内存取证是一个年轻但快速发展的研究领域,是计算机取证领域的一个有前途的领域。 建议将学习的模型驻留在具有严格通信限制的隔离核心中,以实现不破坏性和效率,因此提供了与用户级别视图一致的系统的概率内存级别视图。 使用不同大小的主块序列构造较低级别的存储块,这些块块作为输入输入到长短期存储器(LSTM)模型中。 通过增加双向性和注意力,探索了LSTM模型的四种配置。 从50个Windows便携式可执行(PE)文件中提取程序集级数据,并使用IDA Disassembler工具包构造基本块。 结果表明,较长的主块序列导致更丰富的LSTM隐藏层表示。 根据测试的配置,将隐藏状态作为要素送入Max池层或At