روشهای تشخیص بدافزار مبتنی بر تحلیل محتویات حافظه در سالهای اخیر محبوبیت زیادی به دست آوردهاند. تحقیقات انجامشده در این زمینه پیشرفت زیادی داشته و چهارچوبهای تحلیل قدرتمندی نیز بوجود آمده است. درحالیکه این چهارچوبها امکان بررسی یک تصویر لحظهای حافظه با جزئیات کامل را فراهم میکنند، اما تفسیر و همبستهسازی این جزئیات برای استخراج ناسازگاریها نیاز به دانش کاملی از ساختارهای داخلی سیستمعامل دارد. در این پژوهش تمرکز پویشگر پیشنهادی ما بر استخراج اطلاعات از ساختارهای حافظه با پرداختن به ناسازگاریهای ایجادشده توسط تکنیکهای دفاعی مورد استفاده بدافزارها میباشد. در روش ارائه شده با توصیف ساختارهای حافظه به استخراج اثرات مؤثر مربوط به تغییرات رجیستری، دسترسی فایلهای کتابخانهای و فراخوانیهای توابع سیستمعامل پرداختهایم. برای ارزیابی ویژگیهای استخراج شده، نمونهها را براساس ویژگیهای انتخابشده دستهبندی کردیم، بهترین نتایج شامل نرخ تشخیص 98% و نرخ مثبت کاذب 16% میباشند که نشاندهنده مؤثر بودن روشهای تشخیص مبتنی بر تحلیل محتویات حافظه است.
)