CN112269804B - 一种用于内存数据的模糊检索方法和系统 - Google Patents
一种用于内存数据的模糊检索方法和系统 Download PDFInfo
- Publication number
- CN112269804B CN112269804B CN202011227160.1A CN202011227160A CN112269804B CN 112269804 B CN112269804 B CN 112269804B CN 202011227160 A CN202011227160 A CN 202011227160A CN 112269804 B CN112269804 B CN 112269804B
- Authority
- CN
- China
- Prior art keywords
- memory
- data
- mirror image
- target
- block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computational Linguistics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明给出了一种用于内存数据的模糊检索方法和系统,包括获取目标数据在内存中的位置,定位目标数据所在的内存特征数据块,并导出不同版本和/或不同用户登陆下的内存镜像;基于内存特征数据块使用模糊匹配算法提取内存镜像中的内存特征数据块;循环比对所有内存特征数据块中的所有字节,保留不变的字节,并将变换的字节替换为固定值,获得内存特征矩阵;基于待定位目标数据的内存特征矩阵在内存中的位置,偏移定位到目标。该方法和系统在一些电子数据取证产品或案件中,能对快速的定位内存中的重要数据。
Description
技术领域
本发明涉及计算机技术应用领域,尤其是一种用于内存数据的模糊检索方法和系统。
背景技术
随着信息技术的发展以及人们在生活中对各式各样信息服务需求的增长,越来越多的行为由线下转为线上,由此所产生的电子数据也越来越多地具有了证据效力。其中内存中的目标数据起着重要的作用,例如是电子数据通常都会加密保存,提取内存的密钥成为了电子数据取证的关键点,然而同一个程序可能存在的多个版本,内存中的数据通常在代码中的位置不固定,造成定位内存目标数据经常需要手工完成,因此需要寻找一种通用的内存模糊检索方法以便快速的定位到内存中的密钥。
现有技术中,在定位内存中的目标数据时,主要是通过人工分析代码、动态调试及静态分析等手段进行分析,分析完后使用内存中的一段特殊数据进行内存扫描定位,一段特殊数据可能是一段代码等,会存在以下问题:1、人工参与度大,效率较低;2、通过一段特殊数据定位不够稳定,代码通常是随着程序的版本变化而变化的。
发明内容
为了解决现有技术中定位内存中的目标数据时人工参与度大,效率低,定位不够稳定的技术问题,本发明提出了一种用于内存数据的模糊检索方法和系统。
在一个方面,本发明提出了一种用于内存数据的模糊检索方法,包括以下步骤:
S1:获取目标数据在内存中的位置,定位目标数据所在的内存特征数据块,并导出不同版本和/或不同用户登陆下的内存镜像;
S2:基于内存特征数据块使用模糊匹配算法提取内存镜像中的内存特征数据块;
S3:循环比对所有内存特征数据块中的所有字节,保留不变的字节,并将变换的字节替换为固定值,获得内存特征矩阵;以及
S4:基于待定位目标数据的内存特征矩阵在内存中的位置,偏移定位到目标。
在一些具体的实施例中,内存特征数据块包括目标地址的数据块,且内存特征数据记录目标地址在内存特征数据块中的内部偏移。凭借所记录的内存特征数据块中的内部偏移可以便于后续目标数据块的定位。
在一些具体的实施例中,步骤S2中的模糊匹配算法具体包括:在内存镜像中每偏移一个字节的大小提取一个内存块与目标数据的内存特征数据块进行比较,按偏移遍历内存镜像,获取与目标数据的内存特征数据块相似值最大的内存镜像的内存特征数据块。通过获取相似值最大的内存镜像的内存特征数据块可以获取要查找的特征数据块。
在一些具体的实施例中,相似值的计算方式具体为:对内存镜像中每偏移一个字节的大小提取一个内存块与目标数据的内存特征数据块按字节进行比较,字节相等时内存块的相似值加一。通过逐个偏移比对能够全面地对内存特征数据块进行检索比对。
在一些具体的实施例中,步骤S4中具体包括:导出待定位目标数据的内存镜像,定位内存镜像中与内存特征矩阵对应的位置,并根据内存特征数据记录的内部偏移获取到目标数据。
在一些具体的实施例中,定位内存镜像中与内存特征矩阵对应的位置的方式具体为:内存镜像每次偏移一个字节的大小和内存特征矩阵按字节进行比较,比较时跳过内存特征矩阵的固定值部分,比对内存特征矩阵中包含特征值的部分,如果所有的特征值相同,则定位到目标数据块。对特征值进行比较可以获得程序的多个版本多种状态下提取的内存镜像。
根据本发明的第二方面,提出了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时上述方法。
根据本发明的第三方面,提出了一种用于内存数据的模糊检索系统,该系统包括:
内存镜像获取单元:配置用于获取目标数据在内存中的位置,定位目标数据所在的内存特征数据块,并导出不同版本和/或不同用户登陆下的内存镜像;
内存特征数据块提取单元:配置用于基于内存特征数据块使用模糊匹配算法提取内存镜像中的内存特征数据块;
内存特征矩阵构建单元:配置用于循环比对所有内存特征数据块中的所有字节,保留不变的字节,并将变换的字节替换为固定值,获得内存特征矩阵;以及
目标定位单元:配置用于基于待定位目标数据的内存特征矩阵在内存中的位置,偏移定位到目标。
在一些具体的实施例中,内存特征数据块提取单元中的模糊匹配算法具体包括:在内存镜像中每偏移一个字节的大小提取一个内存块与目标数据的内存特征数据块按字节进行比较,字节相等时内存块的相似值加一,按偏移遍历内存镜像,获取与目标数据的内存特征数据块相似值最大的内存镜像的内存特征数据块。
在一些具体的实施例中,目标定位单元具体配置用于导出待定位目标数据的内存镜像,内存镜像每次偏移一个字节的大小和内存特征矩阵按字节进行比较,比较时跳过内存特征矩阵的固定值部分,比对内存特征矩阵中包含特征值的部分,如果所有的特征值相同,则定位到目标数据块,并根据内存特征数据记录的内部偏移获取到目标数据。
本发明的一种用于内存数据的模糊检索方法和系统,使用已经定位到的一个特征数据块,基于内存分布的特点,可以提取内存中某一个数据结构对应的内存特征矩阵,和程序的多个版本多种状态下提取的内存镜像,通过模糊匹配的算法提取所有内存镜像的特征数据块。再基于这些特征数据块提取一个所有镜像共同的特征矩阵。使用该特征矩阵,就可以在一个新获取的内存镜像中快速的定位到特定的数据结构,从而进一步获取到数据结构中保存的目标数据。
附图说明
包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请的一个实施例的用于内存数据的模糊检索方法的流程图;
图2是本申请的一个具体的实施例的内存特征数据提取的示意图;
图3是本申请的一个具体的实施例的提取内存特征矩阵的方法流程图;
图4是本申请的一个具体的实施例的提取内存特征数据块的示意图;
图5是本申请的一个具体的实施例的使用提取的内存特征矩阵定位目标的方法流程图;
图6是本申请的一个实施例的用于内存数据的模糊检索系统的框架图;
图7是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
根据本申请的一个实施例的用于内存数据的模糊检索方法,图1示出了根据本申请的实施例的用于内存数据的模糊检索方法的流程图。如图1所示,该方法包括以下步骤:
S101:获取目标数据在内存中的位置,定位目标数据所在的内存特征数据块,并导出不同版本和/或不同用户登陆下的内存镜像。获取尽可能多的内存镜像素材可以便于根据多个镜像提取出通用的特征矩阵。
在具体的实施例中,程序由算法和数据结构组成,相应的程序在内存中保存着算法和数据结构,本发明要定位的目标数据就在数据结构中,而数据结构一般具有特定的结构特征。例如一个大的类结构、一个结构体、类结构或者结构体又嵌套标准库对象。因此对于特定的程序,其数据结构对象在内存中存在着固定的布局。同时,数据结构中的数据是变化的,例如图2中内存特征数据提取实例所示,基于User1和User2的数据提取特征特征矩阵:User1登录后,相关数据结构的用户名字段是“User1”,User2用户登录后,相关数据结构的用户名字段是“User2”,但是数据结构中的数据也存在不变化的数据。例如一些标准库对象,标准字符串的预留空间大小字段默认值为0x0F。再比如一些固定存储的数据,例如固定的配置等。因此,基于以上内存分布的特点,可以提取内存中某一个数据结构对应的内存特征矩阵。特征矩阵中保留内存块中不变的字节,变化的字节使用固定值进行替换。
在具体的实施例中,可以采用人工的方式运用静态、动态逆向技术定位目标在内存中的位置,目标可能是一个密钥或者他的重要数据,例如在程序打开数据库的地方定位一个密钥;定位的目标一般是一个动态生产的字符串,位置不固定,需要定位包含该目标数据所在的一个内存特征块,该内存特征数据块通常是包含该目标地址的数据块,同时记录有该目标地址在内存特征数据块中的内部偏移。
S102:基于内存特征数据块使用模糊匹配算法提取内存镜像中的内存特征数据块。利用该方式可以快速获取内存镜像中的相似的内存特征数据块,以便于后续根据该些内存特征数据块构建共同的内存特征矩阵。
在具体的实施例中,模糊匹配算法具体包括:在内存镜像中每偏移一个字节的大小提取一个内存块与目标数据的内存特征数据块进行比较,按偏移遍历内存镜像,获取与目标数据的内存特征数据块相似值最大的内存镜像的内存特征数据块。通过获取相似值最大的内存镜像的内存特征数据块可以获取要查找的特征数据块。其中相似值的计算方式具体为:对内存镜像中每偏移一个字节的大小提取一个内存块与目标数据的内存特征数据块按字节进行比较,字节相等时内存块的相似值加一。通过逐个偏移比对能够全面地对内存特征数据块进行检索比对。
S103:循环比对所有内存特征数据块中的所有字节,保留不变的字节,并将变换的字节替换为固定值,获得内存特征矩阵。使用该特征矩阵,就可以在一个新获取的内存镜像中快速的定位到特定的数据结构,从而进一步获取到数据结构中保存的目标数据。
S104:基于待定位目标数据的内存特征矩阵在内存中的位置,偏移定位到目标。通过程序多个版本多种状态下提取的内存特征矩阵定位内存数据,能够稳定精确的定位到内存中的重要数据。
在具体的实施例中,导出待定位目标数据的内存镜像,内存镜像每次偏移一个字节的大小和内存特征矩阵按字节进行比较,比较时跳过内存特征矩阵的固定值部分,比对内存特征矩阵中包含特征值的部分,如果所有的特征值相同,则定位到目标数据块。定位内存镜像中与内存特征矩阵对应的位置,并根据内存特征数据记录的内部偏移获取到目标数据。
在具体的实施例中,图3示出了根据本申请的一个具体的实施例的提取内存特征矩阵的方法流程图,如图3所示,提取内存特征矩阵具体包括以下步骤:
步骤301:定位目标数据在程序内存中的位置。使用人工的方式运用静态、动态逆向技术定位目标在内存中的位置,目标可能是一个密钥或者其它重要的数据。例如在程序打开数据库的地方定位一个密钥。
步骤302:定位目标数据所在的一个内存特征数据块。在步骤301中定位的目标通常是一个动态生产的字符串,其位置不固定,因此需要定位包含该目标数据所在的一个内存特征数据块,该内存特征数据块通常是包含该目标地址的数据块,同时记录目标地址在该内存特征数据块中的内部偏移。
步骤303:导出不同版本不同用户登陆下应用程序的内存镜像。获取尽可能多的镜像素材,以便基于这些镜像提取一个通用的特征矩阵。
步骤304:使用模糊匹配算法提取各个内存镜像的内存特征数据块。基于步骤302中提取的内存特征数据块使用模糊匹配算法提取步骤303中所有内存镜像的内存特征数据块。
在具体的实施例中,模糊算法是每次在内存镜像中偏移一个字节的大小提取一个内存块和内存特征数据块按字节进行比较,字节相等时该内存块相似值加一,直到所有的按偏移提取的内存块和内存特征数据块的相似值都计算完成,相似值最大的就是该内存镜像的内存特征数据块。图4示出了根据本发明的一个具体的实施例的提取内存特征数据块的示意图,如图4所示,模糊检索算法的步骤如下:
1、设S0为已经定位到的一个n*m维数的特征数据块。M1为程序某个版本的一个内存镜像。
2、在M1中按字节偏移提取所有和S相同维数的矩阵,构成集合T={S1,S2,S3,…,Sw}。
3、定义数据块的相似度关系Ri=R(S0,Si),0<i≤w。R(S0,Si)为矩阵相同位置的元素相等时加一。
4、选取特征值相似度最大的数据块,Rx=max(Ri),Sx就是要查找的特征数据块。
步骤205:根据所有的内存特征数据块,提取内存特征矩阵。循环对比所有内存特征数据块中的所有字节,保留内存块中不变的字节,变化的字节使用固定值(比如0x00) 进行替换,最终得到内存特征矩。
继续参考图5,图5示出了根据本申请的一个具体的实施例的使用提取的内存特征矩阵定位目标的方法流程图,如图5所示,使用提取的内存特征矩阵定位目标具体包括以下步骤:
步骤501:导出需要定位目标数据的程序的内存镜像。
步骤502:定位特征矩阵在内存中的位置。在步骤501导出的内存镜像中,查找符合内存特征数据块的数据段。具体的对比方式是导出的内存镜像每次偏移一个字节的大小和特征矩阵按字节进行比较,比较时跳过特征矩阵的固定值部分,比对特征矩阵中有特征值的部分,如果所有的特征值相同,则定位到目标数据块。
步骤503:根据固定的偏移定位到目标。根据如图3中的步骤302中获取到的目标数据在数据块中的偏移获取到目标数据。
上述的方法使用已经定位到的一个特征数据块,和程序的多个版本多种状态下提取的内存镜像,通过模糊匹配的算法提取所有内存镜像的特征数据块。再基于这些特征数据块提取一个所有镜像共同的特征矩阵。使用该特征矩阵,就可以在一个新获取的内存镜像中快速的定位到特定的数据结构,从而进一步获取到数据结构中保存的目标数据。具有以下优点:能够稳定的定位到内存中的重要的目标数据;半自动化定位内存的结构数据,提高了检索的效率。该方法在一些电子数据取证产品或案件中,能对快速的定位内存中的重要数据。
根据本发明的另一方面,图6示出了根据本发明的一个具体的实施例的用于内存数据的模糊检索系统的框架图。该系统包括:内存镜像获取单元601:配置用于获取目标数据在内存中的位置,定位目标数据所在的内存特征数据块,并导出不同版本和/或不同用户登陆下的内存镜像;内存特征数据块提取单元602:配置用于基于内存特征数据块使用模糊匹配算法提取内存镜像中的内存特征数据块;内存特征矩阵构建单元603:配置用于循环比对所有内存特征数据块中的所有字节,保留不变的字节,并将变换的字节替换为固定值,获得内存特征矩阵;目标定位单元604:配置用于基于待定位目标数据的内存特征矩阵在内存中的位置,偏移定位到目标。
在具体的实施例中,内存特征数据块提取单元602中的模糊匹配算法具体包括:在内存镜像中每偏移一个字节的大小提取一个内存块与目标数据的内存特征数据块按字节进行比较,字节相等时内存块的相似值加一,按偏移遍历内存镜像,获取与目标数据的内存特征数据块相似值最大的内存镜像的内存特征数据块。
在具体的实施例中,目标定位单元604具体配置用于导出待定位目标数据的内存镜像,内存镜像每次偏移一个字节的大小和内存特征矩阵按字节进行比较,比较时跳过内存特征矩阵的固定值部分,比对内存特征矩阵中包含特征值的部分,如果所有的特征值相同,则定位到目标数据块,并根据内存特征数据记录的内部偏移获取到目标数据。
下面参考图7,其示出了适于用来实现本申请实施例的电子设备的计算机系统700的结构示意图。图7示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O) 接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Sma l lta l k、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括部署单元、指令处理单元和文件访问单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取目标数据在内存中的位置,定位目标数据所在的内存特征数据块,并导出不同版本和/或不同用户登陆下的内存镜像;基于内存特征数据块使用模糊匹配算法提取内存镜像中的内存特征数据块;循环比对所有内存特征数据块中的所有字节,保留不变的字节,并将变换的字节替换为固定值,获得内存特征矩阵;基于待定位目标数据的内存特征矩阵在内存中的位置,偏移定位到目标。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (4)
1.一种用于内存数据的模糊检索方法,其特征在于,包括以下步骤:
S1:获取目标数据在内存中的位置,定位所述目标数据所在的内存特征数据块,并导出不同版本和/或不同用户登陆下的内存镜像;
S2:基于所述内存特征数据块使用模糊匹配算法提取所述内存镜像中的内存特征数据块;
S3:循环比对所有所述内存特征数据块中的所有字节,保留不变的字节,并将变换的字节替换为固定值,获得内存特征矩阵;以及
S4:基于待定位目标数据的内存特征矩阵在内存中的位置,偏移定位到目标;
其中,步骤S2中的模糊匹配算法具体包括:在所述内存镜像中每偏移一个字节的大小提取一个内存块与所述目标数据的内存特征数据块进行比较,按偏移遍历所述内存镜像,获取与所述目标数据的内存特征数据块相似值最大的所述内存镜像的内存特征数据块;所述相似值的计算方式具体为:对所述内存镜像中每偏移一个字节的大小提取一个内存块与所述目标数据的内存特征数据块按字节进行比较,字节相等时所述内存块的相似值加一;
步骤S4中具体包括:导出所述待定位目标数据的内存镜像,定位所述内存镜像中与所述内存特征矩阵对应的位置,并根据所述内存特征数据记录的内部偏移获取到目标数据;
定位所述内存镜像中与所述内存特征矩阵对应的位置的方式具体为:所述内存镜像每次偏移一个字节的大小和所述内存特征矩阵按字节进行比较,比较时跳过所述内存特征矩阵的固定值部分,比对所述内存特征矩阵中包含特征值的部分,如果所有的特征值相同,则定位到目标数据块。
2.根据权利要求1所述的用于内存数据的模糊检索方法,其特征在于,所述内存特征数据块包括目标地址的数据块,且所述内存特征数据记录所述目标地址在所述内存特征数据块中的内部偏移。
3.一种计算机可读存储介质,其上存储有一或多个计算机程序,其特征在于,该一或多个计算机程序被计算机处理器执行时实施权利要求1至2中任一项所述的方法。
4.一种用于内存数据的模糊检索系统,其特征在于,所述系统包括:
内存镜像获取单元:配置用于获取目标数据在内存中的位置,定位所述目标数据所在的内存特征数据块,并导出不同版本和/或不同用户登陆下的内存镜像;
内存特征数据块提取单元:配置用于基于所述内存特征数据块使用模糊匹配算法提取所述内存镜像中的内存特征数据块;
内存特征矩阵构建单元:配置用于循环比对所有所述内存特征数据块中的所有字节,保留不变的字节,并将变换的字节替换为固定值,获得内存特征矩阵;以及
目标定位单元:配置用于基于待定位目标数据的内存特征矩阵在内存中的位置,偏移定位到目标;
其中,内存特征数据块提取单元中的模糊匹配算法具体包括:在所述内存镜像中每偏移一个字节的大小提取一个内存块与所述目标数据的内存特征数据块按字节进行比较,字节相等时所述内存块的相似值加一,按偏移遍历所述内存镜像,获取与所述目标数据的内存特征数据块相似值最大的所述内存镜像的内存特征数据块;
目标定位单元具体配置用于导出所述待定位目标数据的内存镜像,所述内存镜像每次偏移一个字节的大小和所述内存特征矩阵按字节进行比较,比较时跳过所述内存特征矩阵的固定值部分,比对所述内存特征矩阵中包含特征值的部分,如果所有的特征值相同,则定位到目标数据块,并根据所述内存特征数据记录的内部偏移获取到目标数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011227160.1A CN112269804B (zh) | 2020-11-06 | 2020-11-06 | 一种用于内存数据的模糊检索方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011227160.1A CN112269804B (zh) | 2020-11-06 | 2020-11-06 | 一种用于内存数据的模糊检索方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112269804A CN112269804A (zh) | 2021-01-26 |
| CN112269804B true CN112269804B (zh) | 2022-05-20 |
Family
ID=74344319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011227160.1A Active CN112269804B (zh) | 2020-11-06 | 2020-11-06 | 一种用于内存数据的模糊检索方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112269804B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH03232064A (ja) * | 1990-02-08 | 1991-10-16 | Matsushita Electric Ind Co Ltd | 情報検索装置 |
| CN106164897A (zh) * | 2013-12-02 | 2016-11-23 | 丘贝斯有限责任公司 | 用于寄存内存数据库的系统及方法 |
| CN110569218A (zh) * | 2019-08-01 | 2019-12-13 | 厦门市美亚柏科信息股份有限公司 | 一种ext文件系统离线修改方法、装置及存储介质 |
| CN110795472A (zh) * | 2019-11-11 | 2020-02-14 | 集奥聚合(北京)人工智能科技有限公司 | 基于模糊匹配的地址标准化方法、系统、设备及介质 |
| CN110888918A (zh) * | 2019-11-25 | 2020-03-17 | 湖北工业大学 | 相似数据检测方法及装置、计算机设备和存储介质 |
-
2020
- 2020-11-06 CN CN202011227160.1A patent/CN112269804B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH03232064A (ja) * | 1990-02-08 | 1991-10-16 | Matsushita Electric Ind Co Ltd | 情報検索装置 |
| CN106164897A (zh) * | 2013-12-02 | 2016-11-23 | 丘贝斯有限责任公司 | 用于寄存内存数据库的系统及方法 |
| CN110569218A (zh) * | 2019-08-01 | 2019-12-13 | 厦门市美亚柏科信息股份有限公司 | 一种ext文件系统离线修改方法、装置及存储介质 |
| CN110795472A (zh) * | 2019-11-11 | 2020-02-14 | 集奥聚合(北京)人工智能科技有限公司 | 基于模糊匹配的地址标准化方法、系统、设备及介质 |
| CN110888918A (zh) * | 2019-11-25 | 2020-03-17 | 湖北工业大学 | 相似数据检测方法及装置、计算机设备和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 《游戏外挂技术:编程实现内存检索(检索内存中指定数据)》;to.to;《https://blog.csdn.net/tototuzuoquan/article/details/38201731》;20140728;第1-5页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112269804A (zh) | 2021-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10261772B2 (en) | Method and device for generating image file | |
| US11775288B2 (en) | Method and apparatus for generating difference between old and new versions of data for updating software | |
| CN109829287A (zh) | Api接口权限访问方法、设备、存储介质及装置 | |
| US11163726B2 (en) | Context aware delta algorithm for genomic files | |
| CN107403093A (zh) | 检测多余软件的系统和方法 | |
| US20210056311A1 (en) | Identifying segment starting locations in video compilations | |
| CN110569218B (zh) | 一种ext文件系统离线修改方法、装置及存储介质 | |
| CN107402878B (zh) | 测试方法和装置 | |
| CN110895587B (zh) | 用于确定目标用户的方法和装置 | |
| CN117009248A (zh) | 机器学习模型测试方法及装置、电子设备和存储介质 | |
| CN112269804B (zh) | 一种用于内存数据的模糊检索方法和系统 | |
| CN112884376A (zh) | 工单处理方法、装置、电子设备及计算机可读存储介质 | |
| US11429317B2 (en) | Method, apparatus and computer program product for storing data | |
| CN107025233B (zh) | 一种数据特征的处理方法及装置 | |
| CN110536077B (zh) | 一种视频合成和播放方法、装置及设备 | |
| CN113190437B (zh) | 无线模组的时序分析方法、装置、计算机设备和存储介质 | |
| US20200142966A1 (en) | Organizing disparately stored documents into a knowledge cloud | |
| CN111262727A (zh) | 服务的扩容方法、装置、设备及存储介质 | |
| CN111523639A (zh) | 用于训练超网络的方法和装置 | |
| CN111949819A (zh) | 用于推送视频的方法和装置 | |
| CN112784596A (zh) | 一种识别敏感词的方法和装置 | |
| JP2015201004A (ja) | 情報処理装置、情報処理方法、及びプログラム | |
| US11074457B2 (en) | Identifying advertisements embedded in videos | |
| US20230385252A1 (en) | Data quality analyze execution in data governance | |
| CN108536362B (zh) | 用于识别操作的方法、装置及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |