(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112269804A(43)申请公布日2021.01.26(21)申请号202011227160.1(22)申请日2020.11.06(71)申请人厦门美亚亿安信息科技有限公司地址361012福建省厦门市集美区软件园三期诚毅北大街62号109单元0150号(72)发明人许全聪吴少华连慧奇吴江煌彭玄宁吴世雄(74)专利代理机构厦门福贝知识产权代理事务所(普通合伙)35235代理人陈远洋(51)Int.Cl.G06F16/2455(2019.01)G06F16/903(2019.01)G06F16/242(2019.01)G06K9/62(2006.01)权利要求书2页说明书7页附图5页(54)发明名称一种用于内存数据的模糊检索方法和系统(57)摘要本发明给出了一种用于内存数据的模糊检索方法和系统，包括获取目标数据在内存中的位置，定位目标数据所在的内存特征数据块，并导出不同版本和/或不同用户登陆下的内存镜像；基于内存特征数据块使用模糊匹配算法提取内存镜像中的内存特征数据块；循环比对所有内存特征数据块中的所有字节，保留不变的字节，并将变换的字节替换为固定值，获得内存特征矩阵；基于待定位目标数据的内存特征矩阵在内存中的位置，偏移定位到目标。该方法和系统在一些电子数据取证产品或案件中，能对快速的定位内存中的重要数据。CN112269804ACN112269804A权利要求书1/2页1.一种用于内存数据的模糊检索方法，其特征在于，包括以下步骤：S1：获取目标数据在内存中的位置，定位所述目标数据所在的内存特征数据块，并导出不同版本和/或不同用户登陆下的内存镜像；S2：基于所述内存特征数据块使用模糊匹配算法提取所述内存镜像中的内存特征数据块；S3：循环比对所有所述内存特征数据块中的所有字节，保留不变的字节，并将变换的字节替换为固定值，获得内存特征矩阵；以及S4：基于待定位目标数据的内存特征矩阵在内存中的位置，偏移定位到目标。2.根据权利要求1所述的用于内存数据的模糊检索方法，其特征在于，所述内存特征数据块包括目标地址的数据块，且所述内存特征数据记录所述目标地址在所述内存特征数据块中的内部偏移。3.根据权利要求1所述的用于内存数据的模糊检索方法，其特征在于，所述步骤S2中的模糊匹配算法具体包括：在所述内存镜像中每偏移一个字节的大小提取一个内存块与所述目标数据的内存特征数据块进行比较，按偏移遍历所述内存镜像，获取与所述目标数据的内存特征数据块相似值最大的所述内存镜像的内存特征数据块。4.根据权利要求3所述的用于内存数据的模糊检索方法，其特征在于，所述相似值的计算方式具体为：对所述内存镜像中每偏移一个字节的大小提取一个内存块与所述目标数据的内存特征数据块按字节进行比较，字节相等时所述内存块的相似值加一。5.根据权利要求2所述的用于内存数据的模糊检索方法，其特征在于，所述步骤S4中具体包括：导出所述待定位目标数据的内存镜像，定位所述内存镜像中与所述内存特征矩阵对应的位置，并根据所述内存特征数据记录的内部偏移获取到目标数据。6.根据权利要求5所述的用于内存数据的模糊检索方法，其特征在于，定位所述内存镜像中与所述内存特征矩阵对应的位置的方式具体为：所述内存镜像每次偏移一个字节的大小和所述内存特征矩阵按字节进行比较，比较时跳过所述内存特征矩阵的固定值部分，比对所述内存特征矩阵中包含特征值的部分，如果所有的特征值相同，则定位到目标数据块。7.一种计算机可读存储介质，其上存储有一或多个计算机程序，其特征在于，该一或多个计算机程序被计算机处理器执行时实施权利要求1至6中任一项所述的方法。8.一种用于内存数据的模糊检索系统，其特征在于，所述系统包括：内存镜像获取单元：配置用于获取目标数据在内存中的位置，定位所述目标数据所在的内存特征数据块，并导出不同版本和/或不同用户登陆下的内存镜像；内存特征数据块提取单元：配置用于基于所述内存特征数据块使用模糊匹配算法提取所述内存镜像中的内存特征数据块；内存特征矩阵构建单元：配置用于循环比对所有所述内存特征数据块中的所有字节，保留不变的字节，并将变换的字节替换为固定值，获得内存特征矩阵；以及目标定位单元：配置用于基于待定位目标数据的内存特征矩阵在内存中的位置，偏移定位到目标。9.根据权利要求8所述的用于内存数据的模糊检索系统，其特征在于，内存特征数据块提取单元中的模糊匹配算法具体包括：在所述内存镜像中每偏移一个字节的大小提取一个内存块与所述目标数据的内存特征数据块按字节进行比较，字节相等时所述内存块的相似2CN112269804A权利要求书2/2页值加一，按偏移遍历所述内存镜像，获取与所述目标数据的内存特征数据块相似值最大的所述内存镜像的内存特征数据块