代码注入攻击是计算机系统安全领域面临的重要问题之一。基于主机的代码注入攻击(HBCIA,Host-Based Code Injection Attacks)相比于早期的代码注入攻击,因其攻击方式的隐蔽性和复杂性,给用户计算机系统带来了巨大的威胁。在基于主机的代码注入攻击中,注入者实体和受害者实体同为驻留在同一操作系统上的进程,注入者实体通常利用操作系统提供的系统调用接口来对受害者实体进行代码注入。为了对引入基于主机的代码注入攻击技术的恶意软件进行有效检测,当前业界公开了多种基于主机的代码注入攻击检测方法,从动态监测和静态检测两个侧面,在不同的主体和内存区域粒度上对基于主机的代码注入攻击恶意行为实施检测。其中,基于主机的代码注入攻击内存取证方法基于对内存转储文件的分析来检测基于主机的代码注入攻击,被认为是最为实际有效的检测手段之一。本文对当前在内存转储文件中检测基于主机的代码注入攻击的主流系统Quincy进行了深入研究分析,发现Quincy系统采用的基于机器学习的基于主机的代码注入攻击内存特征方案存在以下问题:首先,Quincy系统采用的基于主机的代码注入攻击内存特征方案仅考虑与进程内存结构分布和代码语言属性相关的局部特征,而未考虑与进程、线程相关的全局特征;其次,Quincy系统采用的基于主机的代码注入攻击内存特征方案中存在局部类中特征缺失或特征描述粒度较粗的问题。以上问题导致在Windows 10系统下对恶意软件家族检测的查准率较低。针对以上问题,本文提出一个新的基于主机的代码注入攻击内存特征方案。该方案具有如下特点:(1)向Quincy系统的基于主机的代码注入攻击七大特征类内存特征方案中增设一个global特征类,加强了对目标恶意代码所在进程和线程的信息相关基于主机的代码注入攻击特征的考量。(2)向Quincy系统的基于主机的代码注入攻击七大特征类中增添了与对抗取证相关的内存特征、与恶意木马隐蔽通信机制相关的内存特征、以及与木马恶意操作行为相关的内存特征。上述新增特征和特征类全面升级了当前Quincy系统的内存特征方案。在新内存特征方案基础上,本文为Quincy系统设计并实现了一个性能扩展组件Eugen,用于提取新基于主机的代码注入攻击内存特征并对基于主机的代码注入攻击进行高精确性检测。对Eugen组件加强的Quincy系统进行的性能测试结果表明,基于新的基于主机的代码注入攻击内存特征方案的系统比基于原七大特征类的Quincy系统在Windows 10上表现出了更强的家族探测能力和查准率,相对于Quincy系统家族探测度提升了1.6个家族,家族完整度提升了1.6个家族,查准率提升了7.2%。