一種基于物理內(nèi)存分析的遠程取證系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及云取證分析領域,尤其涉及一種對遠程目標終端物理內(nèi)存鏡像文件進行的取證分析���,具體地講�,是指一種基于物理內(nèi)存分析的遠程取證系統(tǒng)�。
【背景技術】
[0002]在電子數(shù)據(jù)取證過程中,對取證數(shù)據(jù)的分析過程經(jīng)常依賴于取證人員個人經(jīng)驗和思考判斷來選擇恰當?shù)姆治龇椒▉韺崿F(xiàn)對電子取證數(shù)據(jù)的檢測及分析,因為取證人員對取證數(shù)據(jù)的分析往往會涉及到多種分析方法�。這種個人主觀選擇取證分析方法不但不利于對取證數(shù)據(jù)的充分有效利用,還對取證效率產(chǎn)生了負面影響�。此外,需要進行取證鑒定的案件數(shù)量逐年激增����,但是取證人員數(shù)量有限,無法及時到達現(xiàn)場展開調(diào)查取證��,且個人經(jīng)驗有限����,難以全方面的進行取證。在線證據(jù)主要保存在計算機物理內(nèi)存中���,因此對物理內(nèi)存的分析是在線證據(jù)分析的關鍵��。第三���、當前的傳統(tǒng)的在線取證方式是需要各類取證工具在目標計算機系統(tǒng)中運行,以完成數(shù)據(jù)的收集和分析工作�����,這使得證據(jù)的收集活動嚴重影響了證件的可信性,即使取得了一些證據(jù)�,其完整性和真實性也很難得到證明,尤其隨著核心態(tài)木馬和反取證技術的發(fā)展����,很多在線工具獲取的數(shù)據(jù)很可能已被篡改。傳統(tǒng)的取證方式首先獲取磁盤(硬盤)的鏡像文件���,然后再對硬盤鏡像文件進行搜索����、分析��、呈現(xiàn)等工作�,硬盤鏡像文件很容易被事先篡改���,真實性和可信度不高�����。碩士論文基于數(shù)據(jù)恢復的遠程計算機取證系統(tǒng)的研究與實現(xiàn)�����,使用遠程控制實現(xiàn)了對數(shù)據(jù)�����、文件等系統(tǒng)的恢復�����,但是數(shù)據(jù)恢復模塊���,目標主機的系統(tǒng)資源占用率偏高���、容易被犯罪嫌疑人發(fā)現(xiàn);另一方面����,遠程取證系統(tǒng)只能運行在windows系統(tǒng)中,不支持Iinux等常見系統(tǒng)�。發(fā)明專利CN103647791B公開實現(xiàn)的是對遠程移動終端進行的取證,包括雙向語音通話���、視頻傳輸及對遠程控制端進行拍照����,將拍照回傳到PC端,屬于傳統(tǒng)取證方法的一種�。此專利只是將語音通話、視頻等信息進行傳輸�����,具體內(nèi)容或許在傳輸前已經(jīng)被改動���,不能實時傳輸這些信息����。
[0003]
【發(fā)明內(nèi)容】
:
本發(fā)明要解決的技術問題是提供一種遠程信息采集取證管理系統(tǒng)���,幫助工作人員在海量內(nèi)存分析結(jié)果中發(fā)現(xiàn)所需要的關鍵證據(jù),通過分析目標主機的物理內(nèi)存鏡像文件���,獲取內(nèi)存中運行的重要信息���,大大提高了工作效率和電子證據(jù)的真實可信性。
[0004]本發(fā)明采用如下技術手段實現(xiàn)發(fā)明目的:
一種基于物理內(nèi)存分析的遠程取證系統(tǒng)��,其特征在于��,包括:
客戶端:鏡像客戶端的物理內(nèi)存,并存儲到本地�����,并對鏡像文件做hash值計算����,然后調(diào)用物理內(nèi)存分析命令行程序分析此鏡像文件,將分析結(jié)果和鏡像文件一起發(fā)送到服務端����;服務端:偵聽客戶端,若有客戶端連接請求���,服務端連接確認�,連接成功����,服務端收到客戶端發(fā)來的開始發(fā)送信息的標示字符串,則開始接收客戶端信息��,主要收集客戶端的物理內(nèi)存鏡像文件和對應的鏡像文件分析結(jié)果�,服務端采取多線程,能同時收集若干個客戶端的物理內(nèi)存鏡像文件和內(nèi)存分析結(jié)果信息�����,并將內(nèi)存分析結(jié)果存儲到hadoop hive數(shù)據(jù)庫;另一方面�,與遠程控制端建立連接,主要是向遠程控制端發(fā)送客戶端的日志信息��,根據(jù)遠程控制端的檢索條件����,從hadoop hive數(shù)據(jù)庫中查找符合條件的檢索信息,發(fā)送到遠程控制端進行展示�����;
遠程控制端:主要管理服務端��,通過遠程管理服務來獲取客戶端的信息��,并對客戶端的日志信息進行展示���,還有檢索的功能,用戶根據(jù)關鍵詞可以獲取到客戶端的內(nèi)存鏡像分析結(jié)果�����,并提供導出功能,把檢索結(jié)果和內(nèi)存分析結(jié)果導出�����,便于取證人員進一步分析����。
[0005]作為對本技術方案的進一步限定,所述客戶端的日志信息包括客戶端的ip地址���、端口��、傳輸?shù)溺R像文件名��、內(nèi)存分析文件結(jié)果和對應的md5值�����。
[0006]作為對本技術方案的進一步限定�,所述客戶端包括:
客戶端通訊模塊:建立與服務端之間的通訊��,進行文件的傳輸�����;
客戶端日志文件模塊:通過調(diào)用EventLog.exe命令行程序,獲取客戶端主機的系統(tǒng)日志���、安全日志����、應用程序日志�����;
客戶端物理內(nèi)存鏡像模塊:調(diào)用MemDump驅(qū)動程序�,鏡像客戶端主機的物理內(nèi)存,流程�,加載驅(qū)動,創(chuàng)建服務�、打開服務、加載驅(qū)動���,鏡像物理內(nèi)存����、卸載驅(qū)動�;
客戶端物理內(nèi)存分析模塊:打開鏡像的物理內(nèi)存文件,分析出關鍵的客戶端主機基本信息�����、注冊表信息���、郵箱賬戶����、即時通訊賬戶信息��、B1S密碼��、硬盤加密密碼和網(wǎng)絡提交表單����、網(wǎng)絡信息、系統(tǒng)日志信息�、登錄信息、進程信息�����、驅(qū)動信息����、hook信息并暫時存儲到本地��;
客戶端傳輸模塊:傳輸物理內(nèi)存文件���、物理內(nèi)存分析結(jié)果文件、系統(tǒng)日志文件�;
客戶端存儲模塊:將要傳輸?shù)奈锢韮?nèi)存文件、物理內(nèi)存分析結(jié)果�����、系統(tǒng)日志文件暫時存儲到本地�����。
[0007]作為對本技術方案的進一步限定���,所述服務端包括:
服務端通訊模塊:一方面建立與遠程控制端之間的通訊�����,另一方面開啟多個線程與多個客戶端之間進行通訊�����;
服務端接收模塊:根據(jù)建立好的協(xié)議���,對不同的客戶端傳輸?shù)膬?nèi)容同時進行接收,物理內(nèi)存大文件以文件的形式存儲�����,對于物理內(nèi)存分析結(jié)果���,以hadoop hive方式存儲�;
服務端存儲模塊:存儲物理內(nèi)存文件和系統(tǒng)日志�����、安全日志和應用程序日志��;存儲物理內(nèi)存分析結(jié)果到hadoop hive數(shù)據(jù)庫���;
服務端并行分析模塊:同時分析若干個物理內(nèi)存文件���;
服務端數(shù)據(jù)庫檢索模塊:支持對客戶端的基本信息、注冊表信息�����、敏感信息、網(wǎng)絡信息���、系統(tǒng)日志?目息���、登錄?目息、進程?目息����、驅(qū)動?目息、hook彳目息中關鍵字段的檢索����;
服務端展示模塊:主要展示客戶端的日志信息,包括:傳輸時間���、客戶端ip地址����、端口���、傳輸?shù)奈锢韮?nèi)存文件名��、物理內(nèi)存文件的hash值��;另一方面主要展示:hadoop hive數(shù)據(jù)庫中物理內(nèi)存分析結(jié)果�����,展示不同時間段內(nèi)包含關鍵詞的物理內(nèi)存分析結(jié)果�����。
[0008]作為對本技術方案的進一步限定����,所述遠程控制端包括:
遠程新建案例模塊:新建案例的基本信息包括案例名稱����、案例號、使用的hansh算法����、案例保存路徑和案例描述;
遠程開啟服務模塊:輸入服務端ip地址和端口����,建立與服務端的連接通訊��,服務開啟�����; 遠程通訊模塊:建立與服務端之間的通訊����;
遠程日志管理模塊:支持對日志文件進行保存和分析�; 遠程關鍵文件檢索模塊:輸入hive表和表中的關鍵字段,向服務端發(fā)送命令�,即對物理內(nèi)存分析出的某個關鍵文件中的關鍵詞進行檢索,以便獲取到不同時間段的物理內(nèi)存分析結(jié)果����;
遠程并行分析模塊:點擊客戶端已傳輸?shù)奈锢韮?nèi)存文件中的一個或者若干個,像服務端發(fā)送并行分析指令�,將對一個或若干個物理內(nèi)存文件進行分析;
遠程導出模塊:導出檢索分析結(jié)果到文件����。
[0009]與現(xiàn)有技術相比,本發(fā)明的優(yōu)點和積極效果是:本發(fā)明通過遠程管理服務的模式收集客戶端信息����,獲取客戶端的物理內(nèi)存鏡像文件�����、物理內(nèi)存分析結(jié)果和客戶端的日志信息��,并提供檢索物理內(nèi)存分析結(jié)果和并行分析內(nèi)存的功能��,從內(nèi)存分析結(jié)果中獲取到有價值的信息��,物理內(nèi)存信息沒有被篡改的機會����,具有很大的可信性和有效性����,能夠幫助司法人員在海量內(nèi)存分析結(jié)果中發(fā)現(xiàn)所需要要的證據(jù)���,大大提高工作效率���。
[0010]本發(fā)明從獲取物理內(nèi)存鏡像文件、物理內(nèi)存分析角度出發(fā)�����,實時收集遠程的大量設備,服務器��、個人電腦����、智能終端等物理內(nèi)存進行鏡像并進行分析,完成海量證據(jù)的分析處理��,實現(xiàn)單機難以完成的未知病毒檢測�、異常行為檢測、高強度密碼破解等功能����,實現(xiàn)對互聯(lián)網(wǎng)中安全威脅、違法犯罪行為的靈敏感知�、事中取證和全程監(jiān)控,改變了以往只能進行事后取證的局面����,物理內(nèi)存獲取和分析方法,更具有可信性和有效性����。此遠程取證的客戶端以進程或者服務的形式潛入在客戶操作系統(tǒng)中,它屏蔽了用戶與操作系統(tǒng)和硬件結(jié)構的差異,通過遠程取證�����,根據(jù)遠程服務器端的需求�����,可以實現(xiàn)本地證據(jù)的遠程處理�����,包括證據(jù)的保存�����、證據(jù)的分析�����,可以遠程控制取證工具和其它第三方應用�����,實現(xiàn)證據(jù)的實時收集和處理�����,并將遠程證據(jù)和分析結(jié)果發(fā)送到服務器端進行證據(jù)保存����、分析處理。
[0011]另一個方面可以實現(xiàn)安全審計��,遠程取證可以實時獲取客戶端操作系統(tǒng)的安全審計信息��、包括應用程序日志����、安全日志、系統(tǒng)日志等���,同時實現(xiàn)對取證人員進行全程監(jiān)視����、審計和記錄�,并發(fā)送到遠程服務器端分析處理,做到對網(wǎng)絡安全隱患或違法犯罪活動的及時發(fā)現(xiàn)��。遠程取證實現(xiàn)了 IT行業(yè)用戶在取證和安全審計方面的需求���,擴大了應用領域�����,延長了計算機取證的產(chǎn)業(yè)鏈�����。
[0012]基于物理內(nèi)存分析的遠程取證系統(tǒng)提出了有效的����、滿足取證要求的數(shù)字取證分析方案,該方案對提高取證數(shù)據(jù)的可信性和提升取證分析的精準度方面具有重要作用���。
[0013]該方法比傳統(tǒng)在線取證方式更符合傳統(tǒng)物證技術的要求�。傳統(tǒng)的在線取證方法��,取證的各個階段都很難劃分清楚�����。使用基于物理內(nèi)存分析的在線取證方式就能自然地區(qū)分各個階段���,調(diào)查和分析都依賴于所獲得的物理內(nèi)存映像文件,便于驗證分析調(diào)查工作的正確性,比傳統(tǒng)的在線取證方式更符合物證技術的要求���。
[0014]
【附圖說明】
[0015]圖1為本發(fā)明的工作流程圖���。
[0016]【具體實施方式】:
下面結(jié)合實施例,進一步說明本發(fā)明��。
[0017]參見圖1���,本發(fā)明包括:
客戶端:鏡像客戶端的物理內(nèi)存��,并存儲到本地�����,并對鏡像文件做hash值計算���,然后調(diào)用物理內(nèi)存分析命令行程序分析此鏡像文件,將分析結(jié)果和鏡像文件一起發(fā)送到服務端�����;服務端:偵聽客戶端�����,若有客戶端連接請求,服務端連接確認���,連接成功�,服務端收到客戶端發(fā)來的開始發(fā)送信息的標示字符串���,則開始接收客戶端信息���,主要收集客戶端的物理內(nèi)存鏡像文件和對應的鏡像文件分析結(jié)果,服務端采取多線程���,能同時收集若干個客戶端的物理內(nèi)存鏡像文件和內(nèi)存分析結(jié)果信息����,并將內(nèi)存分析結(jié)果存儲到hadoop hive數(shù)據(jù)庫����;另一方面,與遠程控制端建立連接��,主要是向遠程控制端發(fā)送客戶端的日志信息��,根據(jù)遠程控制端的檢索條件��,從hadoop hive數(shù)據(jù)庫中查找符合條件的檢索信息���,發(fā)送到遠程控制端進行展示���;
遠程控制端:主要管理服務端,通過遠程管理服務來獲取客戶端的信息����,并對客戶端的日志信息進行展示,還有檢索的功能��,用戶根據(jù)關鍵詞可以獲取到客戶端的內(nèi)存鏡像分析結(jié)果���,并提供導出功能��,把檢索結(jié)果和內(nèi)存分析結(jié)果導出�,便于取證人員進一步分析�。