随着计算机技术的迅速发展,不断增长的硬盘存储空间、越来越复杂的加密软件技术以及仅驻留内存型恶意软件的出现与发展等因素都给传统的以磁盘取证为代表的面向持久化数据的计算机取证方式带来了巨大的挑战。而针对易失性内存的取证研究越来越受到人们的关注。内存取证领域在近些年也获得了长足的发展。但目前的内存取证方法的关注点主要集中在如何获取内存证据以及如何恢复内存中的数据结构。而涉及到如何自动化地将恶意进程从众多进程数据中识别出来、在高层语义层次上分析它们的行为从而收集相关证据的研究并不多见。事实上在实际案例中,取证调查者们常常需要面对大量他们并没有先验知识的未知进程。即使对于有经验的专家来说,研究这些进程并识别出其中的恶意进程仍然需要消耗大量的时间和精力。尽管当前主流的商业恶意软件检测工具可以为检测工作提供一些帮助,但是由于设计目的不同,它们通常不能揭示恶意软件的目的、能力构成以及行为细节,因而并不能很好地满足取证工作的需求。基于上述背景,本文提出了一种基于进程动态链接库信息和数据挖掘技术的恶意进程自动取证分析框架。框架由恶意进程自动识别技术、恶意进程自动分组技术和进程证据自动获取技术三部分组成。当给定一些未知进程时,通过基于动态链接库的模型以及隐藏朴素贝叶斯分类方法实现的组件可以自动将恶意进程区分出来。而通过聚类分析实现的组件则进一步将恶意进程分组归类,从而揭示目标恶意进程的更多细节信息。最终基于频繁项集分析的组件将进一步引导调查者进行证据收集。该框架不仅适用于离线分析场景也可以应用到实时分析场景。基于真实恶意软件的实验数据表明该框架的识别准确率超过90%而时间消耗仅为数秒。