CN101419536A - 一种计算机内存数据获取方法与系统 - Google Patents
一种计算机内存数据获取方法与系统 Download PDFInfo
- Publication number
- CN101419536A CN101419536A CN 200810237831 CN200810237831A CN101419536A CN 101419536 A CN101419536 A CN 101419536A CN 200810237831 CN200810237831 CN 200810237831 CN 200810237831 A CN200810237831 A CN 200810237831A CN 101419536 A CN101419536 A CN 101419536A
- Authority
- CN
- China
- Prior art keywords
- evidence
- computer
- computing machine
- memory
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种计算机内存数据获取方法与系统。本发明计算机内存数据获取系统通过IEEE 1394借口模拟移动硬盘登录到待取证计算机,并使待取证计算机开放DMA功能;进而完成内存的读取。本发明能够直接读写计算机内存中数据的方法,以及使用该方法获取计算机物理内存的系统。这种方法或系统可以获取处在密码保护状态(如屏保、锁定状态)下的Windows系统的内存信息,并且对内存的改动较小。
Description
(一)技术领域
本发明涉及一种计算机内存数据获取方法与系统,具体是涉及一种能够实施对计算机物理内存进行获取的方法和系统,属于信息安全和计算机技术领域。
(二)背景技术
随着计算机技术、计算机网络技术和互联网的飞速发展,计算机正在极大地促进人类社会的进步,计算机和电子数据已经深入到人们日常生活的各个方面。计算机技术在带给我们巨大的益处的同时也带来了计算机犯罪问题。各类黑客入侵、网络诈骗、网络色情等案件不断涌现。网络犯罪已涉及到绝大部分社会犯罪现象,已经影响了正常的经济秩序。而打击网络犯罪主要依靠的技术手段是计算机取证技术(Computer Forensics)。计算机取证学是计算机科学和法学的交叉学科,对计算机取证的研究始于上世纪90年代。1993年召开了计算机取证国际会议,并成立了电子证据科学工作组。从此计算机取证越来越受到计算机安全和法律专家的重视。
作为计算机运行过程中程序和中间数据的存放地,计算机内存中含有大量的有用信息,包括程序进程运行状态、网络连接、开放端口、口令密码、加密文件的明文甚至密钥,这些信息往往在案件调查中起到关键作用。然而如何准确、完整地获取系统的内存,并尽量减少对目标系统的内存改变成为一个难题。内存取证一般分为软硬件两种方法,软件方法不可避免地带来内存数据的大量改变,并且不适应处于密码保护状态(如屏保、锁定状态)的电脑。硬件方法是通过专门的硬件实时的读取内存中的内容,目前的主要方法是在计算机内部安装一个扩展卡,这种方法的缺点是必须在计算机中事先安装扩展卡,显然,要求在所有计算机中都安装这种扩展卡是不现实的,因此对犯罪分子计算机内存数据内容的获得也就无能为力。
(三)发明内容
针对目前内存获取存在的问题,本发明意在提供一种通过IEEE 1394接口能够直接读写计算机内存中数据的方法,以及使用该方法获取计算机物理内存的系统。这种方法或系统可以获取处在密码保护状态(如屏保、锁定状态)下的Windows系统的内存信息,并且对内存的改动较小。
根据本发明的计算机内存数据获取系统,包括:
内存读写转储设备,包括可数据交换的通过IEEE 1394接口与待取证计算机相连的IEEE 1394控制器和通过通用接口与取证设备相连的通用接口控制器;以及
虚拟硬盘登录模块,用于将本系统添加为待取证计算机的具有所说的IEEE 1394接口的移动硬盘设备,使待取证计算机操作系统向本系统开放DMA功能;
系统配置模块,针对不同的待取证计算机操作系统进行配置,确定是否需要绕开UMA地址段,以避免操作系统死锁;
物理内存请求数据包发送和响应接收模块,用于读取物理内存;
内存转储模块,将所读取的物理内存数据包通过所述通用接口发送至取证计算机。
上述计算机内存数据获取系统,其中所说的通用接口和通用接口控制器分别为USB接口和USB控制器。
所述虚拟硬盘登陆模块、系统配置模块、物理内存请求数据包发送和响应接受模块、内存转储模块为固化在通过I2C总线与所述USB控制器连接的串行EEPROM中的固件。
根据本发明的计算机内存数据获取系统,所说的固件进一步包括本系统的初始化模块。
根据本发明的计算机内存数据获取方法,其包括以下步骤:
a.通过IEEE 1394总线以虚拟硬盘模式登录到待取证计算机;
b.向待取证计算机操作系统提供虚拟硬盘的Config Rom描述及配置信息,使其开放DMA功能给该IEEE 1394设备,以获权对待取证计算机进行内存读取;
c.针对待取证计算机操作系统,配置获取操作以绕开对内存UMA地址段的读写或者固定配置为绕开此地址段,防止系统死锁;
d.发送读取内存数据包读取待取证计算机内存数据;
e.将所获的计算机内存数据转存至取证计算机。
上述计算机内存数据获取方法,所述的以虚拟硬盘模式登录到待取证计算机步骤是结合IEEE 1394协议、SBP-2协议、RBC协议和操作系统对外部设备的即插即用管理,模拟具有1394接口的移动硬盘的Config Rom和CSR描述,并根据SBP-2协议,分别实现一个Management Agent和一个Command Agent负责在设备枚举和初始化过程中与操作系统交换数据。
所说的发送读取内存数据包优选根据IEEE 1394协议和OHCI协议,并根据上层控制软件发来的相应参数,构造读写物理内存数据包并通过1394总线发送到待取证计算机,同时接收返回的数据。
上述计算机内存数据获取方法,将所述的取证计算机获得的内存数据存储为二进制文件,计算其哈希校验值。
对于需要对待取证计算机内存进行密码破解或者进一步追踪分析,可以将分析完毕的内存数据回写待取证计算机内存。
根据本发明的计算机内存数据的获取系统和方法基于1394总线技术和操作系统在特定情况下可开放DMA的特点。借助于计算机系统的软硬件架构,其中硬件基础是I/O设备的DMA数据传输方式;软件基础是各种操作系统的基本配置和即插即用功能,构造获取内存数据的系统和方法。
根据本发明的系统和方法通过构造虚拟硬盘登陆,配置系统信息,使待取证计算机对该基于IEEE 1394的系统开放DMA,从而使其可以直接对计算机内存中的数据进行读取分析,扩展了有用信息量,提高了取证和应急响应的效率。其次,相对于在计算机内部预先安装扩展卡,本系统只需将其通过1394接口连接到待取证计算机,即可对其内存数据进行读写,无需一般计算机用户或取证人员预先安装任何软硬件。特别的,针对犯罪分子使用的计算机,不可能有预先安装的扩展卡,因此,使用范围相对得以扩展。再者,利用1394总线外设即插即用、可热插拔的特点和1394b800Mb/s的数据传输带宽,用本系统进行取证可保证数据的即时获取,实时性强。进一步的,相对于通过软件获取内存,本系统提供对现场数据更好的保护,系统的加载只需少量内存运行操作系统自带的驱动程序,而系统的运行则完全不占用内存。同时本系统可获取处在密码保护状态(如屏保、锁定状态)下的Windows系统的内存信息。本系统取证方法简单,只需要简单的即插即用硬件的安装,对现场技术人员要求低,不需要具备专业的计算机知识,便于推广应用。
(四)附图说明
下面结合说明书附图来对本发明的技术方案作进一步的说明,以使本领域的技术人员更好的理解本发明,其中:
图1为本发明优选实施例中计算机内存数据获取系统的原理框图。
图2为本发明优选实施例中计算机内存数据获取方法流程图。
图3为本发明优选实施例中内存读写和转储装置结构框图。
图4为本发明优选实施例计算机内存数据获取系统中固件流程图。
图中:1、内存获取系统,2、待取证计算机。
(五)具体实施方式
下面结合说明书附图1、3和4,以带有1394接口和USB接口的内存读写和转储装置,以及固件部分计算机内存数据获取系统为例具体阐明一下本发明。其中:
硬件部分主要包括一个具有1394接口和USB接口的内存读写和转储装置,该装置包括可数据交换的通过IEEE 1394接口与待取证计算机相连的IEEE 1394控制器和通过USB接口与取证计算机相连的USB控制器,实现取证计算机和待取证计算机物理链路的连接;同时,USB控制器I2C总线还连接有一个用于存放固件程序的串行EEPROM芯片。其中USB控制器负责整个系统的运行控制,包括参数接收、1394控制器的配置和控制、控制内存数据在1394控制器和USB控制器之间的传输以及将获取的内存数据送至取证计算机。1394控制器包括物理层和链路层两部分,可选择两个单独的芯片或两层集成的芯片,负责1394数据包的发送和接收。为实现对待取证计算机物理内存的读取,还需要所述固件中的
虚拟硬盘登录模块,用于将本系统添加为待取证计算机的具有所说的IEEE 1394接口的移动硬盘设备,使待取证计算机操作系统向本系统开放DMA功能;
系统配置模块,针对不同的待取证计算机操作系统进行配置,确定是否需要绕开UMA(Upper Memory Area)地址段,以避免操作系统死锁;对于此模块,因我们获取内存信息一般不需要该地址段,所以优选选择绕开UMA地址段,使其可以应用于不同的操作系统。
物理内存请求数据包发送和响应接收模块,用于读取物理内存;
内存转储模块,将所读取的物理内存数据包通过所述通用接口发送至取证计算机,使我们最终获得所需要的内存数据。
所说的固件进一步包括本系统的初始化模块,以对系统加电后的初始化,包括USB控制器的端点配置、缓冲配置、与1394控制器接口的配置、各GPIO引脚的配置以及将一个虚拟硬盘的CONFIG ROM写入1394控制器的相应区域等。将设备连接到待取证计算机后,设备进行枚举和初始化,此时固件分别实现了一个MANAGEMENT AGENT和一个COMMANDAGENT管理整个初始化过程。设备登陆成功后以一个1394移动硬盘的形式添加到待取证计算机。
本发明优选选择USB接口这一目前应用最广的串行接口与取证计算机相连,便于其应用。
为了更清楚地了解本发明,结合说明书附图2和4,根据本发明的实施例计算机内存数据获取方法包括以下步骤
a.通过IEEE 1394总线以虚拟硬盘模式登录到待取证计算机,对上述系统进行初始化,使本系统准备好以一个移动硬盘的形式连接到待取证计算机;判断1394总线是否复位,以确定本系统是否与待取证计算机进行了连接;从而,
b.向待取证计算机操作系统提供虚拟硬盘的Config Rom描述及配置信息,使其开放DMA功能给该IEEE 1394设备,以获权对待取证计算机进行内存读取;
c.针对待取证计算机操作系统,配置获取操作以绕开对内存UMA地址段的读写或者固定配置为绕开此地址段,防止系统死锁;对于此步骤,优选固定配置为绕开此地址段,避免针对不同操作系统的烦琐的配置;
d.发送读取内存数据包读取待取证计算机内存数据;
e.将所获的计算机内存数据转存至取证计算机。
所述的以虚拟硬盘模式登录到待取证计算机步骤是结合IEEE 1394协议、SBP-2协议、RBC协议和操作系统对外部设备的即插即用管理,模拟具有1394接口的移动硬盘的Config Rom和CSR描述,并根据SBP-2协议,分别实现一个Management Agent和一个Command Agent负责在设备枚举和初始化过程中与操作系统交换数据。
所述的发送读取内存数据包优选根据1394协议和OHCI协议,并根据上层控制软件发来的相应参数,构造读写物理内存数据包并通过1394总线发送到待取证计算机,同时接收返回的数据。
将所述的取证计算机获得的内存数据存储为二进制文件,计算其哈希校验值,以验证所获的文件的完整性。
若需要对待取证计算机内存进行密码破解或者进一步追踪分析,则将分析完毕的内存数据回写待取证计算机内存。
Claims (9)
1.一种计算机内存数据获取系统,包括:
内存读写转储设备,包括可数据交换的通过IEEE 1394接口与待取证计算机相连的IEEE 1394控制器和通过通用接口与取证设备相连的通用接口控制器;以及
虚拟硬盘登录模块,用于将本系统添加为待取证计算机的具有所说的IEEE 1394接口的移动硬盘设备,使待取证计算机操作系统向本系统开放DMA功能;
系统配置模块,针对不同的待取证计算机操作系统进行配置,确定是否需要绕开UMA地址段,以避免操作系统死锁;
物理内存请求数据包发送和响应接收模块,用于读取物理内存;
内存转储模块,将所读取的物理内存数据包通过所述通用接口发送至取证计算机。
2.根据权利要求1所述的计算机内存数据获取系统,其中所说的通用接口和通用接口控制器分别为USB接口和USB控制器。
3.根据权利要求1所述的计算机内存数据获取系统,其特征在于:所述虚拟硬盘登陆模块、系统配置模块、物理内存请求数据包发送和响应接受模块、内存转储模块为固化在通过I2C总线与所述USB控制器连接的串行EEPROM中的固件。
4.根据权利要求3所述的计算机内存数据获取系统,所说的固件进一步包括本系统的初始化模块。
5.一种计算机内存数据获取方法,其特征在于其包括以下步骤:
a.通过IEEE 1394总线以虚拟硬盘模式登录到待取证计算机;
b.向待取证计算机操作系统提供虚拟硬盘的Config Rom描述及配置信息,使其开放DMA功能给该IEEE 1394设备,以获权对待取证计算机进行内存读取;
c.针对待取证计算机操作系统,配置获取操作以绕开对内存UMA地址段的读写或者固定配置为绕开此地址段,防止系统死锁;
d.发送读取内存数据包读取待取证计算机内存数据;
e.将所获的计算机内存数据转存至取证计算机。
6.根据权利要求5所述的计算机内存数据获取方法,所述的以虚拟硬盘模式登录到待取证计算机步骤是结合IEEE 1394协议、SBP-2协议、RBC协议和操作系统对外部设备的即插即用管理,模拟具有1394接口的移动硬盘的Config Rom和CSR描述,并根据SBP-2协议,分别实现一个Management Agent和一个Command Agent负责在设备枚举和初始化过程中与操作系统交换数据。
7.根据权利要求5所述的计算机内存数据获取方法,其特征在于:所说的发送读取内存数据包优选根据1394协议和OHCI协议,并根据上层控制软件发来的相应参数,构造读写物理内存数据包并通过1394总线发送到待取证计算机,同时接收返回的数据。
8.根据权利要求5至7之一所述的计算机内存数据获取方法,其特征在于:将所述的取证计算机获得的内存数据存储为二进制文件,计算其哈希校验值。
9.根据权利要求5至7之一所述的计算机内存数据获取方法,其特征在于:若需要对待取证计算机内存进行密码破解或者进一步追踪分析,则将分析完毕的内存数据回写待取证计算机内存。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200810237831 CN101419536B (zh) | 2008-12-02 | 2008-12-02 | 一种计算机内存数据获取方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200810237831 CN101419536B (zh) | 2008-12-02 | 2008-12-02 | 一种计算机内存数据获取方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101419536A true CN101419536A (zh) | 2009-04-29 |
CN101419536B CN101419536B (zh) | 2011-01-12 |
Family
ID=40630334
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200810237831 Expired - Fee Related CN101419536B (zh) | 2008-12-02 | 2008-12-02 | 一种计算机内存数据获取方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101419536B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103399830A (zh) * | 2013-08-09 | 2013-11-20 | 山东省计算中心 | 通过PCI Express总线读取计算机物理内存的设备及方法 |
CN104408384A (zh) * | 2014-11-14 | 2015-03-11 | 北京开运联合信息技术有限公司 | 操作系统登录装置和方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001326670A (ja) * | 2000-05-16 | 2001-11-22 | Sony Corp | 情報処理装置およびそれを利用したブリッジ |
JP2004070571A (ja) * | 2002-08-05 | 2004-03-04 | Seiko Epson Corp | データ転送制御システム、電子機器、プログラム及びデータ転送制御方法 |
JP2004070570A (ja) * | 2002-08-05 | 2004-03-04 | Seiko Epson Corp | データ転送制御システム、電子機器、プログラム及びデータ転送制御方法 |
-
2008
- 2008-12-02 CN CN 200810237831 patent/CN101419536B/zh not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103399830A (zh) * | 2013-08-09 | 2013-11-20 | 山东省计算中心 | 通过PCI Express总线读取计算机物理内存的设备及方法 |
CN103399830B (zh) * | 2013-08-09 | 2016-01-06 | 山东省计算中心 | 通过PCI Express总线读取计算机物理内存的设备及方法 |
CN104408384A (zh) * | 2014-11-14 | 2015-03-11 | 北京开运联合信息技术有限公司 | 操作系统登录装置和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101419536B (zh) | 2011-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7093124B2 (en) | Mechanism to improve authentication for remote management of a computer system | |
CN107170474B (zh) | 可扩展存储盒、计算机实施方法以及计算机可读存储装置 | |
US8478982B2 (en) | Media access control security management in physical layer | |
CN101764819B (zh) | 用于检测浏览器中间人攻击的方法和系统 | |
CN100489782C (zh) | 一种虚拟机系统及硬件设备的访问控制方法 | |
CN101751524B (zh) | 一种计算机外接设备管理装置、方法及计算机 | |
CN102255888A (zh) | 从远程服务器对数据存储设备进行安全扫描的方法和装置 | |
EP2534600B1 (en) | Externally managed security and validation processing device | |
CN103226679B (zh) | 安全且可扩充的固态磁盘系统 | |
WO2016018390A1 (en) | Secure bios password method in server computer | |
CN108073351A (zh) | 芯片中非易失性存储空间的数据存储方法和可信芯片 | |
CN101561855B (zh) | 一种计算机对usb设备进行访问的控制方法和系统 | |
CN102654849A (zh) | 一种分区隐藏及读取的方法 | |
CN101419536B (zh) | 一种计算机内存数据获取方法与系统 | |
CN102096734A (zh) | 一种验证总线乱序传输的方法和装置 | |
CN107623699A (zh) | 一种基于云环境的加密系统 | |
CN111737178A (zh) | 一种计算机内存取证方法、设备及内存取证分析系统 | |
CN106709338A (zh) | 一种程序检测方法及装置 | |
CN101398876A (zh) | 用于配置特定用途的计算系统的方法和系统 | |
TWM580206U (zh) | System for identifying identity through device identification by device identification data | |
CN102761538B (zh) | 应用于多种通讯接口网关的通信共享数据区设计管理方法 | |
CN2896370Y (zh) | 一种智能密钥装置 | |
CN105207979B (zh) | 一种基于用户输入特征的用户验证方法及装置 | |
CN201203867Y (zh) | 一种可信计算系统 | |
TW202029036A (zh) | 以嵌入式瀏覽器模組管理憑證之系統及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110112 Termination date: 20131202 |