CN111338889A - 支持多种操作系统的取证方法、装置、设备及存储介质 - Google Patents

支持多种操作系统的取证方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN111338889A
CN111338889A CN202010092523.9A CN202010092523A CN111338889A CN 111338889 A CN111338889 A CN 111338889A CN 202010092523 A CN202010092523 A CN 202010092523A CN 111338889 A CN111338889 A CN 111338889A
Authority
CN
China
Prior art keywords
evidence
forensics
disk
obtaining
operating system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010092523.9A
Other languages
English (en)
Other versions
CN111338889B (zh
Inventor
王圣东
汤伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc, Secworld Information Technology Beijing Co Ltd filed Critical Qax Technology Group Inc
Priority to CN202010092523.9A priority Critical patent/CN111338889B/zh
Publication of CN111338889A publication Critical patent/CN111338889A/zh
Application granted granted Critical
Publication of CN111338889B publication Critical patent/CN111338889B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种支持多种操作系统的取证方法,属于计算机取证领域。该方法包括以下步骤:根据启动指令在取证对象上运行取证系统;若启动指令为冷启动指令,则运行离线取证系统识别取证对象的操作系统类型,并根据操作系统类型启动离线取证系统中对应的解析模块;若启动指令为直接运行指令,则运行在线取证系统识别取证对象的操作系统类型,并根据操作系统类型启动在线取证系统中对应的在线取证模块。本发明可根据取证对象中包含的操作系统类型,针对性地启动对应取证模块进行取证,同时支持三大系统的取证。

Description

支持多种操作系统的取证方法、装置、设备及存储介质
技术领域
本发明涉及计算机取证领域,特别涉及支持多种操作系统的取证方法、装置、设备及存储介质。
背景技术
随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键。
目前,针对计算机的联机取证方法都基于特定的计算机操作系统类型进行取证,不能实现一种方法支持多种操作系统计算机的在线和离线的联机取证。因此,面对现场取证时,需取证人员要携带各种取证工具,因为事前无法知晓现场取证所面对的计算机操作系统是什么。
概括来说,现有技术存在以下几大问题:一、没有支持离线和在线取证于一体的取证方法;二、没有一种同时支持Windows、和macOS系统痕迹、用户痕迹解析和镜像取证的方法;三、没有通过U盘模拟虚拟光盘作为离线启动的方式离线取证;四、不支持苹果macOS系统计算机在线联机取证。
发明内容
本发明为了克服现有技术中存在的上述问题,提出了一种支持多种操作系统的取证方法、装置、设备及存储介质,方便取证人员。
本发明是通过下述技术方案来解决上述技术问题:
一种支持多种操作系统的取证方法,用于通过可携式存储装置对操作系统进行取证,包括以下步骤:
根据启动指令在取证对象上运行取证系统,所述启动指令包括冷启动指令和直接运行指令,所述取证系统包括离线取证系统和在线取证系统;
若所述启动指令为冷启动指令,则运行所述离线取证系统识别所述取证对象的操作系统类型,并根据所述操作系统类型启动所述离线取证系统中对应的解析模块以获得系统痕迹和用户痕迹,和/或,启动镜像模块制作所述取证对象的磁盘中数据的镜像;和/或,
若所述启动指令为直接运行指令,则运行所述在线取证系统识别所述取证对象的操作系统类型,并根据所述操作系统类型启动所述在线取证系统中对应的在线取证模块,以获取所述取证对象的内存数据的镜像和/或提取所述取证对象的磁盘中明文数据。
优选地,所述可携式存储装置中部署有支持可携式存储装置启动的乌班图系统和在线取证系统,和/或,所述可携式存储装置还设有虚拟光盘,所述虚拟光盘中部署有支持光盘启动的乌班图系统和在线取证系统;
所述乌班图系统上预先部署有所述离线取证系统。
优选地,所述识别所述取证对象的操作系统类型包括以下步骤:
获取所述取证对象的磁盘的文件系统类型,所述文件系统类型包括NTFS文件系统、APFS文件系统和HFS+文件系统;
根据所述文件系统类型判断取证对象的操作系统类型;若所述文件系统类别为所述NTFS文件系统,则所述取证对象的操作系统类型为Windows操作系统;若所述文件系统类别为所述APFS文件系统或者所述HFS+文件系统,则所述取证对象的操作系统类型为macOS操作系统;若所述文件系统类型不是NTFS文件系统、APFS文件系统和HFS+文件系统中任意一种,则所述取证对象的操作系统类型为Linux操作系统
优选地,所述根据所述操作系统类型启动所述离线取证系统中对应的解析模块以获得系统痕迹和用户痕迹,和/或,启动镜像模块制作所述取证对象的磁盘中数据的镜像包括以下步骤:
当所述取证对象的操作系统类型为Windows操作系统时,启动所述离线取证系统中的Windows解析模块以获得系统痕迹和用户痕迹,并启动镜像模块制作所述取证对象的磁盘中数据的镜像,同时计算所述磁盘的hash校验值;和/或,
当所述取证对象的操作系统类型为macOS操作系统时,启动所述离线取证系统中的macOS解析模块以获得系统痕迹和用户痕迹,并启动镜像模块制作所述取证对象的磁盘中数据的镜像,同时计算所述磁盘的hash校验值;和/或,
当所述取证对象的操作系统类型为Linux操作系统时,仅启动镜像模块制作所述取证对象的磁盘中数据的镜像,同时计算所述磁盘的hash校验值。
优选地,根据所述操作系统类型启动所述在线取证系统中对应的在线取证模块包括以下步骤:
当所述取证对象的操作系统类型为Windows操作系统时,启动所述在线取证系统中的Windows在线取证模块,以获取所述取证对象的内存数据的镜像,和/或,提取所述取证对象的磁盘中明文数据;和/或,
当所述取证对象的操作系统类型为macOS操作系统时,启动所述在线取证系统中的macOS在线取证模块执行以下步骤:
检测取证对象是否开启了系统保护,所述取证对象为应用macOS操作系统的计算机;
若所述取证对象开启了所述系统保护,则重启所述取证对象进入所述macOS操作系统的恢复模式以关闭所述系统保护,再重启所述取证对象再次进入所述macOS操作系统;
判断所述磁盘是否加密,若加密,则进一步对应识别到的所述文件系统的类别对所述磁盘进行解密,并从解密后的磁盘或分区中提取明文数据。
优选地,若检测到所述取证对象未开启所述系统保护后,或者在重启所述取证对象再次进入所述macOS操作系统后,还包括以下步骤:
加载所述macOS操作系统的内存驱动以获取所述取证对象的物理内存大小信息和内存数据;
制作所述内存数据的镜像。
优选地,当识别到的所述磁盘为HFS+文件系统时,对所述磁盘解密及提取明文数据包括以下步骤:
执行对应所述HFS+文件系统的解密命令对所述磁盘或者所述分区进行解密,产生解密后的磁盘;
读取所述解密后的磁盘中的明文数据,以制作所述解密后的磁盘中明文数据的镜像;和/或,
当识别到的所述磁盘为APFS文件系统时,对所述磁盘解密及提取明文数据包括以下步骤:
执行对应所述APFS文件系统的解密命令对所述磁盘或者所述分区进行解密,解密后的磁盘中数据以明文数据形式挂载至预设路径下;
读取所述预设路径下的明文数据,以直接提取所述明文数据。
本发明还公开了一种支持多种操作系统的取证装置,包括:
启动模块,用于根据启动指令在取证对象上运行取证系统,所述启动指令包括冷启动指令和直接运行指令,所述取证系统包括离线取证系统和在线取证系统;若所述启动指令为冷启动指令,则运行所述离线取证系统;若所述启动指令为直接运行指令,则运行所述在线取证系统
离线取证系统,用于识别所述取证对象的操作系统类型,并根据所述操作系统类型启动所述离线取证系统中对应的解析模块以获得系统痕迹和用户痕迹,和/或,启动镜像模块制作所述取证对象的磁盘中数据的镜像;
在线取证系统,用于识别所述取证对象的操作系统类型,并根据所述操作系统类型启动所述在线取证系统中对应的在线取证模块,以获取所述取证对象的内存数据的镜像和/或提取所述取证对象的磁盘中明文数据。
本发明还公开了一种计算机设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时实现前述中任一项所述的支持多种操作系统的取证方法的步骤。
本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以实现前述中任一项所述的支持多种操作系统的取证方法的步骤。
本发明还公开了一种计算机程序产品,适用于计算机设备,所述计算机程序产品能被所述计算机设备加载,且执行前述任一项所述的支持多种操作系统的取证方法的步骤。
本发明的积极进步效果在于:
1、通过对文件系统类型的判断,识别取证对象中包含的操作系统类型,然后针对性的启动对应取证模块进行取证,解决不能同时支持Windows、Linux和macOS三大系统取证的问题。
2、将Windows在线取证模块和macOS在线取证模块部署于可携式存储装置中,实现在线情况下,可携式存储装置插入即运行对应在线取证模块实现对当前运行中取证对象的在取证。
3、将可携式存储装置的一部分空间虚拟出一个取证光盘,作为一种离线取证启动方式,方便对老旧计算机(取证对象)的取证。
附图说明
图1示出了本发明支持多种操作系统的取证方法实施例一的流程图;
图2示出了macOS在线取证模块进行在线取证的流程图;
图3示出了本发明支持多种操作系统的取证装置一实施例的结构图;
图4示出了本发明计算机设备一实施例的硬件架构示意图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
首先,本发明提出一种支持多种操作系统的取证方法,用于通过可携式存储装置对操作系统进行取证,这里所述操作系统类型是主要指Windows操作系统、macOS操作系统和Linux操作系统。
在实施例一中,如图1所示,所述的支持多种操作系统的取证方法包括如下步骤:
步骤01:根据启动指令在取证对象上运行取证系统,启动指令包括冷启动指令和直接运行指令,取证系统包括离线取证系统和在线取证系统;若启动指令为冷启动指令,则执行步骤02;若启动指令为直接运行指令,则执行步骤03。
这里所述的取证对象是指应用了Windows操作系统、macOS操作系统和/或Linux操作系统的计算机。
这里的冷启动指令对应的是离线取证方式,所谓冷启动通常指切断计算机的电源,重新启动,一般按机箱上POWER按钮启动;而直接运行指令对应的是在现取证方式,所谓直接运行指令是指在运行的操作系统上直接打开某一程序运行,这里主要直接运行在线取证系统。
执行步骤01,需要预先制作一个可携式存储装置启动的乌班图系统(乌班图系统是一款开源Linux操作系统,采用常见的大白菜启动盘制作工具等即可将乌班图系统制作成可携式存储装置启动),然后在该乌班图系统上预先部署好离线取证系统。由于可携式存储装置具有容易受到病毒攻击被篡改的问题,因此优选可以将可携式存储装置的一部分空间虚拟出一个取证光盘(即虚拟光盘),然后将前述的乌班图系统在该虚拟光盘上也部署一套;此外,该可携式存储装置和虚拟光盘中还同时部署有在线取证系统。这样,可携式存储装置插入取证对象后,根据需要可以选择可携式存储装置启动或者虚拟光盘启动所述乌班图系统,特别方便对老旧计算机(取证对象)的取证。
通常来说,为了方便携带使用,这里的可携式存储装置通常采用U盘,当然也不排除移动硬盘等其他可携式存储装置。
步骤02:运行离线取证系统识别取证对象的操作系统类型,并根据操作系统类型启动离线取证系统中对应的解析模块以获得系统痕迹和用户痕迹,和/或,启动镜像模块制作取证对象的磁盘中数据的镜像。
这里所述的识别取证对象的操作系统类型是通过文件系统类型来判断的。
先获取取证对象的磁盘的文件系统类型,文件系统类型包括NTFS文件系统、APFS文件系统和HFS+文件系统。NTFS文件系统的类别通过磁盘卷头可以得知,在卷头部的第3至6字节标记有NTFS的,即为NTFS文件系统。APFS文件系统和HFS+文件系统则通过属性IOClass的值来分辨,若属性IO Class的值为Apple APFS Container Scheme,则表示取证对象的磁盘或分区采用的是APFS文件系统,若属性IO Class的值为Core Storage Physical则表示取证对象的磁盘或分区采用的是HFS+文件系统。
再根据文件系统类型判断取证对象的操作系统类型;若文件系统类别为NTFS文件系统,则取证对象的操作系统类型为Windows操作系统;若文件系统类别为APFS文件系统或者HFS+文件系统,则取证对象的操作系统类型为macOS操作系统;若文件系统类型不是NTFS文件系统、APFS文件系统和HFS+文件系统中任意一种,则取证对象的操作系统类型为Linux操作系统。
由于很多计算机犯罪分子在作案后往往会最大可能地清楚作案痕迹,例如清空系统日志、删除自己添加的系统用户、删除浏览记录等,因此能否成功恢复这些被破坏的数据尤为重要。这里所述的解析模块就是用于恢复数据,从而获得系统痕迹和用户痕迹,现有的可以实现这种功能的工具有Final Data 2.0、File Recover、Easy Recovery等。
所述镜像模块用于磁盘中的数据以镜像方式克隆至指定磁盘中。
这里的离线取证系统中设有三个主要模块:Windows解析模块、macOS解析模块和镜像模块。
当取证对象的操作系统类型为Windows操作系统时,启动离线取证系统中的Windows解析模块以获得系统痕迹和用户痕迹,并启动镜像模块制作取证对象的磁盘中数据的镜像,同时计算磁盘的hash校验值。
当取证对象的操作系统类型为macOS操作系统时,启动离线取证系统中的macOS解析模块以获得系统痕迹和用户痕迹,并启动镜像模块制作取证对象的磁盘中数据的镜像,同时计算磁盘的hash校验值。
当取证对象的操作系统类型为Linux操作系统时,仅启动镜像模块制作取证对象的磁盘中数据的镜像,同时计算磁盘的hash校验值。
当取证对象的操作系统类型识别出不止一个时,例如一个取证对象可能同时安装有Windows操作系统和macOS操作系统,那么此时需要同时使用到离线取证系统中的三个模块。
为了防止离线取证的磁盘数据被床,在做完磁盘数据的镜像后,还要计算出磁盘的hash校验值,以便后续对镜像数据的是否被篡改进行检验。
本实施例针对三种操作系统自动匹配不同的离线取证模块,可实现同时支持三种操作系统的离线取证。
步骤03:运行在线取证系统识别取证对象的操作系统类型,并根据操作系统类型启动在线取证系统中对应的在线取证模块,以获取取证对象的内存数据的镜像和/或提取取证对象的磁盘中明文数据。
这里所述的识别取证对象的操作系统类型同步骤02,此处不再赘述。
这里的在线取证系统仅针对Windows操作系统和macOS操作系统,不能对Linux操作系统实现在线取证。具体地,所述的在线取证系统包括Windows在线取证模块和macOS在线取证模块。
当取证对象的操作系统类型为Windows操作系统时,启动在线取证系统中的Windows在线取证模块,以获取所述取证对象的内存数据的镜像和/或提取所述取证对象的磁盘中明文数据。可实现Windows在线取证的系统/模块有很多,例如memtriage、TheSleuth Kit等都是可以用于Windows操作系统的在线取证的取证工具,因此本申请不对Windows在线取证模块的工作过程做详细说明。
如图2所示,当取证对象的操作系统类型为macOS操作系统时,启动在线取证系统中的macOS在线取证模块执行以下步骤:
步骤31:检测取证对象是否开启了系统保护,取证对象为应用macOS操作系统的计算机,若取证对象开启了系统保护,则执行步骤32。
所述macOS操作系统是由苹果公司(Apple Inc.)开发的计算机操作系统,主要服务于Apple自家的计算机,该操作系统具有系统保护功能。因此,在对应用macOS操作系统的计算机进行取证时,先要判断是否开启了系统保护,具体根据执行csrutil status命令后的返回结果来判断;如果返回结果为disabled,就表示取证对象未开启系统保护;如果返回结果为enabled,就表示取证对象开启了系统保护。
步骤32:重启取证对象进入macOS操作系统的恢复模式以关闭系统保护,再重启取证对象再次进入macOS操作系统。
所述系统保护是指macOS操作系统中的一个跟安全相关的模式叫SIP(SystemIntegrity Protection),它禁止让软件以root身份来在mac上运行,并且对于目录/System、/sbin、/usr(不包含/usr/local/)仅仅供系统使用,其它用户或者程序无法直接使用。
所述重启macOS操作系统是指热启动macOS操作系统,这种方式下重启,所有数据(标志存储器、定时器、计数器、过程映像及数据块的当前值)都将被保持。重启macOS操作系统立即按住Command
Figure BDA0002384189660000091
和R键就可以进入系统恢复模式,
在进入系统恢复模式后,通过执行csrutil disable命令关闭系统保护,然后重启进入macOS操作系统,这样取证对象就处于关闭系统保护的状态,可以对取证对象执行提取内存数据和磁盘数据等的操作了。
步骤33:判断磁盘或分区是否加密,若加密,则执行步骤34。
具体地,如果是HFS+文件系统,则读取HFS+磁盘或分区属性Core StorageEncrypted值,若该值为True,则表示该磁盘或分区为加密的。如果是APFS文件系统,则读取APFS卷属性Encrypted值,若该值为True,则表示该磁盘或分区(即卷)为加密的。
步骤34:对应识别到的文件系统的类别对磁盘或分区进行解密,并从解密后的磁盘或分区中提取明文数据。
步骤31-步骤34可以在取证对象采用macOS操作系统且系统运行时,直接对磁盘或分区中的数据进行在线取证。
所述文件系统的类别在前述已经说明,此处不再赘述。
不同的文件系统,需要采用不同的解密和数据提取方式。
一、当识别到的磁盘或分区为HFS+文件系统时,对磁盘或分区解密及提取明文数据包括以下步骤:
步骤3411:执行对应HFS+文件系统的解密命令对磁盘进行解密,产生解密后的磁盘。
对于HFS+文件系统,磁盘通常会被划分成几个区域,这些区域被称为分区。以对分区解密为例,执行解密需要预先知晓分区的密码,通过执行“/usr/sbin/diskutilcoreStorage unlockVolume分区uuid-passphrase分区加密密码”命令解密加密分区;加密分区解密后会产生一“/dev/r+原分区名”的新分区(这里的新分区的名称命名规则是预设的,根据需要可以更改)。
步骤3412:读取解密后的磁盘中的明文数据,以制作解密后的磁盘中明文数据的镜像。
新分区(即解密后的磁盘或者分区)中的数据为明文数据,可以直接读取,为快速取证,可以制作解密后的磁盘或者分区中明文数据的镜像,以实现明文数据的快速提取。
二、当识别到的磁盘或分区为APFS文件系统时,对磁盘或分区解密及提取明文数据包括以下步骤:
步骤3421:执行对应APFS文件系统的解密命令对磁盘进行解密,解密后的磁盘中数据以明文数据形式挂载至预设路径下。
对于HFS+文件系统,磁盘通常会被划分成几个区域,这些区域被称为卷。以对卷解密为例,执行解密需要预先知晓卷的密码,通过执行“/usr/sbin/diskutil apfsunlockVolume源加密卷路径-passphrase卷加密密码”命令解密加密卷;加密卷解密后直接挂在到“/Volumes/原卷名”路径下,(这里的路径的名称命名规则是预设的,根据需要可以更改)。
步骤3422:读取预设路径下的明文数据,以直接提取明文数据。
由于是APFS文件系统,因此不采用镜像方式提取数据,可以从预设路径下读取文件中的明文数据,然后将读取的明文数据压缩打包提取出来即可。
本实施例根据识别到的macOS操作系统中不同的文件系统采取不同的数据提取方式,基本可以覆盖macOS操作系统中常用的文件系统中数据的提取。
此外,当需要在线对取证对象的内存信息取证时,可以在检测到取证对象未开启系统保护后,或者在重启取证对象再次进入macOS操作系统后,通过加载macOS操作系统的内存驱动以获取取证对象的物理内存大小信息和内存数据;然后制作内存数据的镜像的方式进行取证。如此操作可以在取证对象的macOS操作系统运行时,对取证对象的系统内部的易失数据如内存信息、临时文件等进行取证。
具体为在macOS操作系统关闭系统保护的状态下,加载开源MacPmem.kext内存驱动。通过开源MacPmem.kext内存驱动,先获取取证对象的物理内存大小信息,例如从/dev/pmem_info中读取内存大小等信息,以便预判需要划出多大的空间作为镜像内存使用,然后再读取取证对象中的内存数据,例如从/dev/pmem中读取内存数据。最后,为方便快速提取内存数据,可以采用制作镜像的方式将内存数据做两个拷贝,分别放在主内存和镜像内存中。
本实施例通过对文件系统类型的判断,识别取证对象中包含的操作系统类型,然后针对性的启动对应取证模块进行取证,可同时支持Windows、Linux和macOS三大系统的离线取证。其次,将Windows在线取证模块和macOS在线取证模块部署于可携式存储装置中,实现在线情况下可携式存储装置插入即运行对应在线取证模块实现对当前运行中取证对象的在取证。最后,可携式存储装置的一部分空间虚拟出一个取证光盘,作为一种离线取证启动方式,方便对老旧计算机(取证对象)的取证。
其次,本发明提出了一种支持多种操作系统的取证装置,所述操作系统类型包括Windows操作系统、macOS操作系统和Linux操作系统,所述装置20可以被分割为一个或者多个模块或系统。
例如,图3示出了所述支持多种操作系统的取证装置20一实施例的结构图,该实施例中,所述装置20可以被分割为启动模块201、离线取证系统202和在线取证系统203。以下描述将具体介绍所述模块(系统)201-203的具体功能。
所述启动模块201用于根据启动指令在取证对象上运行取证系统,所述启动指令包括冷启动指令和直接运行指令,所述取证系统包括离线取证系统和在线取证系统;若所述启动指令为冷启动指令,则运行所述离线取证系统;若所述启动指令为直接运行指令,则运行所述在线取证系统
所述离线取证系统202用于识别所述取证对象的操作系统类型,并根据所述操作系统类型启动所述离线取证系统中对应的解析模块以获得系统痕迹和用户痕迹,和/或,启动镜像模块制作所述取证对象的磁盘中数据的镜像;
所述在线取证系统203用于识别所述取证对象的操作系统类型,并根据所述操作系统类型启动所述在线取证系统中对应的在线取证模块,以获取所述取证对象的内存数据的镜像和/或提取所述取证对象的磁盘中明文数据。
本实施例通过对文件系统类型的判断,识别取证对象中包含的操作系统类型,然后针对性的启动对应取证模块进行取证,解决不能同时支持Windows、Linux和macOS三大系统取证的问题。
再次,本发明还提出来一种计算机设备。
参阅图4所示,是本发明计算机设备一实施例的硬件架构示意图。本实施例中,所述计算机设备2是一种能够按照事先设定或者存储的指令,自动进行数值计算和/或信息处理的设备。例如,可以是智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图所示,所述计算机设备2至少包括,但不限于,可通过系统总线相互通信连接存储器21、处理器22以及网络接口23。其中:
所述存储器21至少包括一种类型的计算机可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器21可以是所述计算机设备2的内部存储单元,例如该计算机设备2的硬盘或内存。在另一些实施例中,所述存储器21也可以是所述计算机设备2的外部存储设备,例如该计算机设备2上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述存储器21还可以既包括所述计算机设备2的内部存储单元也包括其外部存储设备。本实施例中,所述存储器21通常用于存储安装于所述计算机设备2的操作系统和各类应用软件,例如用于实现所述支持多种操作系统的取证方法的计算机程序等。此外,所述存储器21还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制所述计算机设备2的总体操作,例如执行与所述计算机设备2进行数据交互或者通信相关的控制和处理等。本实施例中,所述处理器22用于运行所述存储器21中存储的程序代码或者处理数据,例如运行用于实现所述支持多种操作系统的取证方法的计算机程序等。
所述网络接口23可包括无线网络接口或有线网络接口,该网络接口23通常用于在所述计算机设备2与其他计算机设备之间建立通信连接。例如,所述网络接口23用于通过网络将所述计算机设备2与外部终端相连,在所述计算机设备2与外部终端之间的建立数据传输通道和通信连接等。所述网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobile communication,GSM)、宽带码分多址(WidebandCode Division Multiple Access,WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。
需要指出的是,图4仅示出了具有组件21-23的计算机设备2,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
在本实施例中,存储于存储器21中的用于实现所述支持多种操作系统的取证方法的计算机程序可以被一个或多个处理器(本实施例为处理器22)所执行,以完成以下步骤的操作:
步骤01:根据启动指令在取证对象上运行取证系统,启动指令包括冷启动指令和直接运行指令,取证系统包括离线取证系统和在线取证系统;若启动指令为冷启动指令,则执行步骤02;若启动指令为直接运行指令,则执行步骤03;
步骤02:运行离线取证系统识别取证对象的操作系统类型,并根据操作系统类型启动离线取证系统中对应的解析模块以获得系统痕迹和用户痕迹,和/或,启动镜像模块制作取证对象的磁盘中数据的镜像。
步骤03:运行在线取证系统识别取证对象的操作系统类型,并根据操作系统类型启动在线取证系统中对应的在线取证模块,以获取取证对象的内存数据的镜像和/或提取取证对象的磁盘中明文数据。
本实施例将Windows在线取证模块和macOS在线取证模块部署于可携式存储装置中,实现在线情况下,可携式存储装置插入即运行对应在线取证模块实现对当前运行中取证对象的在取证。
此外,本发明一种计算机可读存储介质,所述计算机可读存储介质为非易失性可读存储介质,其内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以实现上述支持多种操作系统的取证方法或装置的操作。
其中,计算机可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,计算机可读存储介质可以是计算机设备的内部存储单元,例如该计算机设备的硬盘或内存。在另一些实施例中,计算机可读存储介质也可以是计算机设备的外部存储设备,例如该计算机设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,计算机可读存储介质还可以既包括计算机设备的内部存储单元也包括其外部存储设备。本实施例中,计算机可读存储介质通常用于存储安装于计算机设备的操作系统和各类应用软件,例如前述用于实现所述支持多种操作系统的取证方法的计算机程序等。此外,计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的各类数据。
本实施例将Windows在线取证模块和macOS在线取证模块部署于可携式存储装置中,实现在线情况下,可携式存储装置插入即运行对应在线取证模块实现对当前运行中取证对象的在取证。
最后,本发明还提出了一种计算机程序产品,适用于计算机设备,所述计算机设备前述已介绍,此处不再赘述,所述计算机程序产品能被所述计算机设备加载,且通过所述计算机设备中的处理器所,以完成以下步骤的操作:
步骤01:根据启动指令在取证对象上运行取证系统,启动指令包括冷启动指令和直接运行指令,取证系统包括离线取证系统和在线取证系统;若启动指令为冷启动指令,则执行步骤02;若启动指令为直接运行指令,则执行步骤03;
步骤02:运行离线取证系统识别取证对象的操作系统类型,并根据操作系统类型启动离线取证系统中对应的解析模块以获得系统痕迹和用户痕迹,和/或,启动镜像模块制作取证对象的磁盘中数据的镜像。
步骤03:运行在线取证系统识别取证对象的操作系统类型,并根据操作系统类型启动在线取证系统中对应的在线取证模块,以获取取证对象的内存数据的镜像和/或提取取证对象的磁盘中明文数据。
本实施例将Windows在线取证模块和macOS在线取证模块部署于可携式存储装置中,实现在线情况下,可携式存储装置插入即运行对应在线取证模块实现对当前运行中取证对象的在取证。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。

Claims (11)

1.一种支持多种操作系统的取证方法,用于通过可携式存储装置对操作系统进行取证,其特征在于,包括以下步骤:
根据启动指令在取证对象上运行取证系统,所述启动指令包括冷启动指令和直接运行指令,所述取证系统包括离线取证系统和在线取证系统;
若所述启动指令为冷启动指令,则运行所述离线取证系统识别所述取证对象的操作系统类型,并根据所述操作系统类型启动所述离线取证系统中对应的解析模块以获得系统痕迹和用户痕迹,和/或,启动镜像模块制作所述取证对象的磁盘中数据的镜像;和/或,
若所述启动指令为直接运行指令,则运行所述在线取证系统识别所述取证对象的操作系统类型,并根据所述操作系统类型启动所述在线取证系统中对应的在线取证模块,以获取所述取证对象的内存数据的镜像和/或提取所述取证对象的磁盘中明文数据。
2.根据权利要求1所述的支持多种操作系统的取证方法,其特征在于,所述可携式存储装置中部署有支持可携式存储装置启动的乌班图系统和在线取证系统,和/或,所述可携式存储装置还设有虚拟光盘,所述虚拟光盘中部署有支持光盘启动的乌班图系统和在线取证系统;
所述乌班图系统上预先部署有所述离线取证系统。
3.根据权利要求1所述的支持多种操作系统的取证方法,其特征在于,所述识别所述取证对象的操作系统类型包括以下步骤:
获取所述取证对象的磁盘的文件系统类型,所述文件系统类型包括NTFS文件系统、APFS文件系统和HFS+文件系统;
根据所述文件系统类型判断取证对象的操作系统类型;若所述文件系统类别为所述NTFS文件系统,则所述取证对象的操作系统类型为Windows操作系统;若所述文件系统类别为所述APFS文件系统或者所述HFS+文件系统,则所述取证对象的操作系统类型为macOS操作系统;若所述文件系统类型不是NTFS文件系统、APFS文件系统和HFS+文件系统中任意一种,则所述取证对象的操作系统类型为Linux操作系统。
4.根据权利要求3所述的支持多种操作系统的取证方法,其特征在于,所述根据所述操作系统类型启动所述离线取证系统中对应的解析模块以获得系统痕迹和用户痕迹,和/或,启动镜像模块制作所述取证对象的磁盘中数据的镜像包括以下步骤:
当所述取证对象的操作系统类型为Windows操作系统时,启动所述离线取证系统中的Windows解析模块以获得系统痕迹和用户痕迹,并启动镜像模块制作所述取证对象的磁盘中数据的镜像,同时计算所述磁盘的hash校验值;和/或,
当所述取证对象的操作系统类型为macOS操作系统时,启动所述离线取证系统中的macOS解析模块以获得系统痕迹和用户痕迹,并启动镜像模块制作所述取证对象的磁盘中数据的镜像,同时计算所述磁盘的hash校验值;和/或,
当所述取证对象的操作系统类型为Linux操作系统时,仅启动镜像模块制作所述取证对象的磁盘中数据的镜像,同时计算所述磁盘的hash校验值。
5.根据权利要求3所述的支持多种操作系统的取证方法,其特征在于,根据所述操作系统类型启动所述在线取证系统中对应的在线取证模块包括以下步骤:
当所述取证对象的操作系统类型为Windows操作系统时,启动所述在线取证系统中的Windows在线取证模块,以获取所述取证对象的内存数据的镜像,和/或,提取所述取证对象的磁盘中明文数据;和/或,
当所述取证对象的操作系统类型为macOS操作系统时,启动所述在线取证系统中的macOS在线取证模块执行以下步骤:
检测取证对象是否开启了系统保护,所述取证对象为应用macOS操作系统的计算机;
若所述取证对象开启了所述系统保护,则在重启所述取证对象进入所述macOS操作系统的恢复模式以关闭所述系统保护,再重启所述取证对象再次进入所述macOS操作系统;
判断所述磁盘是否加密,若加密,则进一步对应识别到的所述文件系统的类别对所述磁盘进行解密,并从解密后的磁盘或分区中提取明文数据。
6.根据权利要求5所述的支持多种操作系统的取证方法,其特征在于,若检测到所述取证对象未开启所述系统保护后,或者在重启所述取证对象再次进入所述macOS操作系统后,还包括以下步骤:
加载所述macOS操作系统的内存驱动以获取所述取证对象的物理内存大小信息和内存数据;
制作所述内存数据的镜像。
7.根据权利要求5所述的支持多种操作系统的取证方法,其特征在于,当识别到的所述磁盘为HFS+文件系统时,对所述磁盘解密及提取明文数据包括以下步骤:
执行对应所述HFS+文件系统的解密命令对所述磁盘或者所述分区进行解密,产生解密后的磁盘;
读取所述解密后的磁盘中的明文数据,以制作所述解密后的磁盘中明文数据的镜像;和/或,
当识别到的所述磁盘为APFS文件系统时,对所述磁盘解密及提取明文数据包括以下步骤:
执行对应所述APFS文件系统的解密命令对所述磁盘或者所述分区进行解密,解密后的磁盘中数据以明文数据形式挂载至预设路径下;
读取所述预设路径下的明文数据,以直接提取所述明文数据。
8.一种支持多种操作系统的取证装置,其特征在于,包括:
启动模块,用于根据启动指令在取证对象上运行取证系统,启动指令包括冷启动指令和直接运行指令,取证系统包括离线取证系统和在线取证系统;若启动指令为冷启动指令,则运行离线取证系统;若启动指令为直接运行指令,则运行在线取证系统;
离线取证系统,用于识别取证对象的操作系统类型,并根据操作系统类型启动离线取证系统中对应的解析模块以获得系统痕迹和用户痕迹,和/或,启动镜像模块制作取证对象的磁盘中数据的镜像;
在线取证系统,用于识别取证对象的操作系统类型,并根据操作系统类型启动在线取证系统中对应的在线取证模块,以获取取证对象的内存数据的镜像和/或提取取证对象的磁盘中明文数据。
9.一种计算机设备,包括存储器和处理器,其特征在于,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1-7中任一项所述的支持多种操作系统的取证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以实现如权利要求1-7中任一项所述的支持多种操作系统的取证方法的步骤。
11.一种计算机程序产品,适用于计算机设备,其特征在于,所述计算机程序产品能被所述计算机设备加载,且执行如权利要求1-7中任一项所述的支持多种操作系统的取证方法的步骤。
CN202010092523.9A 2020-02-14 2020-02-14 支持多种操作系统的取证方法、装置、设备及存储介质 Active CN111338889B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010092523.9A CN111338889B (zh) 2020-02-14 2020-02-14 支持多种操作系统的取证方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010092523.9A CN111338889B (zh) 2020-02-14 2020-02-14 支持多种操作系统的取证方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN111338889A true CN111338889A (zh) 2020-06-26
CN111338889B CN111338889B (zh) 2023-05-23

Family

ID=71183444

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010092523.9A Active CN111338889B (zh) 2020-02-14 2020-02-14 支持多种操作系统的取证方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN111338889B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111814141A (zh) * 2020-09-15 2020-10-23 浙江数秦科技有限公司 一种基于区块链的离线过程取证与存证方法
CN114138346A (zh) * 2021-11-02 2022-03-04 北京安天网络安全技术有限公司 一种终端取证方法、装置、电子设备及存储介质
EP4307134A1 (en) * 2022-07-11 2024-01-17 Magnet Forensics Inc. Platform detection algorithm for forensic images

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011137743A1 (zh) * 2010-05-07 2011-11-10 北京飞天诚信科技有限公司 一种文件保护方法及系统
CN103106091A (zh) * 2013-01-31 2013-05-15 深圳市开立科技有限公司 一种基于可移动存储介质的操作系统的启动系统和方法
WO2016019070A1 (en) * 2014-07-30 2016-02-04 Microsoft Technology Licensing, Llc Hypervisor-hosted virtual machine forensics
CN105653352A (zh) * 2015-12-31 2016-06-08 公安部第三研究所 操作系统虚拟仿真取证的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011137743A1 (zh) * 2010-05-07 2011-11-10 北京飞天诚信科技有限公司 一种文件保护方法及系统
CN103106091A (zh) * 2013-01-31 2013-05-15 深圳市开立科技有限公司 一种基于可移动存储介质的操作系统的启动系统和方法
WO2016019070A1 (en) * 2014-07-30 2016-02-04 Microsoft Technology Licensing, Llc Hypervisor-hosted virtual machine forensics
CN105653352A (zh) * 2015-12-31 2016-06-08 公安部第三研究所 操作系统虚拟仿真取证的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张旭;: "操作系统虚拟仿真取证技术研究" *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111814141A (zh) * 2020-09-15 2020-10-23 浙江数秦科技有限公司 一种基于区块链的离线过程取证与存证方法
CN114138346A (zh) * 2021-11-02 2022-03-04 北京安天网络安全技术有限公司 一种终端取证方法、装置、电子设备及存储介质
EP4307134A1 (en) * 2022-07-11 2024-01-17 Magnet Forensics Inc. Platform detection algorithm for forensic images

Also Published As

Publication number Publication date
CN111338889B (zh) 2023-05-23

Similar Documents

Publication Publication Date Title
CN106940651B (zh) Pos终端软件升级方法和装置
CN111338889B (zh) 支持多种操作系统的取证方法、装置、设备及存储介质
EP2998861B1 (en) Implementing and deleting method and device for intelligent terminal multi-operation system
US20140115316A1 (en) Boot loading of secure operating system from external device
US7818567B2 (en) Method for protecting security accounts manager (SAM) files within windows operating systems
EP4062278A1 (en) Data management
KR101369251B1 (ko) 시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템
CN111382126B (zh) 删除文件及阻碍文件恢复的系统和方法
US9384353B2 (en) System and method for encryption of disk based on pre-boot compatibility testing
Shu et al. Why data deletion fails? A study on deletion flaws and data remanence in Android systems
CN108064382B (zh) 一种基于Ukey的软件解密的方法及终端
CN113342425A (zh) 一种Linux嵌入式系统的启动方法、装置和存储介质
CN105608150A (zh) 一种业务数据的处理方法及系统
Kong Data extraction on mtk-based android mobile phone forensics
Huber et al. A flexible framework for mobile device forensics based on cold boot attacks
CN106897063B (zh) 一种基于efi将os启动项永久添加至bios中的方法及系统
CN111339538B (zh) 基于macOS系统的在线取证方法、装置、设备及存储介质
CN110704243A (zh) 数据恢复方法、装置、终端设备及存储介质
CN113900893B (zh) 一种日志获取方法及其相关设备
Wu et al. A general forensics acquisition for Android smartphones with qualcomm processor
Taubmann et al. A lightweight framework for cold boot based forensics on mobile devices
CN110633585B (zh) 一种硬盘锁定及解锁方法、装置、设备及可读存储介质
CN108509252B (zh) 虚拟机启动装置、方法及主机
CN112817932A (zh) 一种数据转移方法、设备和存储介质
CN114239091B (zh) 基于可信芯片的磁盘加密方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant after: QAX Technology Group Inc.

Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd.

Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant before: QAX Technology Group Inc.

Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.

GR01 Patent grant
GR01 Patent grant