CN108737373B - 一种针对大型网络设备隐匿技术的安全取证方法 - Google Patents

一种针对大型网络设备隐匿技术的安全取证方法 Download PDF

Info

Publication number
CN108737373B
CN108737373B CN201810324981.3A CN201810324981A CN108737373B CN 108737373 B CN108737373 B CN 108737373B CN 201810324981 A CN201810324981 A CN 201810324981A CN 108737373 B CN108737373 B CN 108737373B
Authority
CN
China
Prior art keywords
function
information
namely
acquiring
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810324981.3A
Other languages
English (en)
Other versions
CN108737373A (zh
Inventor
吕志泉
韩志辉
何永强
吴毓书
张萌
杨亚龙
杨华
李世淙
陈阳
徐剑
饶毓
严寒冰
丁丽
李佳
常霞
狄少嘉
徐原
温森浩
李志辉
姚力
朱芸茜
郭晶
朱天
高胜
胡俊
王小群
张腾
吕利锋
何能强
李挺
王适文
刘婧
肖崇蕙
贾子骁
张帅
马莉雅
雷君
周彧
周昊
高川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN201810324981.3A priority Critical patent/CN108737373B/zh
Publication of CN108737373A publication Critical patent/CN108737373A/zh
Application granted granted Critical
Publication of CN108737373B publication Critical patent/CN108737373B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Technology Law (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下:1、获取网络设备的底层权限;2、在目标设备的底层系统创建一个进程;3、在该进程中注册异常函数,接管最终异常事件;4、在该进程中注册相关信息的取证函数API‑Application Programming Interface,包括:获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数;5、创建一个管道;6、根据用户输入,确认取证信息的类别;7、执行相应的取证函数,通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法,解决了现有信息取证方法的局限性。

Description

一种针对大型网络设备隐匿技术的安全取证方法
一.技术领域
本发明提供一种针对大型网络设备隐匿技术(即“Rootkit”)的安全取证方法,它是一种针对大型网络设备Rootkit的安全取证方法,它涉及漏洞利用,属于网络安全技术领域。
二.背景技术
据报导,著名黑客组织“TAO”小组拥有一系列针对各国知名的网络设备定制的持久性后门控制程序和功能程序。为了获取某些路由设备的代码,专门对其内网进行了攻击,并基于所获取的代码研究了网络设备的漏洞,针对性的开展了攻击,并获取了大量的敏感数据。2016年8月,“影子经纪人”曝光了“方程式”黑客组织的部分网络攻击武器,其中就包含了针对网络设备的大量攻击代码。从代码的设计和实现复杂度分析,该代码显然不是一般黑客组织能实现的,应该属于国家行为组织的针对网络设备的大规模攻击技术研究。
由于网络设备研究的特殊性,我国在网络攻防领域内对网络设备的入侵分析和取证技术研究和敌手比还有明显的差距。首先是研究网络设备入侵分析和取证的技术难度大,其一、网络设备种类繁多,各种设备之间的差异性很大,需要开展有针对性的研究,其工作量非常大。网络设备包括了路由器设备、交换机设备和防火墙UTM等设备,同时又包括主流厂商和某些地区相关的品牌,每个厂商下会形成多个产品的系列和各种不同的版本,其产品的关联度比较低,因此开展研究的难度和工作量都很大。其二、网络设备的一般只提供用户设备的配置管理权限,在出厂时屏蔽了相关的调试接口和系统底层权限,这给入侵分析和取证设置了障碍。入侵分析和取证为了获取完整的取证信息,需要具备底层的权限,因此获取设备底层的权限也具有一定的技术难度。其三、网络设备研究是处在一个黑盒子的状态下进行研究,通常情况下仅可以获得有限的输出信息。入侵分析和取证需要获取设备相对全面的信息,包括文件系统,进程等信息,对设备状态进行分析和比对,这也是研究工作中的一大挑战。
三.发明内容
1.发明目的
鉴于上述问题,本发明提供了一种针对大型网络设备Rootkit安全取证方法,目的在于解决了现有在网络设备信息取证方法的局限性,方便系统管理员审查攻击网络设备的方法及手段。
2.技术方案
本发明提供一种针对大型网络设备隐匿技术(即“Rootkit”)的安全取证方法,其步骤如下:
步骤1:获取网络设备底层系统的超级用户权限(即“root”权限);
步骤2:在目标设备的底层系统创建一个进程(即“process”);
步骤3:在该进程中注册异常处理函数,接管最终异常事件;
步骤4:在该进程中通过注册信息取证函数,提供应用程序编程接口(即“API -Application Programming Interface”),包括:获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数;
步骤5:创建一个管道(即“pipe”);
步骤6:根据用户输入,确认取证信息的类别;
步骤7:执行相应的取证函数,通过管道回传到本地;
通过以上步骤,达到了安全获取大型网络设备信息取证的效果,解决了在大型网络设备上信息取证方法的局限性,以及系统管理员审查攻击网络设备的便捷性、效率型等实际问题。
其中,在步骤1中所述的“获取网络设备底层系统的超级用户权限”,是指受到本发明保护的是一种获取网络设备的底层权限(即root权限)的方法;通过利用设备已公开或未公开的远程代码执行漏洞、设备底层维护接口、设备特定系统引导模式或选项方式,在具备设备管理员权限、物理接触的情况下,远程或本地方式获取设备底层操作系统的完全控制权,访问设备底层操作系统的全部功能和资源;其具体作法是:
1.搜集互联网公开的或自己挖掘的,与目标设备相关的漏洞信息,筛选并测试能够实现对目标设备特定系统版本造成漏洞攻击的利用程序;
2.开发或移植漏洞利用程序,调整利用程序中的关键代码,包括:特定内存地址、特定函数地址、数据包长度、内存偏移等,使得漏洞利用程序能够成功在目标设备上执行程序中实现攻击者获取设备最高权限的代码部分(即“payload”);
3.开发特定payload,该payload是一段计算机代码,能够实现对目标设备底层系统最高权限的获取,并提供一个操作接口,用于后续取证任务;
4.利用开发的漏洞利用程序,向目标设备的具体服务发送特定数据,不同漏洞利用程序针对的设备服务可能不同。目标设备服务响应特定数据,并造成对服务程序原有逻辑的破坏,进而导致中央处理器(即“cpu”)执行精心构造的 payload代码;
5.设备cpu执行payload之后,会远程通过cpu协议上传取证服务程序,并执行取证服务程序,为后续取证过程做准备。
其中,在步骤2中所述的“在目标设备的底层系统创建一个进程”,其创建的具体做法是通过调用系统接口创建进程函数(即“fork()”)函数,在目标设备的底层系统创建一个进程;其作法详述如下:
进程调用fork()函数,操作系统给进程分配资源,创建进程控制块,内核把进程信息放在任务队列的双向链表中,分配独立的内核堆栈,内核通过进程号 (即“PID”)来标识进程,这些创建好的进程将会为后面的注册函数,创建管道,提供支持。
其中,在步骤3中所述的“注册异常处理函数”,是指用于处理进程中发生的异常事件,当异常发生时,会有相应的程序执行异常信息输出到日志里;其具体做法是通过异常初始化函数(即“InitException()”)函数,注册异常处理接口;其作法详述如下:
当程序在运行期(即“Run-time”)发生的非正常情况,如内存不足,打开文件失败,范围溢出等发生异常时,该函数会通过格式化字符串函数(即“snp rintf”)函数记录异常发生的时间,通过系统获取时间函数(即“localtime()”),记录异常发生的位置,记录程序异常产生的原因,并保存到文件里面。
其中,在步骤4中所述的“在该进程中通过注册信息取证函数,提供应用程序编程接口(即“API-Application Programming Interface”),包括:获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数”;
各获取信息的内容如下:
Figure BDA0001626294140000041
获取系统文件信息:通过系统静态信息获取函数(即“DepthStaticBasicDataForensic()”)函数,该信息取证方法是通过静态编译的程序读取网络设备底层系统重要的配置文件、日志文件、数据文件的内容;
Figure BDA0001626294140000042
获取进程隐藏检测信息:通过系统隐藏进程检测函数(即“DepthWatchHideCourseForensic()”)函数,该信息取证方法是通过多种不同的方式分别从:文件检查、信号的发送、进程调度策略、时间片、进程属性等特点来检测当前网络设备的系统中是否存在隐藏、可疑或恶意的获取设备的敏感信息、用户数据的进程;
Figure BDA0001626294140000043
获取文件恢复信息:通过已删除文件检测函数恢复函数(即“DepthRecoverCourseDelFileForensic()”)函数,该信息取证方法是获取网络设备底层系统特定进程删除文件的恢复,通过读取进程相关的所有文件描述符即(“/proc/pid/fd”)目录相关文件,来恢复删除的文件信息;
Figure BDA0001626294140000044
获取进程内存信息:通过进程内存获取函数(即“DepthMemeroyCourseForensic()”)函数,该信息取证方法是获取网络设备底层系统运行程序的虚拟内存信息;
Figure BDA0001626294140000051
获取磁盘信息:通过磁盘信息获取函数(即“DepthDiskDataForensic ()”)函数,该信息取证方法是获取网络设备底层系统磁盘使用、分区信息;
Figure BDA0001626294140000052
获取内核信息:通过内核信息获取函数(即“DepthKernelDataForensi c()”)函数,该信息取证方法是获取网络设备底层系统内核内存信息、符号表信息、内核挂载模块信息;
各信息获取的作法如下:
在通过系统静态信息获取函数(即“DepthStaticBasicDataForensic()”) 中,执行了获取系统日志的命令(即“./busybox tar-cf-/var/log//mnt/ disk0/log//mnt/disk0/syslog//mnt/disk0/coredumpfsysimage.bin|cat”),获取了系统普通日志,内核崩溃日志等;执行了内核挂载模块命令(即“./bus ybox lsmod”)获取了内核挂载模块信息;执行了进程列表命令(即“./busybo x ps–ef”)获取进程列表信息;通过获取系统文件列表及属性函数(即“Loo pLSL”)函数获取系统文件列表及属性;通过系统调整进程调度算法函数(即“s ched_get_priority_max(SCHED_FIFO)”)函数调整取证进程调度算法和优先级之后,通过循环获取系统md5列表函数(即“LoopMd5sum”)函数获取系统文件 md5列表;
在通过系统隐藏进程检测函数(即“DepthWatchHideCourseForensic()”) 中,通过循环遍历每个进程的进程号,通过进程信息函数(即“PrintInfo()”) 函数,调用进程目录函数(即“ProcProcDir()”)函数,进程文件描述符函数(即“ProProcFdDir()”)函数,进程网络函数(即“ProProcNetDir”)函数,来判断进程是否被隐藏;
在通过已删除文件检测函数恢复函数(即“DepthRecoverCourseDelFileForensic()”)函数中,通过循环打开每个进程的文件描述符,通过文件删除字符信息函数(即“FindDeleteStr()”)函数,删除文件状态信息(即“PrintDel eteFileInfo()”),来判断是否是已删除文件;通过已删除文件恢复函数(即“R ecoverFileData()”)函数,来恢复已删除文件;
在通过进程内存获取函数(即“DepthMemeroyCourseForensic()”)函数中,通过创建进程状态数据函数(即“NewStatusData()”)函数创建进程状态数据;通过获取进程状态数据(即“GetCoureseStatusData”)函数获取进程状态数据;通过进程拦截函数(即“MemeroyCourseForensic”)函数对进程进行拦截;通过进程状态信息(即“MemeroyCourse”)函数获取拦截时的进程状态信息;
在通过磁盘信息获取函数(即“DepthDiskDataForensic()”)中,通过获取磁盘大小命令(即“df–h”);通过获取磁盘分区状态命令(即“fdisk-l”) 来获取网络设备底层系统磁盘使用、分区信息;
在通过内核信息获取函数(“即DepthKernelDataForensic()”)中,通过系统获取内核挂载模块命令(即“lsmod”);通过获取linux系统版本文件(即“/ proc/version”),查看内核版本;通过查看内核符号表文件(即“/proc/kalls yms”)获取内核符号表;通过系统内核日志接口(即“klogctl()”)函数等,获取环形缓冲区信息;通过Elf32_Ehdr结构体获取内核虚拟内存的镜像文件(即“/ dev/kmem”)的可加载内存段(即“load”)段信息。
其中,在步骤5中所述的“创建一个管道(即“pipe”)”,以方便获取到的信息回传到本地;其创建的具体作法如是通过调用系统接口pipe()函数,管道是一种把两个进程之间的标准输入和标准输出连接起来的机制,从而提供一种让多个进程间通信的方法,当进程创建管道时,每次都需要提供两个文件描述符来操作管道;其中一个对管道进行写操作,另一个对管道进行读操作;对管道的读写与一般的输入输出系统接口和输入输出软件/硬件接口的组合(即“IO系统”)函数一致,使用C语言写数据函数(即“write()”)函数写入数据,使用 C语言读数据函数(即“read()”)函数读出数据。
其中,在步骤6中所述的“根据用户输入,确认取证信息的类别”,用户选择取证信息的索引,包括:系统文件信息、进程隐藏检测信息、文件恢复信息、内存信息、磁盘信息和内核信息;其具体作法是通过输入任务号交互函数(即“TaskDepthForensic()”)函数实现,通过用户选择的子任务号(即“func_cid”),来执行相对应的取证功能。
其中,在步骤7中所述的“执行相应的取证函数,通过管道回传到本地”,是讲实时的数据回传到本地;其具体作法是获取到的数据通过写数据函数(即“wirte()”)函数操作,把数据送到管道中;对管道通过读数据函数(即“read ()”)函数操作,从管道中的读取数据出来,保存在本地的磁盘上。
3.优点
借由上述技术方案,本发明针对大型网络设备解决了现有信息取证方法的局限性,方便系统管理员审查攻击网络设备的方法及手段。
四.附图说明
图1是本发明所述方法流程示意图。
图2是用户选择取证信息的索引流程示意图。
图3是系统文件信息取证方法的流程示意图。
图4是进程隐藏检测信息取证方法的流程示意图。
图5是文件恢复信息取证方法的流程示意图。
图6是获取内存信息取证方法的流程示意图。
图7是获取磁盘信息取证方法的流程示意图。
图8是获取内核信息取证方法的流程示意图。
图9是获取网络设备底层权限的流程示意图。
图中序号、符号、代号说明如下:
图2,3,4,5中“输出功能ID,功能子ID是指”:运行取证程序后会输出“16 03data_16_03_1522454825.dat”开始语句,相对应的功能ID是16,功能子ID是03。
图3中“DEPTH_1_1_LOG”是指:“./busybox tar-cf-/var/log/|cat”是获取系统日志文件的命令。
图4中“进程组ID、会话ID”是指:进程组ID是指每个进程都有一个进程组领导进程即(“PGID”),多个进程组还可以构成一个会话,会话的领导进程成为识别会话的标志即(“SID”);“kill”是指系统中的kill命令,用于结束进程。
图4,6中“进程proc目录”是指:设备底层系统中/proc目录,一般存放正在运行的程序的目录;“进程PID”是指:运行程序后系统会给进程一个独一无二的进程号标识每个进程的身份。图5中“FD”是指:“/proc/pid/fd”文件,其中包含了进程相关的所有文件描述符。
图6中“maps”是指:/proc/pid/maps文件,文件中存有与进程相关的内存映射信息;“status”文件是指:/proc/pid/status文件,文件中保存有进程的状态信息。
图7中“DEPTH_10_1_FDISK”是指:命令“./busybox fdisk-l”获取硬盘分区信息;“DEPTH_10_1_DF”是指:命令“"./busybox df-h",获取硬盘占用情况;“DEPTH_10_1_MOUNT”是指:命令“./busybox mount-v”查看挂载的设备。
图8中“DEPTH_9_1_VERSION”是指:命令“cat/proc/versio”查看系统版本;“DEPTH_9_2_KALLSYMS”是指:命令“cat/proc/kallsyms”查看内核符号表;“DEPTH_9_4_LSMOD”是指:命令“lsmod|tail-n+2|cut-d”-f1”获取系统加载模块;“mmap”是指:C语言函数mmap();“sys_call_table”是指系统调用表的地址;“load1”,“load2”是指内核虚拟内存的镜像文件(即“/proc/kmem”)的可加载内核段地址。
图9中“tcp”是指:面向连接的,可靠的,基于字节流的传输控制协议。
四.具体实施方式
为了使本发明方法的目的,技术方案更清楚明白,以下结合附图进行进一步的详细说明。
本发明一种针对大型网络设备Rootkit安全取证方法,参见图1,其具体流程步骤如下:
步骤1.1:通过利用设备已公开或未公开的远程代码执行漏洞、设备底层维护接口、设备特定系统引导模式或选项方式,在具备设备管理员权限、物理接触的情况下,远程或本地方式获取设备底层操作系统的完全控制权。参见图9。
步骤1.2:执行信息取证的2进制应用程序,运行信息取证程序。
步骤1.3:注册异常处理函数,用于处理进程中发生的异常事件,当异常发生时,会有相应的程序执行异常信息输出到日志里。
步骤1.4:注册信息取证函数API-Application Programming Interface,包括:获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取网络信息函数、获取磁盘信息函数、获取内核信息函数。
步骤1.5:创建一个管道,方便获取到的信息回传到本地。
步骤1.6:用户选择取证信息的索引,包括:系统文件信息、进程隐藏检测信息、文件恢复信息、内存信息、磁盘信息、内核信息。如图2:
步骤1.7:执行相应的取证函数,通过管道回传到本地。
Figure BDA0001626294140000091
取证信息,具体流程步骤如下,参见图2:
步骤2.1:输出功能ID、功能子ID和开始语句,例如“16 02data_16_02_1522454825.dat”,相对应的功能ID是16,功能子ID是02,开始执行程序
步骤2.2:操作系统给取证进程注册取证函数,包括获取系统文件信息函数,获取隐藏进程检测信息函数,已删除进程文件恢复函数,获取磁盘信息函数,内核信息取证信息函数,原始内存取证函数,给函数分配堆栈和内存。
步骤2.3:用户通过输入任务编号来执行相应的取证函数。
步骤2.4:取证函数包括系统文件,隐藏进程,文件恢复,进程内存,磁盘信息,内核等不同方向。
步骤2.5:相应程序的执行结果会在屏幕上输出。
步骤2.6:屏幕上显示结束语句,程序执行结束
Figure BDA0001626294140000101
文件信息,具体流程步骤如下,参见图3:
步骤3.1:输出功能ID、功能子ID和开始语句,例如“16 03data_16_03_1522454825.dat”,相对应的功能ID是16,功能子ID是03,开始执行程序。
步骤3.2:执行获取系统日志的程序,执行完成之后在屏幕上打印结束语句,代表程序执行结束。
Figure BDA0001626294140000102
进程隐藏检测信息,具体流程步骤如下,参见图4:
步骤4.1:输出功能ID、功能子ID和开始语句,例如“16 03data_16_03_1522454825.dat”,相对应的功能ID是16,功能子ID是03,开始执行程序。
步骤4.2:初始化检测隐藏进程的函数,获取进程组,会话,进程调度策略及信号等信息。
步骤4.3:检测隐藏进程程序开始执行。
步骤4.4:获取隐藏进程的proc目录、组ID、会话ID、进程权限、亲和性和优先级等信息。
步骤4.5:输出隐藏进程的基本相关信息,网络信息及对应的二进制文件。
步骤4.6:输出结束语句,程序执行结束。
Figure BDA0001626294140000104
文件恢复信息。具体流程步骤如下,参见图5:
步骤5.1:输出功能ID、功能子ID和开始语句,例如“16 05data_16_05_1522454825.dat”,相对应的功能ID是16,功能子ID是05,开始执行程序。
步骤5.2:遍历系统/proc/fd目录。
步骤5.3:得到进程打开的所有文件名列表。
步骤5.4:找到被删除的文件。
步骤5.5:恢复被删除的文件,还原二进制程序
步骤5.6:输出结束语句,程序执行结束。
Figure BDA0001626294140000103
获取内存信息,具体流程步骤如下,参见图6:
步骤6.1:输出功能ID、功能子ID和开始语句,例如“16 06data_16_06_1522454825.tar”,相对应的功能ID是16,功能子ID是06,开始执行程序。
步骤6.2:获取系统/proc/pid/status文件
步骤6.3:通过status文件筛选进程
步骤6.4:读取进程的maps文件及内存信息
步骤6.5:输出读取到的进程信息,在屏幕上显示
步骤6.6:输出结束语句,程序执行结束。
Figure BDA0001626294140000111
获取磁盘信息,具体流程步骤如下,参见图7:
步骤7.1:通过执行DEPTH_10_1_FDISK,DEPTH_10_1_DF和DEPTH_10_1_MOUNT 命令获取系统的磁盘使用情况,输出结束语句。
Figure BDA0001626294140000112
获取内核信息,具体流程步骤如下,参见图8:
步骤8.1:程序开始执行
步骤8.2:输出功能ID、功能子ID和开始语句,例如“16 06data_16_06_1522454825.tar”,相对应的功能ID是16,功能子ID是06,开始执行程序
步骤8.3:执行DEPTH_9_1_VERSION命令获取内核版本
步骤8.4:执行DEPTH_9_1_KALLSYMS命令获取内核符号表
步骤8.5:通过系统内核日志接口,获取内核环形缓冲区信息
步骤8.6:执行DEPTH_9_1_LSMOD命令获取内核当前挂载模块
步骤8.7:通过中断描述符表寄存器的地址,获取0x80中断处理程序的地址,再从0x80中断服务例程中获取sys_call_table的地址
步骤8.8:读取linux运行时内核load1段信息
步骤8.9:读取linux运行时内核load2段信息
步骤8.10:通过mmap函数往标准输出打印内存数据
步骤8.11:屏幕上显示结束语句,程序执行结束。

Claims (7)

1.一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:
步骤1:获取网络设备底层系统的超级用户权限即“root”权限;
步骤2:在目标设备的底层系统创建一个进程即“process”;
步骤3:在该进程中注册异常处理函数,接管最终异常事件;
步骤4:在该进程中通过注册信息取证函数,提供应用程序编程接口即“API-Application Programming Interface”,包括:获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数;
步骤5:创建一个管道即“pipe”;
步骤6:根据用户输入,确认取证信息的类别;
步骤7:执行相应的取证函数,通过管道回传到本地;
在步骤4中所述的“在该进程中通过注册信息取证函数,提供应用程序编程接口即“API-Application Programming Interface”,包括:获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数”;
各获取信息的内容如下:
Figure FDA0002594610740000011
获取系统文件信息:通过系统静态信息获取函数即“DepthStaticBasicDataForensic()”函数,该信息取证方法是通过静态编译的程序读取网络设备底层系统重要的配置文件、日志文件、数据文件的内容;
Figure FDA0002594610740000012
获取进程隐藏检测信息:通过系统隐藏进程检测函数即“DepthWatchHideCourseForensic()”函数,该信息取证方法是通过多种不同的方式分别从:文件检查、信号的发送、进程调度策略、时间片、进程属性诸特点来检测当前网络设备的系统中是否存在隐藏、可疑及恶意的获取设备的敏感信息、用户数据的进程;
Figure FDA0002594610740000013
获取文件恢复信息:通过已删除文件检测函数恢复函数即“DepthRecoverCourseDelFileForensic()”函数,该信息取证方法是获取网络设备底层系统特定进程删除文件的恢复,通过读取进程相关的所有文件描述符即“/proc/pid/fd”目录相关文件,来恢复删除的文件信息;
Figure FDA0002594610740000021
获取进程内存信息:通过进程内存获取函数即“DepthMemeroyCourseForens ic()”函数,该信息取证方法是获取网络设备底层系统运行程序的虚拟内存信息;
Figure FDA0002594610740000022
获取磁盘信息:通过磁盘信息获取函数即“DepthDiskDataForensic()”函数,该信息取证方法是获取网络设备底层系统磁盘使用、分区信息;
Figure FDA0002594610740000023
获取内核信息:通过内核信息获取函数即“DepthKernelDataForensic()”函数,该信息取证方法是获取网络设备底层系统内核内存信息、符号表信息、内核挂载模块信息;
各信息获取的作法如下:
在通过系统静态信息获取函数即“DepthStaticBasicDataForensic()”中,执行了获取系统日志的命令即“./busybox tar-cf-/var/log//mnt/disk0/log//mnt/disk0/syslog//mnt/disk0/coredumpfsysimage.bin|cat”,获取了系统普通日志,内核崩溃日志;执行了内核挂载模块命令即“./busybox lsmod”获取了内核挂载模块信息;执行了进程列表命令即“./busybox ps–ef”获取进程列表信息;通过获取系统文件列表及属性函数即“LoopLSL”函数获取系统文件列表及属性;通过系统调整进程调度算法函数即“sched_get_priority_max(SCHED_FIFO)”函数调整取证进程调度算法和优先级之后,通过循环获取系统md5列表函数即“LoopMd5sum”函数获取系统文件md5列表;
在通过系统隐藏进程检测函数即“DepthWatchHideCourseForensic()”中,通过循环遍历每个进程的进程号,通过进程信息函数即“PrintInfo()”函数,调用进程目录函数即“ProcProcDir()”函数,进程文件描述符函数即“ProProcFdDir()”函数,进程网络函数即“ProProcNetDir”函数,来判断进程是否被隐藏;
在通过已删除文件检测函数恢复函数即“DepthRecoverCourseDelFileForensic()”函数中,通过循环打开每个进程的文件描述符,通过文件删除字符信息函数即“FindDeleteStr()”函数,删除文件状态信息即“PrintDeleteFileInfo()”,来判断是否是已删除文件;通过已删除文件恢复函数即“RecoverFileData()”函数,来恢复已删除文件;
在通过进程内存获取函数即“DepthMemeroyCourseForensic()”函数中,通过创建进程状态数据函数即“NewStatusData()”函数创建进程状态数据;通过获取进程状态数据即“GetCoureseStatusData”函数获取进程状态数据;通过进程拦截函数即“MemeroyCourseForensic”函数对进程进行拦截;通过进程状态信息即“Memero yCourse”函数获取拦截时的进程状态信息;
在通过磁盘信息获取函数即“DepthDiskDataForensic()”中,通过获取磁盘大小命令即“df–h”;通过获取磁盘分区状态命令即“fdisk-l”来获取网络设备底层系统磁盘使用、分区信息;
在通过内核信息获取函数“即DepthKernelDataForensic()”中,通过系统获取内核挂载模块命令即“lsmod”;通过获取linux系统版本文件即“/proc/version”,查看内核版本;通过查看内核符号表文件即“/proc/kallsyms”获取内核符号表;通过系统内核日志接口即“klogctl()”函数,获取环形缓冲区信息;通过Elf32_Ehd r结构体获取内核虚拟内存的镜像文件即“/dev/kmem”的可加载内存段即“load”段信息。
2.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:在步骤1中所述的“获取网络设备底层系统的超级用户权限”,通过利用设备已公开及未公开的远程代码执行漏洞、设备底层维护接口、设备特定系统引导模式及选项方式,在具备设备管理员权限、物理接触的情况下,远程及本地方式获取设备底层操作系统的完全控制权,访问设备底层操作系统的全部功能和资源;其具体作法是:
1.搜集互联网公开的及自己挖掘的,与目标设备相关的漏洞信息,筛选并测试能够实现对目标设备特定系统版本造成漏洞攻击的利用程序;
2.开发及移植漏洞利用程序,调整利用程序中的关键代码,包括:特定内存地址、特定函数地址、数据包长度和内存偏移,使得漏洞利用程序能够成功在目标设备上执行程序中实现攻击者获取设备最高权限的代码部分即“payload”;
3.开发特定payload,该payload是一段计算机代码,能够实现对目标设备底层系统最高权限的获取,并提供一个操作接口,用于后续取证任务;
4.利用开发的漏洞利用程序,向目标设备的具体服务发送特定数据,不同漏洞利用程序针对的设备服务可能不同;目标设备服务响应特定数据,并造成对服务程序原有逻辑的破坏,进而导致中央处理器即“cpu”执行精心构造的payload代码;
5.设备cpu执行payload之后,会远程通过cpu协议上传取证服务程序,并执行取证服务程序,为后续取证过程做准备。
3.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:在步骤2中所述的“在目标设备的底层系统创建一个进程”,其创建的具体做法是通过调用系统接口创建进程函数即“fork()”函数,在目标设备的底层系统创建一个进程;其作法详述如下:
进程调用fork()函数,操作系统给进程分配资源,创建进程控制块,内核把进程信息放在任务队列的双向链表中,分配独立的内核堆栈,内核通过进程号即“PID”来标识进程,这些创建好的进程将会为后面的注册函数,创建管道,提供支持。
4.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:在步骤3中所述的“注册异常处理函数”,是指用于处理进程中发生的异常事件,当异常发生时,会有相应的程序执行异常信息输出到日志里;其具体做法是通过异常初始化函数即“InitException()”函数,注册异常处理接口;其作法详述如下:
当程序在运行期即“Run-time”发生的非正常情况,范围溢出发生异常时,该函数会通过格式化字符串函数即“snprintf”函数记录异常发生的时间,通过系统获取时间函数即“localtime()”,记录异常发生的位置,记录程序异常产生的原因,并保存到文件里面。
5.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:在步骤5中所述的“创建一个管道即“pipe””,以方便获取到的信息回传到本地;其创建的具体作法如下:通过调用系统接口pipe()函数,管道是一种把两个进程之间的标准输入和标准输出连接起来的机制,从而提供一种让多个进程间通信的方法;当进程创建管道时,每次都需要提供两个文件描述符来操作管道;其中一个对管道进行写操作,另一个对管道进行读操作;对管道的读写与一般的输入输出系统接口和输入输出软件/硬件接口的组合即“IO系统”函数一致,使用C语言写数据函数即“write()”函数写入数据,使用C语言读数据函数即“read()”函数读出数据。
6.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:在步骤6中所述的“根据用户输入,确认取证信息的类别”,用户选择取证信息的索引,包括:系统文件信息、进程隐藏检测信息、文件恢复信息、内存信息、磁盘信息和内核信息;其具体作法是通过输入任务号交互函数即“TaskDepthForensic()”函数实现,通过用户选择的子任务号即“func_cid”,来执行相对应的取证功能。
7.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:在步骤7中所述的“执行相应的取证函数,通过管道回传到本地”,是讲实时的数据回传到本地;其具体作法是获取到的数据通过写数据函数即“wirte()”函数操作,把数据送到管道中;对管道通过读数据函数即“read()”函数操作,从管道中的读取数据出来,保存在本地的磁盘上。
CN201810324981.3A 2018-04-12 2018-04-12 一种针对大型网络设备隐匿技术的安全取证方法 Active CN108737373B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810324981.3A CN108737373B (zh) 2018-04-12 2018-04-12 一种针对大型网络设备隐匿技术的安全取证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810324981.3A CN108737373B (zh) 2018-04-12 2018-04-12 一种针对大型网络设备隐匿技术的安全取证方法

Publications (2)

Publication Number Publication Date
CN108737373A CN108737373A (zh) 2018-11-02
CN108737373B true CN108737373B (zh) 2020-09-22

Family

ID=63941422

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810324981.3A Active CN108737373B (zh) 2018-04-12 2018-04-12 一种针对大型网络设备隐匿技术的安全取证方法

Country Status (1)

Country Link
CN (1) CN108737373B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7416480B2 (ja) * 2019-08-16 2024-01-17 フィドゥシアエッジ テクノロジーズ カンパニー リミテッド オープンインターコネクトを介してヘテロジニアスプロセッサ上でリモート認証及び情報分離を備えた信頼できるコンピューティングを実行するためのシステム及び方法
CN112084045B (zh) * 2020-09-10 2024-08-27 北京金山云网络技术有限公司 处理进程的方法、装置和电子设备
CN116451189B (zh) * 2023-06-16 2023-08-11 北京长亭科技有限公司 一种代码特征的隐匿方法以及装置
CN118013512B (zh) * 2024-04-08 2024-06-25 国家计算机网络与信息安全管理中心 一种App个人信息上传行为检测方法、设备及产品

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106599685A (zh) * 2016-09-26 2017-04-26 哈尔滨安天科技股份有限公司 一种内核级Rootkit检测方法及系统
CN107332820A (zh) * 2017-05-26 2017-11-07 南京邮电大学 基于Linux环境的数字取证系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9542216B2 (en) * 2013-10-15 2017-01-10 At&T Intellectual Property I, L.P. Richer model of cloud app markets

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106599685A (zh) * 2016-09-26 2017-04-26 哈尔滨安天科技股份有限公司 一种内核级Rootkit检测方法及系统
CN107332820A (zh) * 2017-05-26 2017-11-07 南京邮电大学 基于Linux环境的数字取证系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Linux下内核级Rootkit检测防护机制的研究;龚友;《中国优秀硕士学位论文全文数据库 信息科技辑》;20091115(第11期);第4章 *
基于Linux系统的证据收集研究与实现;刘涛;《中国优秀硕士学位论文全文数据库 信息科技辑》;20120615(第6期);第3.2节、第4.1-4.2.1节 *

Also Published As

Publication number Publication date
CN108737373A (zh) 2018-11-02

Similar Documents

Publication Publication Date Title
JP7046111B2 (ja) マルウェアのランタイム中の自動検出
US10528726B1 (en) Microvisor-based malware detection appliance architecture
US11979428B1 (en) Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
Ji et al. Enabling refinable {Cross-Host} attack investigation with efficient data flow tagging and tracking
US8955104B2 (en) Method and system for monitoring system memory integrity
CN106687971B (zh) 用来减少软件的攻击面的自动代码锁定
Bayer et al. Scalable, behavior-based malware clustering.
CN108737373B (zh) 一种针对大型网络设备隐匿技术的安全取证方法
US8578490B2 (en) System and method for using timestamps to detect attacks
JP4629332B2 (ja) 状態参照モニタ
US8732824B2 (en) Method and system for monitoring integrity of running computer system
US6826697B1 (en) System and method for detecting buffer overflow attacks
US8667583B2 (en) Collecting and analyzing malware data
US6647400B1 (en) System and method for analyzing filesystems to detect intrusions
US7065657B1 (en) Extensible intrusion detection system
US7032114B1 (en) System and method for using signatures to detect computer intrusions
US20150381638A1 (en) System and Method for Identifying Unauthorized Activities on a Computer System using a Data Structure Model
CN110391937B (zh) 一种基于soap服务模拟的物联网蜜网系统
CN109074450B (zh) 威胁防御技术
WO2001016664A1 (en) System and method for detecting computer intrusions
Alzahrani et al. An analysis of conti ransomware leaked source codes
US20160232354A1 (en) System memory integrity monitoring
CN111813774B (zh) 一种基于sysdig系统监控获取溯源信息的方法
US12013942B2 (en) Rootkit detection based on system dump sequence analysis
US12079338B2 (en) System and method of fileless malware detection and non-transitory computer readable medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant