“：[｛”给定“：”汉娜“，”family“：”Nyholm“，”sequence“：”first“，”affiliation“：[]}，”{“given”：“Kristine”，”family”：“Monteith”，“sequence”：“additional”，“affiliance”：[]{“给定的”：“Seth”，“家族”：“Lyles”，“序列”：“additional”、“从属关系”：[]}，“family”：“DeSantis”，“sequence”：“additional“，”affiliation“：[]}，{“given”：“John”，“family”：“Donaldson”，“sequence”：“additional”，“affiliance”：[]neneneep，{”given“：”Claire“，”family“：”Taylor“，”sequence“：”additional2021年网络攻击：去年的统计数字\nhttps:\/\/spaning.com/blog\/Cyberattacks-2021-phishing-ransomware-data-breach-Statistics\/“}，{“key”：“ref2”，“unstructured”：“什么是无文件恶意软件？\nhttps:\\/\www.trellix.com\/en-us\/security-aware\/transomware\/What-Is-Fileless-Malware.html”}，“key“：”ref3“，”unstructure“：”新研究：无文件恶意软件攻击激增900%，加密矿工卷土重来，当勒索软件攻击拒绝时\nhttps:\/\/www.globenewswire.com/news-release\/2021\/03\/30\/2201173\/0\/en\/New-Research-Fileless-Malware-Attacks-Surge-by-900-and-Cryptominers-Make-a-Comeback-While-Ransomeware-Attachs-Decline.html#：~：text=Amering%20its%20most%20notificated%20发现，在%2020%20中与%202019比较%20”}，{“key”：“ref4”，“doi-asserted-b”y“：”publisher“，”DOI“：”10.1016\/j.diin.2019.01.001“}，{”key“：”ref5“，”DOI-asserted-by“：”publisher-019-0043-x“}，{”key“：”ref8“，”DOI-asserted-by“：”publisher“，”DOI“：”10.1145\/3230833.3232810“}，{“key”：“ref9”，“doi-asserted-by”：“publisher”，“doi”：“10.1109\/CSITSS.2018.8768769”}，}，“key“：”ref10“，”doi-assert-by“：”publisher“，”doi“：”10.1016\/j.diin.2016.12.004“}05“}，{“key”：“ref12”，“doi-asserted-by”：“publisher”，“doi”：“10.1145\/3310355”}key“：”ref13“，”doi-asserted-by“：”publisher“，”doi“：”10.1109\/PASSAT\/SocialCom.2011.68“}，{“key”：“ref14”，“doi-assert-by”：“publisher”，“doi”：“10.1016\/j.diin.2013.06.012”}，}“key”：“ref15”，“article-title”：“Lime-linux内存提取器”，“author”：“Sylve”，“journal-title“：”第七届ShmooCon会议论文集“}，{“key”：“ref16”，“unstructured”：“ProcDump v10.11\nhttps:\/\/docs.microsoft.com/en-us\/sysinternals\/downloads\/ProcDump“}，{“key”：“ref17”，“首页”：“71”，“article-title”：“A Study:隐藏文件的挥发性取证”，“volume”：”2“，”author“：”Safitri“，”year“2013”，”journal-title“：”Int.J.Sci.Res.“}”，{”key“：”ref18“，”unstructured“：”挥发性\nhttp://github.com/volatilityfoundation\/Volatility“}，{“key”：“ref19”，“unstructured”：“GDB\nhttp://www.sourceware.org\/GDB\/”}，“key“：”ref20“，”unstructure“：”WinDbg\nhttps:\/\/docs.microsoft.com/en-us\/windows-hardware\/drivers\/debugger\/“}、{“key”：”ref21“，”非结构化“：”Visual Studio\nhttps:\/\/docs.microsoft.com/en-us\/visualstudio\/debugger\/using-dump-files？view=vs-2022“}，{”key“：”ref22“，”unstructured“：”VMWare\nhttps:\/\/www.VMWare.com/“}、{”密钥“：”ref23“，”非结构化“：”LibVMI\nhttps:\/\/github.com/LibVMI\/LibVMI“}，“作者”：“Martignoni“，”年份“：“2010”}，{“key”：“ref25”，“doi-asserted-by”：“publisher”，“doi”：“10.1016\/j.diin.2012.04.002”}、{“key”：”ref26“，”doi-assert-by“：”publisher“，”doi“：”10.1016\/j.ins.2016.07.019“}，”{“密钥”：“ref27”，“非结构化”：“为基于UEFI的平台构建可靠的SMM后门\nhttp:\/\/blog.cr4.sh\/2015\/07\/Building-Reliable-SMM-Backdoor-for-UEFI.html“}，{“key”：“ref28”，“unstructured”：“PCILeech\nhttps:\/\/github.com\/ufrisk\/PCILeech”}，}“key”：“ref29”，“非结构化”：“Inception\nhttps://github.com/carmaa/Inception”}30“，”doi-asserted-by“：”publisher“，”DOI“：”10.1145\/3176258.3176325“}，{“key”：“ref31”，“article-title”：“对抗恶意软件使用的创新沙盒回避技术”，“author”：“Besler”，“year”：“2017”，“journal-title“：”第29届第一届年会会议记录“}”，{”key“：”ref32“，”unstructured“：”Rekall\nhttps:\/\/github.com\/google\/Rekall“}Cellebrite Inspector\nhttps:\/\/Cellebrite.com/en\/Inspector\/“}，{“key”：“ref34”，“unstructured”：“FireEye Redline\nhttps:\\\\/www.FireEye.com/services\/freeware\/Redline.html”}，“key“：”ref35“，”unstructure“：”Magnet Axiom\nhttps:\ \\/www.magnetforensics.com/products\/Magnet-Axiom//“}WindowsSCOPE\nhttp:\/\/www.WindowsSCOPE.com/windowsscop-cyber-forensics\/“}，{“key”：“ref37”，“unstructured”：“Volatility Foundation \nhttps:\/\/www.volatilityfoundation.org\/”}，}“密钥”：“ref38”，“非结构化”：“Volatility Community Plugins\nhttps:\/\\/github.com/Volatility-Foundation\/Community”}I“：”10.1016\/j.diin.2017.06.011“}，{“key”：“ref40”，“doi-asserted-by”：“publisher”，“doi”：“10.1109\/AINS.2017.8270430”}，}“key:”ref41“，”article-title“：”Volatility 3 Public Beta:Insider\u2019s Preview“，”author“：”Auty“，“year”：“2019”，“journal-title”：“OSDFCon 2019，Open Source Digital Forensics Conference Con”}“，{”key“：”ref42“，”series-title“：”内存取证的艺术：检测Windows、Linux和Mac内存中的恶意软件和威胁”，“作者”：“Ligh”，“年份”：“2014”}，{“key”：“ref43”，“doi-asserted-by”：“publisher”，“doi”：“10.1109”，ISCC.2015.7405522”}，“doi”：“10.1016\/j.diin.2017.02.005“}，{”key“：”ref46“，”first page“：“249”，”article-title“：”MemForC:用于恶意软件分析的内存取证语料库创建“，”author“：”Orgah“，”year“：”2021“，”journal-title”：“网络战争与安全国际会议论文集”}，“key”：“ref47”，“doi-asserted-by”：“publisher”，“doi”：“10.15394\/jdfsl.2017.1437”}，｛“key”：“ref48”，“doi asserted by”：“crossref”，“首页”：“24”，“doi”：“10.1007\/978-3-319-93411-2_2”，“文章标题”：“MemScrimper:恶意软件沙盒内存转储的时空高效存储”，“作者”：“Brengel”，“年份”：“2018”，“期刊标题”：“入侵和恶意软件检测及脆弱性评估国际会议论文集”}，{“key”：“ref49”，“article-title”：“技术报告：用户空间植入物运行时检测工具包”，“author”：“Pendergrass”，“year”：“2019”，“journal-title“：”arXiv“}，”{“key”：“ref50”，“first-page:”1“，”article-title“：“全系统仿真：成功实现规避恶意软件的自动动态分析”，“author”：“Kruegel”，“year”：“2014”，“journal-title”：“BlackHat USA Security Conference会议记录”}，{“key”：“ref51”，“unstructured”：“AnyRun\nhttp://any.run//”}：“CrowdStrike Falcon\nhttps:\\/\/www.rowdstrike.com\\/products\/www.joesecurity.org/”｝，｛“key”：“ref53”，“非结构化”：“FireEye\nhttps:\\/\/www.FireEye.com\\/”｝，｛“key”：“ref54”，“非结构化”：“Joe Security\nhttps:\\/\/www.joesecurity.org/”｝，｛“key”：“ref55”，“非结构化”：“Palo Alto Wildfire\nhttp://www.paloaltonetworks.com/products\/secure-the-network\/Wildfire\/”}，{“key”：“ref56”，“unstructured”：“VirusTotal\nhttp://www.VirusTotal.com\/gui”}、{“密钥”：“ref57”，“非结构化”：“Cuckoo Sandbox\nhttp://cuckoosandbox.org//”}：“Drakvuf\nhttps:\/\/Drakvuf-sandbox.readthedocs.io\/en\/latest\/”}，{“key”：“ref59”，“unstructured”：“Sandboxie\nhttps:\\\\/github.com/Sandboxie”}“doi”：“10.1109\/ICAC49085.2019.9103416”}，{“key”：“ref62”，“doi-asserted-by”：“publisher”，“doi”：“10.1016\/j.cose.2015.04.001”}，{“key”：“ref63”，“doi-asserted-by”：”publisher“，”doi“：”10.1109\/DESEC.2017.8073871“}，”{“key”：”ref64“，”doi-assert-by：“10.1007\/978-3-319-45719-2_8”}，{“key”：“ref66”，“article-title”：“击败沙箱规避：如何提高虚拟环境中的成功仿真率”，“author”：“Chailytko”，“year”：“2017”，“journal-title”：“ShmooCon 2017会议记录”}，{“key”：“ref67”，“doi-asserted-by”：“publisher”，”doi“：”10.14569\/IJACSA.2019.0100148：“10.1016\/j.sysarc.2020.101861”}，{“key”：“ref69”，“doi-asserted-by”：“publisher”，“doi”：“10.1186\/s13673-018-0125-x”}在内存图像中”，“author”：“Aghaeikheirabady”，“year”：“2014”，“journal-title”：“2014International Congress on Technology，Communication and Knowledge（ICTCK）”}，{“key”：“ref72”，“doi-asserted-by”：“publisher”，“doi”：“10.1002\/cpe.6672”}，“doi-asserted-by”：“crossref”，“first page”：“169”，《doi》：“10.23919\/DATE.2017.7926977”，“article-title”：“利用基于机器学习的虚拟内存访问模式分析进行恶意软件检测”，“author”：“Xu”，“year”：“2017”，“journal-title:“Proceedings of the Design，Automation&Test in Europe Conference&Exhibition（DATE）”}，{“key”：”ref75“，“doi-asserted-by”：“publisher”，“doi”：“10.1016\/j.cose.2020.102166”}]，“container-title”：[“网络安全与隐私杂志”]，“原始标题”：[]，“language”：“en”，“link”：[{“URL”：“https:\/\/www.mdpi.com\/2624-800X\/2\/3\/28\/pdf”，”content-type“：”unspecified“，”content-version“：”vor“，”intended-application“：”similarity检查“}]”，“存放”：{“date-parts”：[[2022,7,20]]，“date-time”：“2022-07-20T16:51:47Z”，“timestamp”：1658335907000}，“score”：1，“resource”：{”primary“：{”URL“：”https:\\/www.mdpi.com\/2624-800X\/2\/3\/28“}”，“subtitle”：[]，“shorttitle”：[]，“issued”：{“date-ports”：[2022,7,20]]}，”references-count“：75，“新闻发布”：{“发布”：“3”，“在线发布”：}“日期部分”：[[2022,9]]}}，“alternative-id”：[“jcp2030028”]，“URL”：“http://\/dx.doi.org\/10.3390\/jcp203028”，“relation”：{}，“ISSN”：[”2624-800X“]，“ISSN-type”：[{“value”：“2624-800 X”，“type”:“electronic”}]，“subject”：【】，“published”：{“date-parts”：[2022,7,20]]}}}}