CN104750591A - 一种计算机取证装置及取证方法 - Google Patents
一种计算机取证装置及取证方法 Download PDFInfo
- Publication number
- CN104750591A CN104750591A CN201310744166.XA CN201310744166A CN104750591A CN 104750591 A CN104750591 A CN 104750591A CN 201310744166 A CN201310744166 A CN 201310744166A CN 104750591 A CN104750591 A CN 104750591A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- evidence
- computer
- computer forensics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种计算机取证装置及取证方法,包括读写模块:用于读写计算机的内存数据;处理模块:用于对读写到的数据进行相关处理;比对模块:用于对处理过的数据进行比对判断;修改模块:用于对经过判断的数据进行修改。本发明中的计算机取证过程不需要被取证对象的配合,能够自动取证。能够保存历史数据,防止被取证对象对证据的删除等处理。实时性高,能够在计算机运行的时候实时取证,而不是事后取证。
Description
技术领域
本发明涉及一种取证系统,尤其涉及一种计算机取证装置及取证方法。
背景技术
现阶段实时计算机取证的手段主要包括两种,第一种是通过硬盘拷贝进行取证,主要的产品有Logicube公司的计算机取证产品Dossier、Quest-2,达思万能数据恢复系统(DST Almighty Data Recovery System,简称D-ARS)等;第二种是采用入侵植入软件的方式进行取证,类似于病毒对计算机的运行痕迹进行保存。硬盘拷贝取证系统需要被取证对象的配合,能动性不强,软件取证方式会影响计算机进程,容易被检测查杀。
因此,现有技术存在缺陷。
发明内容
本发明的目的在于克服现有技术的不足,本发明提供一种计算机取证装置及取证方法,能主动、实时的实现对计算机内存实现取证,解决现有技术中取证存在的问题。
为实现上述目的,本发明提供的技术方案是:一种计算机取证装置,包括:读写模块:用于读写计算机的内存数据;处理模块:用于对读写到的数据进行相关处理;比对模块:用于对处理过的数据进行比对判断;修改模块:用于对经过判断的数据进行修改。
依照本发明的一个方面,所述处理模块包括格式转换部,用于将读取到的内存数据进行格式转换,以便于其他模块对其进行比对修改。
依照本发明的一个方面,所述计算机取证系统还包括用于传输相关指令和数据的传输模块以及用于发送指令的指令模块。
依照本发明的一个方面,所述读写模块、传输模块设置为1394接口。
依照本发明的一个方面,所述1394接口通过PCI或PCI-E接口与计算机相连接。
依照本发明的一个方面,所述处理模块、比对模块、修改模块以及指令模块设置为FPGA主控芯片。
依照本发明的一个方面,一种计算机取证方法,所述取证方法包括以下步骤:
读取计算机内存数据;
对内存数据进行分析和比对;
判断读取到的内存数据是否为关键数据;
判断是关键数据,修改关键位并启动1394接口,将修改后数据写入计算机内存,完成内存的修改,实现硬件取证代码的植入。
依照本发明的一个方面,所述1394接口通过PCI或PCI-E接口实现对计算机内存数据的读取。
依照本发明的一个方面,所述对内存数据进行分析和比对是通过FPGA实现的,其对数据的分析是实时的。
依照本发明的一个方面,所述FPGA对内存的实时分析的结果,能及时通过FPGA产生相应的内存修改数据,对一些计算机的非法操作进行禁止或中断。
本发明的有益效果是:
不需要被取证对象的配合,能够自动取证。能够保存历史数据,防止被取证对象对证据的删除等处理。实时性高,能够在计算机运行的时候实时取证,而不是事后取证。
附图说明
图1是本发明一种计算机取证装置及取证方法中取证过程的流程图;
图2是本发明中一种计算机取证装置及取证方法中1394接口的工作流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种计算机取证装置,包括:读写模块:用于读写计算机的内存数据;处理模块:用于对读写到的数据进行相关处理;比对模块:用于对处理过的数据进行比对判断;修改模块:用于对经过判断的数据进行修改。所述处理模块包括格式转换部,用于将读取到的内存数据进行格式转换,以便于其他模块对其进行比对修改。所述计算机取证系统包括用于传输相关指令和数据的传输模块,所述计算机取证系统还包括指令模块,该模块将相应的读写指令发送给读写模块,将相应的传输指令发送给传输模块。
所述读写模块、传输模块设置为1394接口,所述1394接口通过PCI或PCI-E接口与计算机相连接。由于1394总线的高速性和其独立于主机的操作能力,较之USB、RS232、RS485等总线有明显优势,所以本系统采用1394总线方式作为硬件入侵的总线方式。1394接口不需要电脑控制,也不需要HUB,仅利用网桥即可实现互联,并且理论上可以达到无限级联;其传输速率最高可达1Gb/s以上。由于计算机特别是台式机一般没有1394接口,所以将1394接口通过PCI接口与计算机相连接。通过1394接口读取计算机的内存,并对内存进行分析、比对,找到需要修改的关键信息,修改后写入内存中,从而实现硬件取证。
所述处理模块、比对模块、修改模块以及指令模块设置为FPGA主控芯片。可编程逻辑阵列FPGA器件对读取的内存数据进行实时的分析,能够实时发现和取证计算机的内存数据;FPGA器件具有速度快、并行处理能力强、分析能力强、可靠性高的优点,在对1394协议进行控制的同时,能够快速、实时实现所读取的内存数据的分析。
一种计算机取证方法,所述取证方法包括以下过程:
步骤S1:读取计算机内存数据;
所述1394接口通过PCI或PCI-E接口实现对计算机内存数据的读取。由于计算机特别是台式机一般没有1394接口,所以将1394接口通过PCI接口与计算机相连接。
步骤S2:对内存数据进行分析和比对;
所述对内存数据进行分析和比对是通过FPGA实现的,其对数据的分析是实时的。采用现场可编程逻辑阵列FPGA器件对读取的内存数据进行实时的分析,能够实时发现和取证计算机的内存数据;FPGA器件具有速度快、并行处理能力强、分析能力强、可靠性高的优点,在对1394协议进行控制的同时,能够快速、实时实现所读取的内存数据的分析。
步骤S3:判断读取到的内存数据是否为关键数据;
所述对内存数据进行分析和比对是通过FPGA实现的,其对数据的分析是实时的。能够通过FPGA对内存的实时分析的结果,当发现有如翻墙、越权等非法操作的时候,能够及时通过FPGA产生相应的内存修改数据,对一些计算机的非法操作进行禁止或中断。实时的保护计算机的正常运行。实时将非法操作信息发送到指定计算机。当发现有非法操作的时候,将内存分析的解决通过网络发送到指定计算机,当网络不通时,能够实时将痕迹记录到指定目录的文件中,实时留下取证证据。
步骤S4:判断是关键数据,修改关键位并启动1394接口,将修改后数据写入计算机内存,完成内存的修改,实现硬件取证代码的植入。不是则丢弃该数据,重回步骤S1。
所述取证系统及取证方法可以不依托计算机软件系统,可以跨过操作系统等软件,杀毒软件无法查找到本硬件取证系统,由于不需要在计算机端安装软件,所以基于运行进程的杀毒软件都无法检测到硬件取证板卡的存在。
一个实施例是,所述处理模块、指令模块设置在FPGA主控芯片。FPGA具有运行速度快、逻辑资源和存储资源丰富、时钟灵活、实时性高、控制时序严格等优点,可以很好的实现IEEE1394接口的控制和数据传输,同时能够对读写的计算机的内存数据进行快速、实时的分析。本系统可以选用美国FPGA的主流生产厂家Altera公司的EP2C70F672C6作为主控芯片,该芯片的特点是管脚丰富,逻辑资源和存储资源丰富,不需要配置外围存储芯片,运行时钟可以达到100MHz,同时成本较低,稳定性高。其外围电路主要包括程序下载电路、晶振和程序配置芯片。同时为了调试方便,还可以设计一路RS232串口。
本发明中实现取证过程的硬件基础是FPGA主控芯片和1394接口总线,其具体实现取证的过程如图1所示,FPGA具有丰富的并行逻辑资源和存储资源,这些资源能够高速并行的工作。在完成对1394接口驱动的同时,能够对1394接口读写的计算机内存进行分析、比对和处理;当是需要的关键数据时,修改关键位,并启动1394接口,将修改后的数据写入到计算机的内存中,这样就完成了内存的修改,实现了硬件取证代码的植入。当不是关键数据时,将该数据丢弃,并继续往下读写内存数据,指导读写到关键的信息并进行修改和写入为止。
参照图2所示,所述FPGA芯片对1394接口的控制包括以下过程:FPGA顶层控制部分根据计算机的运行情况,通过应用程序向FPGA内的1394控制部分发出读写和控制命令,控制部分将这些请求发送到相应的1394功能驱动程序,1394功能驱动程序将用户的请求转换为1394请求包,并将其发送到1394总线驱动程序;1394主机控制接口驱动程序将请求包发送到1394主机控制接口驱动程序,这个1394主机控制接口驱动程序为1394驱动程序中的底层驱动程序,它将直接与设备控制器进行通信,通过控制器的固件程序来完成对控制器芯片的初始化、对信息处理部分的程序引导以及逻辑功能的编程等,或者完成数据传输控制程序。
本系统能够通过在计算机主板上插入硬件取证板卡,通过1394接口实现98.304MHz/s、196.608MHz/s或392.216MHZ/s的传输速率对计算机内存进行读写,能够对计算机的运行情况进行实时取证,不影响计算机的正常运行,对于小于或等于16G内存的计算机能够在2分钟内完成内存的取证工作。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域技术的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种计算机取证装置,其特征在于:包括:
读写模块:用于读写计算机的内存数据;
处理模块:用于对读写到的数据进行相关处理;
比对模块:用于对处理过的数据进行比对判断;
修改模块:用于对经过判断的数据进行修改。
2.根据权利要求1所述的一种计算机取证装置,其特征在于:所述处理模块包括格式转换部,用于将读取到的内存数据进行格式转换,以便于其他模块对其进行比对修改。
3.根据权利要求2所述的一种计算机取证装置,其特征在于:所述计算机取证系统还包括用于传输相关指令和数据的传输模块以及用于发送指令的指令模块。
4.根据权利要求3所述的一种计算机取证装置,其特征在于:所述读写模块、传输模块设置为1394接口。
5.根据权利要求4所述的一种计算机取证装置,其特征在于:所述1394接口通过PCI或PCI-E接口与计算机相连接。
6.根据权利要求1至5任一所述的一种计算机取证装置,其特征在于:所述处理模块、比对模块、修改模块以及指令模块设置为FPGA主控芯片。
7.一种计算机取证方法,其特征在于;所述取证方法包括以下步骤:
读取计算机内存数据;
对内存数据进行分析和比对;
判断读取到的内存数据是否为关键数据;
判断是关键数据,修改关键位并启动1394接口,将修改后数据写入计算机内存,完成内存的修改,实现硬件取证代码的植入。
8.根据权利要求7所述的一种计算机取证方法,其特征在于:所述1394接口通过PCI或PCI-E接口实现对计算机内存数据的读取。
9.根据权利要求7所述的一种计算机取证方法,其特征在于:所述对内存数据进行分析和比对是通过FPGA实现的,其对数据的分析是实时的。
10.根据权利要求7所述的一种计算机取证方法,其特征在于:所述FPGA对内存的实时分析的结果,能及时通过FPGA产生相应的内存修改数据,对一些计算机的非法操作进行禁止或中断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310744166.XA CN104750591A (zh) | 2013-12-30 | 2013-12-30 | 一种计算机取证装置及取证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310744166.XA CN104750591A (zh) | 2013-12-30 | 2013-12-30 | 一种计算机取证装置及取证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104750591A true CN104750591A (zh) | 2015-07-01 |
Family
ID=53590327
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310744166.XA Pending CN104750591A (zh) | 2013-12-30 | 2013-12-30 | 一种计算机取证装置及取证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104750591A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107968803A (zh) * | 2016-10-20 | 2018-04-27 | 中国电信股份有限公司 | 针对移动终端的远程取证方法、装置、移动终端和系统 |
| CN113986806A (zh) * | 2021-11-03 | 2022-01-28 | 厦门市美亚柏科信息股份有限公司 | 一种基于串口加网口的goip高速取证的方法、系统和存储介质 |
| CN116383015A (zh) * | 2023-06-06 | 2023-07-04 | 成都安思科技有限公司 | 基于可扩展板卡插接式的物理内存无感取证系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101271419A (zh) * | 2008-04-03 | 2008-09-24 | 华为技术有限公司 | 随机存储器失效的检测处理方法、装置和系统 |
| CN202205195U (zh) * | 2011-07-14 | 2012-04-25 | 山东省计算中心 | 一种通过ieee 1394接口读写计算机物理内存的设备 |
| CN102436560A (zh) * | 2011-08-22 | 2012-05-02 | 高振宇 | 计算机自防御系统及方法 |
| CN103218275A (zh) * | 2013-03-28 | 2013-07-24 | 华为技术有限公司 | 数据错误修复方法、装置和设备 |
-
2013
- 2013-12-30 CN CN201310744166.XA patent/CN104750591A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101271419A (zh) * | 2008-04-03 | 2008-09-24 | 华为技术有限公司 | 随机存储器失效的检测处理方法、装置和系统 |
| CN202205195U (zh) * | 2011-07-14 | 2012-04-25 | 山东省计算中心 | 一种通过ieee 1394接口读写计算机物理内存的设备 |
| CN102436560A (zh) * | 2011-08-22 | 2012-05-02 | 高振宇 | 计算机自防御系统及方法 |
| CN103218275A (zh) * | 2013-03-28 | 2013-07-24 | 华为技术有限公司 | 数据错误修复方法、装置和设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107968803A (zh) * | 2016-10-20 | 2018-04-27 | 中国电信股份有限公司 | 针对移动终端的远程取证方法、装置、移动终端和系统 |
| CN113986806A (zh) * | 2021-11-03 | 2022-01-28 | 厦门市美亚柏科信息股份有限公司 | 一种基于串口加网口的goip高速取证的方法、系统和存储介质 |
| CN113986806B (zh) * | 2021-11-03 | 2022-08-02 | 厦门市美亚柏科信息股份有限公司 | 基于串口加网口的goip高速取证的方法、系统和存储介质 |
| CN116383015A (zh) * | 2023-06-06 | 2023-07-04 | 成都安思科技有限公司 | 基于可扩展板卡插接式的物理内存无感取证系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101976217B (zh) | 网络处理器异常检测方法及系统 | |
| CN103559053B (zh) | 一种板卡系统及通信接口卡fpga在线升级方法 | |
| CN110941395B (zh) | 动态随机存取存储器、内存管理方法、系统及存储介质 | |
| WO2005013053A2 (en) | Apparatus and method for software debugging | |
| CN101937344B (zh) | 一种计算机快速启动的装置及方法 | |
| CN100388234C (zh) | 一种基于有限状态机的对内存变量改写进行监控的方法 | |
| CN105718281A (zh) | 一种触摸屏固件升级方法及装置 | |
| CN101493847A (zh) | 一种通讯片上系统芯片追踪调试的方法及装置 | |
| CN104750591A (zh) | 一种计算机取证装置及取证方法 | |
| CN109885466B (zh) | 处理器c8000的仿真方法、系统及介质 | |
| CN101751327A (zh) | 嵌入式处理器的跟踪调试方法 | |
| CN105468390A (zh) | Boot在线升级装置及方法 | |
| CN103809988A (zh) | 一种信息处理方法及电子设备 | |
| CN103389893B (zh) | 一种配置寄存器读写方法及装置 | |
| CN103890713A (zh) | 用于管理处理系统内的寄存器信息的装置及方法 | |
| CN203658991U (zh) | 一种计算机取证系统 | |
| CN102567251B (zh) | Bios的控制方法和装置 | |
| CN103761203B (zh) | 一种用于不同硬件设备的通用连接方法 | |
| CN102737198B (zh) | 对象保护方法及装置 | |
| US10761967B2 (en) | Managing and maintaining multiple debug contexts in a debug execution mode for real-time processors | |
| CN103744752B (zh) | 一种内存的在线故障检测方法和装置 | |
| CN205103653U (zh) | 汽车控制器数据处理系统 | |
| TWI755059B (zh) | 儲存設備及其異常斷電恢復方法 | |
| CN110109849B (zh) | 一种基于pci总线的can设备驱动装置及方法 | |
| CN203849724U (zh) | 基于可编程芯片的pcb板 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150701 |