一种基于物理内存分析的远程取证系统的制作方法

一种基于物理内存分析的远程取证系统的制作方法
【技术领域】
[0001]本发明涉及云取证分析领域，尤其涉及一种对远程目标终端物理内存镜像文件进行的取证分析，具体地讲，是指一种基于物理内存分析的远程取证系统。
【背景技术】
[0002]在电子数据取证过程中，对取证数据的分析过程经常依赖于取证人员个人经验和思考判断来选择恰当的分析方法来实现对电子取证数据的检测及分析，因为取证人员对取证数据的分析往往会涉及到多种分析方法。这种个人主观选择取证分析方法不但不利于对取证数据的充分有效利用，还对取证效率产生了负面影响。此外，需要进行取证鉴定的案件数量逐年激增，但是取证人员数量有限，无法及时到达现场展开调查取证，且个人经验有限，难以全方面的进行取证。在线证据主要保存在计算机物理内存中，因此对物理内存的分析是在线证据分析的关键。第三、当前的传统的在线取证方式是需要各类取证工具在目标计算机系统中运行，以完成数据的收集和分析工作，这使得证据的收集活动严重影响了证件的可信性，即使取得了一些证据，其完整性和真实性也很难得到证明，尤其随着核心态木马和反取证技术的发展，很多在线工具获取的数据很可能已被篡改。传统的取证方式首先获取磁盘(硬盘)的镜像文件，然后再对硬盘镜像文件进行搜索、分析、呈现等工作，硬盘镜像文件很容易被事先篡改，真实性和可信度不高。硕士论文基于数据恢复的远程计算机取证系统的研究与实现，使用远程控制实现了对数据、文件等系统的恢复，但是数据恢复模块，目标主机的系统资源占用率偏高、容易被犯罪嫌疑人发现；另一方面，远程取证系统只能运行在windows系统中，不支持Iinux等常见系统。发明专利CN103647791B公开实现的是对远程移动终端进行的取证，包括双向语音通话、视频传输及对远程控制端进行拍照，将拍照回传到PC端，属于传统取证方法的一种。此专利只是将语音通话、视频等信息进行传输，具体内容或许在传输前已经被改动，不能实时传输这些信息。
[0003]
【发明内容】
:
本发明要解决的技术问题是提供一种远程信息采集取证管理系统，帮助工作人员在海量内存分析结果中发现所需要的关键证据，通过分析目标主机的物理内存镜像文件，获取内存中运行的重要信息，大大提高了工作效率和电子证据的真实可信性。
[0004]本发明采用如下技术手段实现发明目的:
一种基于物理内存分析的远程取证系统，其特征在于，包括:
客户端:镜像客户端的物理内存，并存储到本地，并对镜像文件做hash值计算，然后调用物理内存分析命令行程序分析此镜像文件，将分析结果和镜像文件一起发送到服务端；服务端:侦听客户端，若有客户端连接请求，服务端连接确认，连接成功，服务端收到客户端发来的开始发送信息的标示字符串，则开始接收客户端信息，主要收集客户端的物理内存镜像文件和对应的镜像文件分析结果，服务端采取多线程，能同时收集若干个客户端的物理内存镜像文件和内存分析结果信息，并将内存分析结果存储到hadoop hive数据库；另一方面，与远程控制端建立连接，主要是向远程控制端发送客户端的日志信息，根据远程控制端的检索条件，从hadoop hive数据库中查找符合条件的检索信息，发送到远程控制端进行展示；
远程控制端:主要管理服务端，通过远程管理服务来获取客户端的信息，并对客户端的日志信息进行展示，还有检索的功能，用户根据关键词可以获取到客户端的内存镜像分析结果，并提供导出功能，把检索结果和内存分析结果导出，便于取证人员进一步分析。
[0005]作为对本技术方案的进一步限定，所述客户端的日志信息包括客户端的ip地址、端口、传输的镜像文件名、内存分析文件结果和对应的md5值。
[0006]作为对本技术方案的进一步限定，所述客户端包括:
客户端通讯模块:建立与服务端之间的通讯，进行文件的传输；
客户端日志文件模块:通过调用EventLog.exe命令行程序，获取客户端主机的系统日志、安全日志、应用程序日志；
客户端物理内存镜像模块:调用MemDump驱动程序，镜像客户端主机的物理内存，流程，加载驱动，创建服务、打开服务、加载驱动，镜像物理内存、卸载驱动；
客户端物理内存分析模块:打开镜像的物理内存文件，分析出关键的客户端主机基本信息、注册表信息、邮箱账户、即时通讯账户信息、B1S密码、硬盘加密密码和网络提交表单、网络信息、系统日志信息、登录信息、进程信息、驱动信息、hook信息并暂时存储到本地；
客户端传输模块:传输物理内存文件、物理内存分析结果文件、系统日志文件；
客户端存储模块:将要传输的物理内存文件、物理内存分析结果、系统日志文件暂时存储到本地。
[0007]作为对本技术方案的进一步限定，所述服务端包括:
服务端通讯模块:一方面建立与远程控制端之间的通讯，另一方面开启多个线程与多个客户端之间进行通讯；
服务端接收模块:根据建立好的协议，对不同的客户端传输的内容同时进行接收，物理内存大文件以文件的形式存储，对于物理内存分析结果，以hadoop hive方式存储；
服务端存储模块:存储物理内存文件和系统日志、安全日志和应用程序日志；存储物理内存分析结果到hadoop hive数据库；
服务端并行分析模块:同时分析若干个物理内存文件；
服务端数据库检索模块:支持对客户端的基本信息、注册表信息、敏感信息、网络信息、系统日志?目息、登录?目息、进程?目息、驱动?目息、hook彳目息中关键字段的检索；
服务端展示模块:主要展示客户端的日志信息，包括:传输时间、客户端ip地址、端口、传输的物理内存文件名、物理内存文件的hash值；另一方面主要展示:hadoop hive数据库中物理内存分析结果，展示不同时间段内包含关键词的物理内存分析结果。
[0008]作为对本技术方案的进一步限定，所述远程控制端包括:
远程新建案例模块:新建案例的基本信息包括案例名称、案例号、使用的hansh算法、案例保存路径和案例描述；
远程开启服务模块:输入服务端ip地址和端口，建立与服务端的连接通讯，服务开启； 远程通讯模块:建立与服务端之间的通讯；
远程日志管理模块:支持对日志文件进行保存和分析； 远程关键文件检索模块:输入hive表和表中的关键字段，向服务端发送命令，即对物理内存分析出的某个关键文件中的关键词进行检索，以便获取到不同时间段的物理内存分析结果；
远程并行分析模块:点击客户端已传输的物理内存文件中的一个或者若干个，像服务端发送并行分析指令，将对一个或若干个物理内存文件进行分析；
远程导出模块:导出检索分析结果到文件。
[0009]与现有技术相比，本发明的优点和积极效果是:本发明通过远程管理服务的模式收集客户端信息，获取客户端的物理内存镜像文件、物理内存分析结果和客户端的日志信息，并提供检索物理内存分析结果和并行分析内存的功能，从内存分析结果中获取到有价值的信息，物理内存信息没有被篡改的机会，具有很大的可信性和有效性，能够帮助司法人员在海量内存分析结果中发现所需要要的证据，大大提高工作效率。
[0010]本发明从获取物理内存镜像文件、物理内存分析角度出发，实时收集远程的大量设备，服务器、个人电脑、智能终端等物理内存进行镜像并进行分析，完成海量证据的分析处理，实现单机难以完成的未知病毒检测、异常行为检测、高强度密码破解等功能，实现对互联网中安全威胁、违法犯罪行为的灵敏感知、事中取证和全程监控，改变了以往只能进行事后取证的局面，物理内存获取和分析方法，更具有可信性和有效性。此远程取证的客户端以进程或者服务的形式潜入在客户操作系统中，它屏蔽了用户与操作系统和硬件结构的差异，通过远程取证，根据远程服务器端的需求，可以实现本地证据的远程处理，包括证据的保存、证据的分析，可以远程控制取证工具和其它第三方应用，实现证据的实时收集和处理，并将远程证据和分析结果发送到服务器端进行证据保存、分析处理。
[0011]另一个方面可以实现安全审计，远程取证可以实时获取客户端操作系统的安全审计信息、包括应用程序日志、安全日志、系统日志等，同时实现对取证人员进行全程监视、审计和记录，并发送到远程服务器端分析处理，做到对网络安全隐患或违法犯罪活动的及时发现。远程取证实现了 IT行业用户在取证和安全审计方面的需求，扩大了应用领域，延长了计算机取证的产业链。
[0012]基于物理内存分析的远程取证系统提出了有效的、满足取证要求的数字取证分析方案，该方案对提高取证数据的可信性和提升取证分析的精准度方面具有重要作用。
[0013]该方法比传统在线取证方式更符合传统物证技术的要求。传统的在线取证方法，取证的各个阶段都很难划分清楚。使用基于物理内存分析的在线取证方式就能自然地区分各个阶段，调查和分析都依赖于所获得的物理内存映像文件，便于验证分析调查工作的正确性，比传统的在线取证方式更符合物证技术的要求。
[0014]
【附图说明】
[0015]图1为本发明的工作流程图。
[0016]【具体实施方式】:
下面结合实施例，进一步说明本发明。
[0017]参见图1，本发明包括:
客户端:镜像客户端的物理内存，并存储到本地，并对镜像文件做hash值计算，然后调用物理内存分析命令行程序分析此镜像文件，将分析结果和镜像文件一起发送到服务端；服务端:侦听客户端，若有客户端连接请求，服务端连接确认，连接成功，服务端收到客户端发来的开始发送信息的标示字符串，则开始接收客户端信息，主要收集客户端的物理内存镜像文件和对应的镜像文件分析结果，服务端采取多线程，能同时收集若干个客户端的物理内存镜像文件和内存分析结果信息，并将内存分析结果存储到hadoop hive数据库；另一方面，与远程控制端建立连接，主要是向远程控制端发送客户端的日志信息，根据远程控制端的检索条件，从hadoop hive数据库中查找符合条件的检索信息，发送到远程控制端进行展示；
远程控制端:主要管理服务端，通过远程管理服务来获取客户端的信息，并对客户端的日志信息进行展示，还有检索的功能，用户根据关键词可以获取到客户端的内存镜像分析结果，并提供导出功能，把检索结果和内存分析结果导出，便于取证人员进一步分析。