專利名稱：一種根據(jù)痕跡類型進(jìn)行編碼還原的痕跡信息獲取方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種痕跡信息獲取方法，特別涉及一種根據(jù)痕跡類型進(jìn)行編碼還原的痕跡信息獲取方法。
背景技術(shù)：
隨著現(xiàn)代社會網(wǎng)絡(luò)化、信息化不斷發(fā)展，網(wǎng)絡(luò)入侵攻擊和網(wǎng)絡(luò)泄密事件頻頻發(fā)生，為涉密計算機和涉密信息系統(tǒng)的安全保密工作帶來了巨大的挑戰(zhàn)，也對我國的信息安全保密工作提出了更高的要求。據(jù)我國保密工作部門統(tǒng)計，涉密計算機泄密事件大多都與涉密計算機違規(guī)外聯(lián)及移動存儲介質(zhì)交叉使用有關(guān)。而涉密計算機通過IE瀏覽器登錄互聯(lián)網(wǎng)，訪問互聯(lián)網(wǎng)網(wǎng)站后會在系統(tǒng)中留下大量的上網(wǎng)痕跡，包括IE歷史記錄、cookies文件、IE緩存臨時文件等。USB移動存儲設(shè)備的使用也會在系統(tǒng)注冊表和系統(tǒng)日志文件中留下一些痕跡。在傳統(tǒng)的取證軟件中，只要痕跡被清除之后就很難找出，這給安全保密機關(guān)帶來了很大的麻煩。

發(fā)明內(nèi)容
本發(fā)明的目的就在于為了解決上述問題而提供一種不依賴文件系統(tǒng)，不依賴操作系統(tǒng)能直接對存儲介質(zhì)數(shù)據(jù)分析的根據(jù)痕跡類型進(jìn)行編碼還原的痕跡信息獲取方法。本發(fā)明通過以下技術(shù)方案來實現(xiàn)上述目的:—種根據(jù)痕跡類型進(jìn)行編碼還原的痕跡信息獲取方法，包括以下步驟:(I)分析待檢索痕跡格式的類型以及痕跡在存儲介質(zhì)中的存儲方式，確定痕跡在存儲介質(zhì)中的檢索方法；任何痕跡在存儲介質(zhì)中都有它一定的存儲格式，分析這種存儲格式就能在不依賴操作系統(tǒng)等接口的前提下，通過直接讀取存儲介質(zhì)中的相關(guān)數(shù)據(jù)，達(dá)到痕跡解析的目的。痕跡是指第三方在接觸過數(shù)據(jù)存儲設(shè)備之后，殘留下來的任何可能包含記錄第三方信息或操作信息的數(shù)據(jù)結(jié)構(gòu)，如:網(wǎng)絡(luò)痕跡、文件操作痕跡、竊密痕跡等。所述步驟(I)中的檢索方法包括以下步驟:(I)預(yù)先找出待檢索格式的特征值；(II)在磁盤中對這些特征值進(jìn)行檢索，將檢索到的每一個點都當(dāng)作待檢索痕跡所在的位置進(jìn)行分析；(III)在分析的過程中按照痕跡的格式解析，同時對誤報為痕跡的部分進(jìn)行過濾，最終取得真正痕跡所在的位置數(shù)據(jù)。(2)采用直接讀取的方式打開存儲介質(zhì)，直接將整個存儲介質(zhì)定義為一塊數(shù)據(jù)，里面的每一個數(shù)據(jù)包含所要搜索痕跡的信息；直接讀取存儲介質(zhì)，是指在獲取存儲介質(zhì)上操作痕跡的時候，完全不依賴操作系統(tǒng)和文件系統(tǒng)，直接將整個存儲介質(zhì)定義為一塊數(shù)據(jù)，里面的每一個數(shù)據(jù)都可能包含所要搜索痕跡的信息。這樣，在數(shù)據(jù)檢索的時候，不依賴第三方提供的接口，而是分析某一類操作系統(tǒng)的痕跡所具有的共有特征，根據(jù)這個共有特征，就能夠定位到需要的痕跡位置，通過解析痕跡以及其上下文的信息，就能夠完成對痕跡檢索的提取。(3)讀取存儲介質(zhì)的定位痕跡在存儲介質(zhì)中存儲的包括位置和大小信息的數(shù)據(jù)；(4)根據(jù)步驟(3)讀取的數(shù)據(jù)，按照步驟I中確定的檢索方法，在數(shù)據(jù)中檢索需要的痕跡；(5)按照痕跡的格式對痕跡進(jìn)行編碼還原，對檢索到的痕跡數(shù)據(jù)進(jìn)行解析；這些數(shù)據(jù)將用于定位痕跡碎片的位置和不同痕跡類型的挖掘和提取。定位到痕跡所在的位置后，對其上下文的數(shù)據(jù)進(jìn)行分析，會使用到編碼還原技術(shù)來對上下文對應(yīng)的數(shù)據(jù)進(jìn)行解碼和轉(zhuǎn)義。不同種類痕跡的解析方式可能會相同，也可能會不同。(6)按照步驟(5)的解析結(jié)果，提取需要的痕跡信息。所述存儲介質(zhì)包括磁盤、閃盤、內(nèi)存、文件、進(jìn)程等存儲碎片信息的數(shù)據(jù)載體。本發(fā)明的有益效果在于:本發(fā)明采用痕跡類型進(jìn)行其類型的編碼還原是通過碎片掃描的方式對存儲設(shè)備進(jìn)行檢索，然后根據(jù)碎片類型的不同，進(jìn)行不同類型的操作，直接訪問存儲設(shè)備，不依賴文件系統(tǒng)，不依賴操作系統(tǒng)，通過直接對存儲介質(zhì)數(shù)據(jù)的分析，特別是對相應(yīng)類型數(shù)據(jù)的進(jìn)行主動解析，來獲取還原這些信息的真實內(nèi)容，能夠應(yīng)用在任何操作系統(tǒng)任何存儲介質(zhì)上，具有很強的抗刪除，抗掩蓋性，特別是對于經(jīng)常刪除經(jīng)常修改的信息類型中原始數(shù)據(jù)的提取，有著很大的優(yōu)勢。
具體實施例方式下面對本發(fā)明作進(jìn)一步說明:一種根據(jù)痕跡類型進(jìn)行編碼還原的痕跡信息獲取方法，包括以下步驟:(I)分析待檢索痕跡格式的類型以及痕跡在存儲介質(zhì)中的存儲方式，確定痕跡在存儲介質(zhì)中的檢索方法；所述步驟(I)中的檢索方法包括以下步驟:( I )預(yù)先找出待檢索格式的特征值；( II )在磁盤中對這些特征值進(jìn)行檢索，將檢索到的每一個點都當(dāng)作待檢索痕跡所在的位置進(jìn)行分析；(III)在分析的過程中按照痕跡的格式解析，同時對誤報為痕跡的部分進(jìn)行過濾，最終取得真正痕跡所在的位置數(shù)據(jù)。(2)采用直接讀取的方式打開存儲介質(zhì)，直接將整個存儲介質(zhì)定義為一塊數(shù)據(jù)，里面的每一個數(shù)據(jù)包含所要搜索痕跡的信息；(3)讀取存儲介質(zhì)的定位痕跡在存儲介質(zhì)中存儲的包括位置和大小信息的數(shù)據(jù)；(4)根據(jù)步驟(3)讀取的數(shù)據(jù)，按照步驟I中確定的檢索方法，在數(shù)據(jù)中檢索需要的痕跡；(5)按照痕跡的格式對痕跡進(jìn)行編碼還原，對檢索到的痕跡數(shù)據(jù)進(jìn)行解析；(6)按照步驟(5)的解析結(jié)果，提取需要的痕跡信息。所述存儲介質(zhì)包括磁盤、閃盤、內(nèi)存、文件、進(jìn)程等存儲碎片信息的數(shù)據(jù)載體。
實施案例:違規(guī)文件檢查某公司通過網(wǎng)絡(luò)信息分析，發(fā)現(xiàn)公司某臺機器A上發(fā)生內(nèi)部信息泄漏的情況，但是不確定是機器A的使用者主動發(fā)出，還是由于機器A上被人植入木馬后由木馬竊取。此時，在機器A上檢查，發(fā)現(xiàn)機器A被使用Eraser工具進(jìn)行過剩余空間的清理(Eraser:—款很著名的磁盤清理工具，很多主流的磁盤剩余空間清理工具都是采用的Eraser思路。剩余空間清理:將磁盤的剩余空間進(jìn)行填零操作，杜絕數(shù)據(jù)恢復(fù)的可能性)，并在清理結(jié)束后，曾對其系統(tǒng)進(jìn)行重裝。這樣，不管是按照傳統(tǒng)常規(guī)的思路，還是按照所謂更進(jìn)一步的數(shù)據(jù)恢復(fù)方式進(jìn)行檢查，都已經(jīng)不能檢測出機器上的任何痕跡。因為此時不管是注冊表還是文件，都已經(jīng)不存在任何記錄。按照痕跡類型編碼還原的信息獲取方法，仍然能夠得到檢查的信息。具體操作如下:1、為了取證，需要獲取的是機器A曾經(jīng)文件使用的記錄和相應(yīng)文件的內(nèi)容。文件使用的記錄保存在注冊表中。通過對注冊表這一類文件的分析，我們知道了注冊表在硬盤上存儲的大致格式。比如它們存儲的共同特征是有“nk”標(biāo)記等。以此類推，通過對文件使用記錄的信息在存儲介質(zhì)上也有著類似存儲的共同特征，存儲介質(zhì)包括磁盤、閃盤、內(nèi)存、文件、進(jìn)程等存儲碎片信息的數(shù)據(jù)載體。2、對磁盤上的數(shù)據(jù)進(jìn)行提取分析。因為磁盤被Eraser進(jìn)行過剩余空間清理，所以不能提取出完整的文件，但是Eraser清理完畢后有一個漏洞，就是類似小文件和文件尾數(shù)據(jù)是不會被填零操作。這些信息加起來也是一個不小的數(shù)據(jù)量。另外,pagefile.sys記錄著虛擬內(nèi)存的數(shù)據(jù)，也是不會被銷毀工具清理。3、讀取這些還沒有被清理的數(shù)據(jù)位置。4、對這些位置的數(shù)據(jù)進(jìn)行分析，看是否包含使用文件的記錄和與泄漏有關(guān)的文件內(nèi)容。如果在這些文件中找到注冊表存儲記錄的特征值，就對前后的數(shù)據(jù)進(jìn)行分析。5、如果有注冊表記錄，那么就能夠把注冊表的內(nèi)容解析出來，最終還原出這條注冊表的完整記錄。這樣就能夠得到這臺主機上使用者操作文件的記錄。如果是木馬竊密，則能夠找到木馬安裝記錄和啟動記錄等。在某些文檔編輯的過程中，會在硬盤中生成臨時文件，這些臨時文件會保存本次改變所涉及到的文件內(nèi)容。這些臨時文件在硬盤中保存的方式也有著類似注冊表痕跡的信息供提取。對于此類臨時文件，能夠采用的方式是定位出關(guān)心數(shù)據(jù)中的敏感數(shù)據(jù)，比如“公司機密”等。然后在碎片中按照各種編碼技術(shù)來搜索含有這些敏感數(shù)據(jù)的碎片，找到后，能夠按照類似與注冊表痕跡分析的方式，解析碎片結(jié)構(gòu)的方式找到這些碎片。但是與注冊表痕跡不同的是，此類痕跡碎片，會涉及到內(nèi)容編碼的問題，如Unicode, UTF-8等。要根據(jù)不同的碎片類型，對其中的內(nèi)容進(jìn)行編碼還原，才能夠看到原始文件的內(nèi)容。6、通過以上幾步的操作，如果找到了該文檔的操作記錄和文件編輯記錄，并且文件編輯的內(nèi)容正是公司失竊內(nèi)容的數(shù)據(jù)，就能夠證明這臺機器是由使用者主動發(fā)出。如果在軟件安裝痕跡和啟動痕跡中，發(fā)現(xiàn)了木馬的痕跡，并發(fā)現(xiàn)了木馬竊取文件的記錄，證明該文件確實是由第三方人員植入木馬的方式竊取。至此，該痕跡的提取分析過程完畢。
權(quán)利要求
1.一種根據(jù)痕跡類型進(jìn)行編碼還原的痕跡信息獲取方法，其特征在于:包括以下步驟: (1)分析待檢索痕跡格式的類型以及痕跡在存儲介質(zhì)中的存儲方式，確定痕跡在存儲介質(zhì)中的檢索方法； (2)采用直接讀取的方式打開存儲介質(zhì)，直接將整個存儲介質(zhì)定義為一塊數(shù)據(jù)，里面的每一個數(shù)據(jù)包含所要搜索痕跡的信息； (3)讀取存儲介質(zhì)的定位痕跡在存儲介質(zhì)中存儲的包括位置和大小信息的數(shù)據(jù)； (4)根據(jù)步驟(3)讀取的數(shù)據(jù)，按照步驟I中確定的檢索方法，在數(shù)據(jù)中檢索需要的痕跡； (5)按照痕跡的格式對痕跡進(jìn)行編碼還原，對檢索到的痕跡數(shù)據(jù)進(jìn)行解析； (6)按照步驟(5)的解析結(jié)果，提取需要的痕跡信息。
2.根據(jù)權(quán)利要求1所述的一種根據(jù)痕跡類型進(jìn)行編碼還原的痕跡信息獲取方法，其特征在于:所述步驟(I)中的檢索方法包括以下步驟: (I )預(yù)先找出待檢索格式的特征值； (II)在磁盤中對這些特征值進(jìn)行檢索，將檢索到的每一個點都當(dāng)作待檢索痕跡所在的位置進(jìn)行分析； (III)在分析的過程中按照痕跡的格式解析，同時對誤報為痕跡的部分進(jìn)行過濾，最終取得真正痕跡所在的位置數(shù)據(jù)。
全文摘要
本發(fā)明公開了一種根據(jù)痕跡類型進(jìn)行編碼還原的痕跡信息獲取方法，包括以下步驟(1)分析待檢索痕跡格式的類型以及痕跡在存儲介質(zhì)中的存儲方式，確定痕跡在存儲介質(zhì)中的檢索方法；(2)采用直接讀取的方式打開存儲介質(zhì)，里面的每一個數(shù)據(jù)包含所要搜索痕跡的信息；(3)讀取存儲介質(zhì)的定位痕跡在存儲介質(zhì)中存儲的包括位置和大小信息的數(shù)據(jù)；(4)在數(shù)據(jù)中檢索需要的痕跡；(5)按照痕跡的格式對痕跡進(jìn)行編碼還原，對檢索到的痕跡數(shù)據(jù)進(jìn)行解析；(6)提取需要的痕跡信息。本發(fā)明不依賴文件系統(tǒng)，不依賴操作系統(tǒng)，通過直接對存儲介質(zhì)數(shù)據(jù)的分析，特別是對于經(jīng)常刪除經(jīng)常修改的信息類型中原始數(shù)據(jù)的提取，有著很大的優(yōu)勢。
文檔編號G06F17/30GK103139293SQ201310028598
公開日2013年6月5日 申請日期2013年1月25日 優(yōu)先權(quán)日2013年1月25日
發(fā)明者陳虹宇, 其他發(fā)明人請求不公開姓名 申請人:四川神琥科技有限公司