计算机取证技术是网络安全应急响应的基本步骤,恶意软件在计算机系统中执行的异常或未授权操作,可通过分析系统的磁盘驱动器或物理内存进行检测。近年来,常见的内存注入攻击不会将关键的数据写入磁盘,这使得传统的磁盘取证无法取得有效的数字证据,而针对易失性存储器的内存取证技术逐渐在数字取证领域中发挥出不可替代的作用。目前内存取证领域几乎只关注系统的内核地址空间,而对用户地址空间的研究较少,常见的内存注入攻击技术往往在用户地址空间注入恶意代码;另一方面,Windows 10系统作为目前主流的操作系统,是网络攻击者重点关注的目标。因此,本文提出针对Windows 10 64位系统用户地址空间的内存注入检测方法,主要研究内容包括以下三个方面:1.提出一种基于虚拟地址描述符（Virtual Address Descriptor,VAD）树的Windows 10系统的用户地址空间遍历方法。方法基于VAD树确定用户地址空间分配的基本信息,如起始地址、终止地址、占用大小、分配权限和内存类型,通过解析相关元数据描述映射文件、共享内存、进程堆、线程栈和系统保留数据等相关内存区域;2.基于以上的Windows 10系统用户地址空间遍历方法,提出了一种Windows10系统内存注入检测方法。方法首先将用户地址空间抽象为映射文件区和非映射文件区,基于页表条目（Page Table Entry,PTE）获取全部具有可执行权限的页面。将属于非映射文件区的可执行页面作为可疑页面输出,属于映射文件区的可执行页面与磁盘中的PE文件作哈希值对比,出现哈希值不同的页面作为可疑页面输出。3.基于Volatility和Rekall开发了Windows 10用户地址空间遍历插件win10userspace,插件能够能够输出目标进程中分配的内存区域的关键信息,满足基于内存转储和实时响应的取证需求。基于Volatility实现了Windows 10系统内存注入检测插件malfindplus,输出进程中可能包含注入代码的页面。本文提出的基于VAD树的用户地址空间遍历方法能够辅助取证分析人员明确进程用户空间布局,在保证不流失有效数字证据的前提下筛选出可访问的内存区域,并明确其详细信息,能够减少取证分析人员检测、定位和提取恶意代码的工作量;提出的Windows 10用户地址空间内存注入攻击检测方法能够有效检测常见的几种内存注入攻击,能够提取出被注入恶意代码的页面,辅助取证分析人员快速定位和提取被注入恶意代码的内存空间,以便开展后续的恶意代码分析和安全响应工作。