CN111026554B - 一种XenServer系统物理内存分析方法及系统 - Google Patents
一种XenServer系统物理内存分析方法及系统 Download PDFInfo
- Publication number
- CN111026554B CN111026554B CN201911302279.8A CN201911302279A CN111026554B CN 111026554 B CN111026554 B CN 111026554B CN 201911302279 A CN201911302279 A CN 201911302279A CN 111026554 B CN111026554 B CN 111026554B
- Authority
- CN
- China
- Prior art keywords
- kallsyms
- kernel
- address
- addresses
- variable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5011—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
- G06F9/5016—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals the resource being the memory
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Memory System Of A Hierarchy Structure (AREA)
Abstract
本公开提供了一种XenServer系统物理内存分析方法及系统,本公开通过二进制代码重构实现操作系统版本判定、内核符号表获取以及虚拟地址向物理地址转换,能够有效进行XenServer系统的物理内存分析。
Description
技术领域
本公开属于物理内存分析技术领域,涉及一种XenServer系统物理内存分析方法及系统。
背景技术
本部分的陈述仅仅是提供了与本公开相关的背景技术信息,不必然构成在先技术。
内存取证技术在当今数字取证分析中发挥着越来越重要的作用,通过内存分析可以获取到正在运行的进程信息、已加载的内核模块信息、打开的网络连接信息、登录用户、打开的文件、加密密钥以及驻留在内存中的恶意代码等信息。目前,内存取证是数字取证调查和事件响应处理中的标准组件。
内存取证技术最早出现在美国空军特别调查办公室Kornblum于2002年发表的《Preservation of Fragile Digital Evidence by First Responders》主题报告中,在此报告中提出需要调查易失性内存信息以全面而准确地获取网络攻击和网络犯罪证据。DFRWS(Digital Forensic Research Workshop)于2005和2006年发起的内存取证分析挑战赛,推进了物理内存分析技术的发展。从此,物理内存分析和获取成为计算机取证的研究热点,各种物理内存取证技术和方法相继出现。
但据发明人了解,尚未发现针对XenServer系统物理主机系统的内存分析技术。XenServer是思杰公司(Citrix)推出的一款完整服务器虚拟化系统,其内存布局较为复杂,用普通的Linux系统分析方法,地址转换问题面临挑战。Xen堆占用了机器物理地址空间的部分空间,部分宿主机的线性地址和对应的物理地址之间存在差值,如在System.map中获取到的swapper_pg_dir的值无法通过减去0xc0000000获取到swapper_pg_dir的物理地址。这些地址转换问题给XenServer系统下物理主机的内存分析带来困难。
发明内容
本公开为了解决上述问题,提出了一种XenServer系统物理内存分析方法及系统,本公开通过二进制代码重构实现操作系统版本判定、内核符号表获取以及虚拟地址向物理地址转换,能够有效进行XenServer系统的物理内存分析。
根据一些实施例,本公开采用如下技术方案:
一种XenServer系统物理内存分析方法,包括以下步骤:
(1)使用硬件物理内存获取工具获取宿主机全部物理内存信息,存为内存镜像文件;
(2)在内存镜像文件中进行搜索,从中获取操作系统版本信息、源内核变量_stext和swapper_pg_dir的值;
(3)在内存镜像文件中搜索内核变量_stext的值,在搜索到的地址处往前追溯寻找内核变量_text的值,搜索到的内核变量_text的地址处即为内核变量kallsyms_addresses地址;
(4)在内存镜像文件中搜索内核变量kallsyms_addresses地址的后十六位,并在搜索到的地址前后寻找函数标志位,将标志位之间的内容进行反编译,对照函数定义和调用关系,获取内核变量kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table地址;
(5)对步骤(4)和步骤(3)获取到的内核变量kallsyms_addresses的值求差,获取差值;根据差值,将内核变量kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table的虚拟地址转换为物理地址,进一步地恢复系统的内核符号表;
(6)从获取到内核符号表中获取到内核变量init_task、modules以及ctxt.30527的值;根据所述差值,将内核变量ctxt.30527的虚拟地址转换为物理地址,获取到ctxt.30527的内容;
(7)对ctxt.30527中内容逐个分析,每四位转换为一个地址,作为swapper_pg_dir物理地址的候选值,使用此值对步骤(2)获取到的swapper_pg_dir的值进行地址转换,若转换后的地址值仍为此候选值,则此候选值即为swapper_pg_dir的物理地址;
(8)使用swapper_pg_dir的物理地址对步骤(6)获取到的init_task、modules虚拟地址进行转换,获取到系统正在运行的进程信息和加载的内核模块信息。
作为进一步的限定,所述步骤(2)中,在内存镜像文件中搜索关键字“OSRELEASE=”,若搜索到的区域同时包含有“SYMBOL(_stext)=”,“SYMBOL(swapper_pg_dir)”字符串,且版本信息中含有“xen”字符串,则说明搜索到的内容为vmcoreinfo_data的内容,从中获取操作系统版本信息、内核变量_stext和swapper_pg_dir的值。
作为进一步的限定,所述步骤(3)中,内核变量_text的值为_stext去掉后十六位的偏移。
作为进一步的限定,所述步骤(4)中,在内存镜像文件中搜索kallsyms_addresses地址的后十六位,并在搜索到的地址前后寻找函数标志位“55 89E5 83”,将两个标志位之间的内容进行反编译,对照updae_iter函数定义和调用关系,获取kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table的地址。
作为进一步的限定,所述步骤(5)中,具体过程包括:
(a)根据kallsyms_num_syms的值,获取内核变量的个数;
(b)获取内核符号的类型和名称,kallsyms_names内核变量对应经过排序的内核符号的类型和名称组成的字符串,每个字符串的格式为字符串长度和压缩串;利用内核变量kallsyms_token_index和kallsyms_token_table解析字符串,获取内核符号的类型和名称;
(c)获取内核符号的虚拟地址,kallsyms_addresses变量对应排序过的所有内核符号的虚拟地址,对于经过步骤(b)获取到的内核符号,按照其在kallsyms_names变量中的次序,从kallsyms_addresses变量地址处获取到内核符号表的虚拟地址;
(d)循环执行步骤(b)和(c)即可而获取到系统中所有内核符号表的类型、名称和虚拟地址信息。
一种XenServer系统物理内存分析系统,包括执行上述方法各步骤的模块。
一种计算机可读存储介质,其中存储有多条指令,所述指令适于由终端设备的处理器加载并执行所述的一种XenServer系统物理内存分析方法。
一种终端设备,包括处理器和计算机可读存储介质,处理器用于实现各指令;计算机可读存储介质用于存储多条指令,所述指令适于由处理器加载并执行所述的一种XenServer系统物理内存分析方法。
与现有技术相比,本公开的有益效果为:
本公开通过二进制代码重构实现操作系统版本判定、内核符号表获取以及虚拟地址向物理地址转换,能够有效进行XenServer系统的物理内存分析。
附图说明
构成本公开的一部分的说明书附图用来提供对本公开的进一步理解,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。
图1为本实施例中update_iter函数内容示意图;
图2为本实施例中update_iter函数内容反编译示意图;
图3为本实施例中update_iter函数定义和调用关系示意图;
图4为本实施例中32位开启PAE小页模式地址转换示意图;
图5为本实施例中32位开启PAE下大页模式地址转换示意图;
图6为本实施例中32位未开启PAE下小页模式地址转换示意图;
图7为本实施例中32位未开启PAE下大页模式地址转换示意图。
图8为本实施例中名称对应的字符串示意图。
具体实施方式:
下面结合附图与实施例对本公开作进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本公开提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本公开所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本公开的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
以XenServer4.1.2为例详细说明分析步骤:
一、利用硬件物理内存获取工具获取宿主机全部物理内存信息,存为内存镜像文件。
二、获取vmcoreinfo_data的内容,此内容是ELF(Executable and LinkableFormat)文件中PT_NOTE结构的desc信息。总结vmcoreinfo_data内容特征:①以字符串“OSRELEASE=”为起始内容,“OSRELEASE=”后跟随操作系统版本信息,且版本信息中含有“xen”字符串;②包含“SYMBOL(init_uts_ns)”、“SYMBOL(vmlist)”、“SYMBOL(_stext)=”、“SYMBOL(swapper_pg_dir)”等字符串。根据特征值在内存镜像中进行搜索,获取到操作系统版本信息为“2.6.32.43-0.4.1.xsl.8.0.835.170778xen”,内核变量_stext的值为0xc0102000,内核变量swapper_pg_dir的值为0xc1055000。
三、在内存镜像文件中搜索内核变量_stext的值,即搜索字符串“001010c0”,在搜索到的地址处往前追溯寻找内核变量_text的值,内核变量_text的值为_stext去掉后十六位的偏移,即为“000010c0”。搜索到的_text的地址处即为内核变量kallsyms_addresses的地址0xce409a14。
四、在内存镜像文件中搜索kallsyms_addresses地址的后十六位“149A40”,并在搜索到的地址前后寻找函数标志位“55 89E5 83”,将两个标志位之间的内容(如图1所示)进行反编译,反编译部分结果如图2所示,对照update_iter函数定义和调用关系(如图3所示),获取kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table的地址分别是:
对比此处获取到的内核变量kallsyms_addresses的值c0409a14和第3步获取到的kallsyms_addresses的值0xce409a14,获取到这两个值的差值为DIRECTMAP_VIRT_START的值为0xe000000。
五、根据DIRECTMAP_VIRT_START的值0xe000000,将内核变量kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table的虚拟地址转换为物理地址,进一步地恢复系统的内核符号表:
(1)根据kallsyms_num_syms的值0xce42becc,获取内核变量的个数为35118;
(2)获取内核符号的类型和名称,kallsyms_names内核变量对应经过排序的内核符号的类型和名称组成的字符串,每个字符串的格式为字符串长度和压缩串。利用内核变量kallsyms_token_index和kallsyms_token_table解析字符串,获取内核符号的类型和名称。以第三个内核符号为例,其名称对应的字符串如图8框中内容。
图8中,第一个09表示长度,然后依次处理每一个压缩符,第一个为0x54,乘以2后为0xA8,在kallayms_token_index变量指向内容偏移0xA8处获取内容为0x123,然后在kallsyms_token_table变量指向内容偏移0x123处获取内容为T,依次处理余下八个字符,获取内核变量名称为hypercall_page。
(3)获取内核符号的虚拟地址,kallsyms_addresses变量对应排序过的所有内核符号的虚拟地址,对于经过步骤(2)获取到的内核符号hypercall_page,按照其在kallsyms_names变量中的次序,在kallsyms_addresses变量地址ce409a14后0x10处获取到内核符号hypercall_page的虚拟地址为0xc0101000。
(4)循环执行步骤(2)和(3)即可获取到系统中所有内核符号表的类型、名称和虚拟地址信息。
六、从获取到内核符号表中获取到内核变量init_task、modules以及ctxt.30527的值如下:
根据DIRECTMAP_VIRT_START的值,将内核变量ctxt.30527的虚拟地址转换为物理地址ce75c9a0,获取到ctxt.30527的内容。
七、对ctxt.30527中内容逐个分析,每四位转换为一个地址,作为swapper_pg_dir物理地址的候选值,使用此值对第二步获取到的swapper_pg_dir的值0xc1055000按照图4-7的方法进行地址转换,若转换后的地址值仍为此候选值,则此候选值即为swapper_pg_dir的物理地址0xce846000。
八、使用swapper_pg_dir的物理地址对第六步获取到的init_task、modules虚拟地址进行转换,获取到系统正在运行的进程信息和加载的内核模块信息。
本领域内的技术人员应明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的优选实施例而已,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
上述虽然结合附图对本公开的具体实施方式进行了描述,但并非对本公开保护范围的限制,所属领域技术人员应该明白,在本公开的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本公开的保护范围以内。
Claims (8)
1.一种XenServer系统物理内存分析方法,其特征是:包括以下步骤:
(1)使用硬件物理内存获取工具获取宿主机全部物理内存信息,存为内存镜像文件;
(2)在内存镜像文件中进行搜索,从中获取操作系统版本信息、内核变量_stext和swapper_pg_dir的值;
(3)在内存镜像文件中搜索内核变量_stext的值,在搜索到的地址处往前追溯寻找内核变量_text的值,搜索到的内核变量_text的地址处即为内核变量kallsyms_addresses地址;
(4)在内存镜像文件中搜索内核变量kallsyms_addresses地址的后十六位,并在搜索到的地址前后寻找函数标志位,将标志位之间的内容进行反编译,对照函数定义和调用关系,获取内核变量kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table地址;
(5)对步骤(4)和步骤(3)获取到的内核变量kallsyms_addresses的值求差,获取差值;根据差值,将内核变量kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table的虚拟地址转换为物理地址,进一步地恢复系统的内核符号表;
(6)从获取到内核符号表中获取到内核变量init_task、modules以及ctxt.30527的值;根据所述差值,将内核变量ctxt.30527的虚拟地址转换为物理地址,获取到ctxt.30527的内容;
(7)对ctxt.30527中内容逐个分析,每四位转换为一个地址,作为swapper_pg_dir物理地址的候选值,使用此值对步骤(2)获取到的swapper_pg_dir的值进行地址转换,若转换后的地址值仍为此候选值,则此候选值即为swapper_pg_dir的物理地址;
(8)使用swapper_pg_dir的物理地址对步骤(6)获取到的init_task、modules虚拟地址进行转换,获取到系统正在运行的进程信息和加载的内核模块信息。
2.如权利要求1所述的一种XenServer系统物理内存分析方法,其特征是:所述步骤(2)中,在内存镜像文件中搜索关键字“OSRELEASE=”,若搜索到的区域同时包含有“SYMBOL(_stext)=”,“SYMBOL(swapper_pg_dir)”字符串,且版本信息中含有“xen”字符串,则说明搜索到的内容为vmcoreinfo_data的内容,从中获取操作系统版本信息、内核变量_stext和swapper_pg_dir的值。
3.如权利要求1所述的一种XenServer系统物理内存分析方法,其特征是:所述步骤(3)中,内核变量_text的值为_stext去掉后十六位的偏移。
4.如权利要求1所述的一种XenServer系统物理内存分析方法,其特征是:所述步骤(4)中,在内存镜像文件中搜索kallsyms_addresses地址的后十六位,并在搜索到的地址前后寻找函数标志位“55 89E583”,将两个标志位之间的内容进行反编译,对照updae_iter函数定义和调用关系,获取kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table的地址。
5.如权利要求1所述的一种XenServer系统物理内存分析方法,其特征是:所述步骤(5)中,具体过程包括:
(a)根据kallsyms_num_syms的值,获取内核变量的个数;
(b)获取内核符号的类型和名称,kallsyms_names内核变量对应经过排序的内核符号的类型和名称组成的字符串,每个字符串的格式为字符串长度和压缩串;利用内核变量kallsyms_token_index和kallsyms_token_table解析字符串,获取内核符号的类型和名称;
(c)获取内核符号的虚拟地址,kallsyms_addresses变量对应排序过的所有内核符号的虚拟地址,对于经过步骤(b)获取到的内核符号,按照其在kallsyms_names变量中的次序,从kallsyms_addresses变量地址处获取到内核符号表的虚拟地址;
(d)循环执行步骤(b)和(c)即可而获取到系统中所有内核符号表的类型、名称和虚拟地址信息。
6.一种XenServer系统物理内存分析系统,其特征是:包括用于执行如权利要求1-5中任一项所述的方法各步骤的模块。
7.一种计算机可读存储介质,其特征是:其中存储有多条指令,所述指令适于由终端设备的处理器加载并执行权利要求1-5中任一项所述的一种XenServer系统物理内存分析方法。
8.一种终端设备,其特征是:包括处理器和计算机可读存储介质,处理器用于实现各指令;计算机可读存储介质用于存储多条指令,所述指令适于由处理器加载并执行权利要求1-5中任一项所述的一种XenServer系统物理内存分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911302279.8A CN111026554B (zh) | 2019-12-17 | 2019-12-17 | 一种XenServer系统物理内存分析方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911302279.8A CN111026554B (zh) | 2019-12-17 | 2019-12-17 | 一种XenServer系统物理内存分析方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111026554A CN111026554A (zh) | 2020-04-17 |
CN111026554B true CN111026554B (zh) | 2023-05-02 |
Family
ID=70209366
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911302279.8A Active CN111026554B (zh) | 2019-12-17 | 2019-12-17 | 一种XenServer系统物理内存分析方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111026554B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102279877A (zh) * | 2011-07-26 | 2011-12-14 | 山东省计算中心 | 一种Mac OS系统的物理内存镜像文件分析方法 |
CN102736969A (zh) * | 2012-05-22 | 2012-10-17 | 中国科学院计算技术研究所 | 一种针对硬件虚拟化的内存监控方法和系统 |
CN104573553A (zh) * | 2014-12-30 | 2015-04-29 | 中国航天科工集团第二研究院七O六所 | 一种面向Xen的虚拟机内存共享的安全隔离方法 |
CN107621971A (zh) * | 2017-10-17 | 2018-01-23 | 山东省计算中心(国家超级计算济南中心) | 一种面向XenServer平台的虚拟机内存取证方法 |
CN108491334A (zh) * | 2018-03-08 | 2018-09-04 | 北京东土科技股份有限公司 | 一种嵌入式实时系统的物理内存管理方法及装置 |
US10459852B1 (en) * | 2017-07-27 | 2019-10-29 | EMC IP Holding Company LLC | Memory utilization analysis for memory management systems |
-
2019
- 2019-12-17 CN CN201911302279.8A patent/CN111026554B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102279877A (zh) * | 2011-07-26 | 2011-12-14 | 山东省计算中心 | 一种Mac OS系统的物理内存镜像文件分析方法 |
CN102736969A (zh) * | 2012-05-22 | 2012-10-17 | 中国科学院计算技术研究所 | 一种针对硬件虚拟化的内存监控方法和系统 |
CN104573553A (zh) * | 2014-12-30 | 2015-04-29 | 中国航天科工集团第二研究院七O六所 | 一种面向Xen的虚拟机内存共享的安全隔离方法 |
US10459852B1 (en) * | 2017-07-27 | 2019-10-29 | EMC IP Holding Company LLC | Memory utilization analysis for memory management systems |
CN107621971A (zh) * | 2017-10-17 | 2018-01-23 | 山东省计算中心(国家超级计算济南中心) | 一种面向XenServer平台的虚拟机内存取证方法 |
CN108491334A (zh) * | 2018-03-08 | 2018-09-04 | 北京东土科技股份有限公司 | 一种嵌入式实时系统的物理内存管理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111026554A (zh) | 2020-04-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10216848B2 (en) | Method and system for recommending cloud websites based on terminal access statistics | |
US9973521B2 (en) | System and method for field extraction of data contained within a log stream | |
CN110825363B (zh) | 智能合约获取方法、装置、电子设备及存储介质 | |
CN111241496B (zh) | 确定小程序特征向量的方法、装置和电子设备 | |
CN105790967B (zh) | 一种网络日志处理方法和装置 | |
US11379421B1 (en) | Generating readable, compressed event trace logs from raw event trace logs | |
CN109240998B (zh) | 可配置的文件解析方法 | |
CN114691161A (zh) | 基于Key-Value的软件系统配置方法、装置及电子设备 | |
KR20090125552A (ko) | 디지털 포렌식 방법 및 장치 | |
CN111026554B (zh) | 一种XenServer系统物理内存分析方法及系统 | |
WO2015124086A1 (en) | Virus signature matching method and apparatus | |
CN110287338B (zh) | 行业热点确定方法、装置、设备和介质 | |
CN116489251A (zh) | 通用码流解析方法、装置、计算机可读介质及终端设备 | |
CN113688240B (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
CN114492365A (zh) | 二进制文件之间相似度的确定方法、计算设备及存储介质 | |
CN114281761A (zh) | 一种数据文件加载方法、装置、计算机设备及存储介质 | |
JP2014186425A (ja) | 文章マスク装置及び文章マスクプログラム | |
CN109992293B (zh) | Android系统组件版本信息的组装方法及装置 | |
CN110543622A (zh) | 文本相似度检测方法、装置、电子设备及可读存储介质 | |
US11356853B1 (en) | Detection of malicious mobile apps | |
CN110750739B (zh) | 一种页面类型确定方法及装置 | |
CN115048543B (zh) | 图像相似判断方法、图像搜索方法及设备 | |
JP5595957B2 (ja) | アクセスログ処理システム及び方法及びプログラム、アクセスログ格納検索装置 | |
CN111258969B (zh) | 一种互联网访问日志解析方法及装置 | |
CN108733664B (zh) | 一种文件归类方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |