一種用于刑偵的計算機(jī)內(nèi)存中賬號密碼的提取方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機(jī)安全技術(shù)領(lǐng)域,具體涉及一種用于刑偵的計算機(jī)內(nèi)存中賬號密碼的提取方法�。
【背景技術(shù)】
[0002]通常情況下,人們在使用計算機(jī)時在瀏覽器中登陸過的賬號和密碼大部分是以某種特定的形式保存在計算機(jī)內(nèi)存中��,例如:郵箱、購物網(wǎng)站�、交友網(wǎng)站、以及其他各種用于可登陸的網(wǎng)站的賬號和密碼�。并且在計算機(jī)關(guān)閉前不會丟失。在關(guān)機(jī)后再次開機(jī)時�,如果保留這段數(shù)據(jù)的內(nèi)存沒有被其他數(shù)據(jù)覆蓋�����,那么輸入的賬號及密碼還將會以這種形式保留在內(nèi)存中�。目前,警察刑偵時通常會通過一定的方法獲取犯罪嫌疑人在瀏覽器中登陸過的賬號和密碼以獲得辦案線索或者取證���。
[0003]當(dāng)今的計算機(jī)內(nèi)存取證技術(shù)中����,對于內(nèi)存中保存的賬號和密碼的提取并沒有一種很好的解決方案�,因為在瀏覽器中登陸的賬號和密碼在內(nèi)存中會保存多處,而且并不一定有關(guān)聯(lián)性����,之前取證者都是通過內(nèi)存分塊查看,或者是關(guān)鍵字逐一檢索排查的方式來查找�,這樣既浪費時間��,又不能保證準(zhǔn)確性
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是為克服上述現(xiàn)有技術(shù)的不足��,提供了一種能快速�、準(zhǔn)確的提取計算機(jī)內(nèi)存�。
[0005]為實現(xiàn)上述目的,本發(fā)明采用下述技術(shù)方案:一種用于刑偵的計算機(jī)內(nèi)存中賬號密碼的提取方法�,包括以下步驟:
[0006]—、讀取內(nèi)存���,在讀取的內(nèi)存信息中檢索密碼關(guān)鍵字���,檢索到密碼關(guān)鍵字后,截取密碼關(guān)鍵字前后的字符作為提取的上下文�;
[0007]二、提取賬號��,在提取的上下文中檢索賬號關(guān)鍵字�����,從賬號關(guān)鍵字在提取的上下文中的結(jié)束位置開始截取賬號字符����;
[0008]三��、提取密碼�����,從密碼關(guān)鍵字在提取的上下文中的結(jié)束位置開始截取密碼字符����;
[0009]四��、賬號密碼合法性驗證�����;
[0010]五��、保存賬號字符����、密碼字符���、提取的上下文以及他們所在位置����。
[0011 ] 所述密碼關(guān)鍵字為至少為Password、pwd和passwd��。
[0012]所述賬號關(guān)鍵字至少為username����、login、userid和mail���。
[0013]所述密碼關(guān)鍵字前后合適數(shù)量的字符的個數(shù)為密碼關(guān)鍵字前后各100個�。
[0014]本發(fā)明的有益效果是:采用本技術(shù)方案����,在計算機(jī)內(nèi)存數(shù)據(jù)鑒定分析的時候,可以在短時間內(nèi)快速獲取內(nèi)存中相匹配的賬號和密碼�,并且不會遺漏任何有價值的數(shù)據(jù),極大地提升了取證效率和質(zhì)量���,把我國的計算機(jī)內(nèi)存分析技術(shù)帶上一個更高的臺階���。
【附圖說明】
[0015]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。
[0016]圖1為本發(fā)明的邏輯流程框圖���;
【具體實施方式】
[0017]下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然����,所描述的實施例僅僅是本發(fā)明一部分實施例����,而不是全部的實施例?�;诒景l(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都屬于本發(fā)明保護(hù)的范圍�。
[0018]如圖1所示的一種用于刑偵的計算機(jī)內(nèi)存中賬號密碼的提取方法�,先讀取內(nèi)存中以特定形式保存的瀏覽器中的賬號、密碼�����,然后通過相關(guān)的查找匹配來找出相匹配的的賬號和密碼��。
[0019]賬號密碼在內(nèi)存中的保存形式:
[0020]日常使用電腦中��,在登錄網(wǎng)站中進(jìn)行登錄�,輸入賬號及密碼后,賬號和密碼通常為會以(XXX登錄網(wǎng)址XXX【賬號關(guān)鍵字】=賬號XXX【密碼關(guān)鍵字】=密碼XXX)的形式保留在內(nèi)存中����,直到保留這段數(shù)據(jù)的內(nèi)存被其他數(shù)據(jù)覆蓋。如果保留這段數(shù)據(jù)的內(nèi)存沒有被其他數(shù)據(jù)覆蓋�,那么輸入的賬號及密碼還將會以這種形式保留在內(nèi)存中。
[0021 ]賬號的關(guān)鍵字通常為:“username”��、“ login”、“userid”��,“maiI ” 等��。
[0022]密碼的關(guān)鍵字通常為'Password”�����、“pwd”�����、“passwd”等��。
[0023]賬號的關(guān)鍵字和密碼額關(guān)鍵字匹配出現(xiàn)��,并且間隔不會太遠(yuǎn)��,太遠(yuǎn)則不具有關(guān)聯(lián)性����。在獲取中最大間隔設(shè)置為100��。
[0024]數(shù)據(jù)的獲取方法如下:
[0025]1.讀取內(nèi)存數(shù)據(jù)提取上下文��。在內(nèi)存中檢索密碼的關(guān)鍵字(“paSSWOrd”、“pWd”���、“passwd”)����,檢索到關(guān)鍵字后����,截取密碼的關(guān)鍵字前后各100個字符作為提取的上下文,并將檢索關(guān)鍵字的位置作為關(guān)鍵字所在位置���。
[0026]2.提取賬號�����。在提取上下文中檢索賬號的關(guān)鍵字(“usernamWlogin”�����、“userid”�����,“mail”)��,檢索到賬號的關(guān)鍵字后����,從賬號關(guān)鍵字在提取上下文中的結(jié)束位置開始截取字符,遇到空格�����、非顯示字符以及字符【&】時結(jié)束截取����,并將截取到的字符作為賬號字符。截取到的賬號字符不是空時�,則獲取賬號成功。
[0027]3.提取密碼��。從密碼關(guān)鍵字在提取的上下文中的結(jié)束位置開始截取字符�,遇到空格、非顯示字符以及字符【&】時結(jié)束截取�,并將截取到的字符作為密碼。截取到的密碼不是空時�����,則獲取密碼成功����。
[0028]4.賬號、密碼合法性驗證��。獲取到的賬號密碼是“username'“password”��、“value”���、“input”等特殊關(guān)鍵字時�,則認(rèn)為獲取到的賬號密碼不合法�����,賬號密碼獲取失敗��,否則���,則認(rèn)為賬號密碼獲取成功����。
[0029]5.保存提取的上下文�、賬號字符和密碼字符以及他們在提取的上下文中所在位置。用戶可以根據(jù)賬號或密碼的關(guān)鍵字上下文確定該賬號密碼所屬的網(wǎng)站�,或通過關(guān)鍵字所在位置到文件內(nèi)查看關(guān)鍵字前后是否有所屬網(wǎng)站信息�����。
[0030]以上所述僅為本發(fā)明的較佳實施例而已��,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi)��,所作的任何修改��、等同替換�、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
【主權(quán)項】
1.一種用于刑偵的計算機(jī)內(nèi)存中賬號密碼的提取方法��,其特征在于:包括以下步驟: 一����、讀取內(nèi)存,在讀取的內(nèi)存信息中檢索密碼關(guān)鍵字��,檢索到密碼關(guān)鍵字后��,截取密碼關(guān)鍵字前后的字符作為提取的上下文���; 二���、提取賬號,在提取的上下文中檢索賬號關(guān)鍵字���,從賬號關(guān)鍵字在提取的上下文中的結(jié)束位置開始截取賬號字符�����; 三�����、提取密碼��,從密碼關(guān)鍵字在提取的上下文中的結(jié)束位置開始截取密碼字符����; 四���、賬號密碼合法性驗證����; 五、保存賬號字符��、密碼字符�����、提取的上下文以及他們所在位置����。2.根據(jù)權(quán)利要求1所述的用于刑偵的計算機(jī)內(nèi)存中賬號密碼的提取方法,其特征在于:所述密碼關(guān)鍵字為至少為Password�、pwd和passwd。3.根據(jù)權(quán)利要求1所述的用于刑偵的計算機(jī)內(nèi)存中賬號密碼的提取方法�,其特征在于:所述賬號關(guān)鍵字至少為username、login�、userid和mail。4.根據(jù)權(quán)利要求1所述的用于刑偵的計算機(jī)內(nèi)存中賬號密碼的提取方法���,其特征在于:所述截取的密碼關(guān)鍵字前后字符的個數(shù)為密碼關(guān)鍵字前后各100個����。
【專利摘要】本發(fā)明提出了一種用于刑偵的計算機(jī)內(nèi)存中賬號密碼的提取方法�,包括以下步驟:一、讀取內(nèi)存,在讀取的內(nèi)存信息中檢索密碼關(guān)鍵字����,檢索到密碼關(guān)鍵字后,截取密碼關(guān)鍵字前后的字符作為提取的上下文����;二、提取賬號��,在提取的上下文中檢索賬號關(guān)鍵字�����,從賬號關(guān)鍵字在提取的上下文中的結(jié)束位置開始截取賬號字符�����;三�����、提取密碼�����,從密碼關(guān)鍵字在提取的上下文中的結(jié)束位置開始截取密碼字符���;四����、賬號密碼合法性驗證���;五保存賬號字符��、密碼字符�����、提取的上下文以及他們所在位置�。采用本技術(shù)方案�����,在計算機(jī)內(nèi)存數(shù)據(jù)鑒定分析的時候�,可以在短時間內(nèi)快速獲取內(nèi)存中相匹配的賬號和密碼,并且不會遺漏任何有價值的數(shù)據(jù)�����,極大地提升了取證效率和質(zhì)量。
【IPC分類】G06F21/41, G06F21/46, G06F21/50
【公開號】CN105117640
【申請?zhí)枴緾N201510404932
【發(fā)明人】盛凱, 陶建華, 段成鋼
【申請人】濟(jì)南思尼特軟件有限公司
【公開日】2015年12月2日
【申請日】2015年7月10日