一种计算机在线调查取证分析系统及方法

专利名称：一种计算机在线调查取证分析系统及方法
技术领域：
本发明涉及网络安全领域，特别是涉及一种计算机在线调查取证分析系统及方法。
背景技术：
据有关资料显示，近年来中国的计算机网络受到了越来越多的黑客有意识的入 侵，维护网络安全已经具有越来越重要的现实意义。因此，迫切需要提供一种计算机在线调 查取证分析工具，对计算机进行在线调查取证分析，为维护网络安全提供依据。

发明内容
为了满足上述需求，本发明提供了一种计算机在线调查取证分析系统及方法。
本发明的一种计算机在线调查取证分析系统，包括数据获取模块，用于从宿主机 中获取所需的数据；数据提取模块，用于对所述获取的数据进行数字公证；过程监管模块， 用于记录在线取证过程中的操作信息；数据存储模块，用于存储从宿主机中获取的经数字 公证后的数据。 本发明的一种计算机在线调查取证分析方法，包括下列步骤数据获取步骤从 宿主机中获取所需的数据；数据提取步骤对所述获取的数据进行数字公证；过程监管步 骤记录在线取证过程中的操作信息；数据存储步骤存储从宿主机中获取的经数字公证 后的数据。
本发明有益效果如下 由于本发明存在易丢失数据的获取机制以及宿主机存储媒介中特定文件数据的 获取机制，并且还包括数字公证和全程监管机制，使得本发明的取证结果具有很高的全面 性和可信性，为维护网络安全提供了依据。


图1为本发明实施例1中的系统结构示意图； 图2为本发明实施例2中的系统结构图； 图3为本发明实施例中的易丢失数据获取子模块的操作逻辑流程图； 图4为本发明实施例中的数字公证流程图； 图5为本发明实施例3中的系统结构图； 图6为本发明实施例5中的方法步骤流程图。
具体实施例方式
本发明提供了一种计算机在线调查取证分析系统及方法，以下通过若干实施例详 细说明。
实施例1、参见图1所示，本实施例中的计算机在线调查取证分析系统包括数据获取模块、数据提取模块、过程监管模块和数据存储模块。
其中，数据获取模块，用于从宿主机中获取所需的数据。
数据提取模块，用于对获取的数据进行数字公证。 过程监管模块，用于记录在线取证过程中的操作信息，至少包括数据获取模块和 数据提取模块的操作过程。 数据存储模块，用于存储从宿主机中获取的经数字公证后的数据。 实施例2、基于实施例l，本实施例的系统中数据获取模块由易丢失数据获取子模
块和解码分析子模块组成，具体参见图2所示。系统采用光盘运行方式运行，不对宿主机存
储媒介进行任何写操作，同时在运行过程中调用过程监管模块监管操作全过程，获取数据
时调用数据提取模块生成MD5校验值等。以下对本实施例中模块逐一详述。 易丢失数据获取子模块，主要用于从宿主机系统中获取指定时间点的各类易丢失数据。 易丢失数据获取子模块可采用指令、自动、定时等方式获取易丢失数据。包括指
令方式按照交互用户的操作指令提取相关的易丢失数据。自动方式监视操作系统内核
事件，当网络类信息、进程类信息发生变化时自动提取目应的易丢失数据。定时方式按照
交互用户的设置的快照提取参数以指定的时间间隔提取相关的易丢失数据。 如图2所示，易丢失数据获取子模块又可由基本信息子模块、物理内存子模块、应
用程序内存子模块、自启动程序子模块、网络连接子模块、网络服务子模块、网络访问子模
块、文件操作子模块、进程子模块、应用程序子模块等下位模块组成，用于获取相应种类的
易丢失数据。 基本信息子模块获取系统当前的基本信息，包括如下信息操作系统类型；操作 系统版本；IP地址、MAC地址；存储媒介ID、型号、容量；已登陆用户、登陆时间；操作系统状态等。 网络连接子模块获取系统当前的网络连接状态信息，包括如下信息协议、本地 地址、远程地址、本地端口、远程端口、状态；关联进程ID、程序文件全名称、文件的大小；程 序的建立时间、最后修改时间、最后访问时间等。 网络服务子模块获取系统当前开启网络服务的应用程序信息，包括如下信息 进程ID、应用程序文件、文件的大小；协议类型、服务端口、帮定地址、客户地址、客户端口、 状态；程序的建立时间、最后修改时间、最后访问时间等。 网络访问子模块获取系统当前访问网络的应用程序信息，包括如下信息进程 ID、应用程序文件、文件的大小；协议、本地地址、远程地址、本地端口、远程端口、状态；程 序的建立时间、最后修改时间、最后访问时间等。 文件操作子模块获取系统当前被打开的文件信息，包括如下信息文件名称、存 储地址、文件大小；文件建立时间、最后访问时间、最后修改时间、文件属性；打开文件的进 程ID、关联的应用程序等。 应用程序子模块获取系统当前打开文件的应用程序信息，包括如下信息进程 ID、应用程序程序文件；程序文件的建立时间、最后访问时间、最后修改时间；程序文件的 文件属性、大小、文件版本版权；应用程序调用的模块文件名称；模块文件的建立时间、最 后访问时间、最后修改时间、大小；应用程序打开的其他文件；被打开文件的建立时间、最后访问时间、最后修改时间、大小等。 进程子模块获取系统当前正在运行的进程信息，包括如下信息进程ID、关联程 序文件；程序文件的建立时间、最后访问时间、最后修改时间；程序文件的文件属性、大小、 文件版本版权；调用、访问的文件及其建立时间、最后访问时间、最后修改时间；进程使用 的网络会话信息；进程使用的系统资源、内存资源、CPU资源等。 物理内存子模块获取系统当前物理内存中存储的信息，包括如下信息寻址地 址、大小、内容等。 应用程序内存子模块获取系统当前应用程序内存中存储的信息，包括如下信息 进程ID、关联文件；进程使用的物理内存字节数、内容；进程使用的虚拟内存字节数、内容； 进程使用的共享内存字节数、内容；进程使用的私有内存字节数、内容；进程调用的各模块 程序使用的内存字节数、内容等。 自启动程序子模块获取系统当前运行的自启动应用程序信息，以及自启动配置 信息，包括如下信息自启动程序进程ID、关联的自启动程序程序文件、运行参数；自启动 配置参数、启动位置等。 参见图3所示，易丢失数据获取子模块的操作逻辑流程如下获取易丢失数据时， 首先根据取证系统的权限及要获取数据的类型提升取证系统的权限，使其具备访问该类数 据的权限；然后调用相应的子模块获取该数据的访问句柄；并根据获取的访问句柄读取数 据，写入到格式化的快照文件中，数据读取完毕后，释放取证系统的权限。如果获取时设置 了自动、定时获取参数，则等待定时时间事件，否则返回。当定时时间事件发生时，则继续上 述的获取流程。 解码分析子模块，主要用于对获取的各时间点的各类易丢失数据进行解析，并提 交可阅读结果。同时还可对不同时间获取的各种易丢失数据快照进行比对，从中发现、定位 发生差异的数据。包括 当前系统基本信息的变化包括当前登陆用户、登陆时间、操作系统状态等信息的 变化； 网络连接状态包括网络连接的建立、销毁、连接状态等信息的变化； 当前打开网络服务端口的应用程序包括服务端口的建立、关闭、建立连接、销毁
连接、连接状态等信息的变化； 当前访问网络的应用程序包括建立网络访问连接、关闭网络访问连接、连接状态 等信息的变化； 当前被打开的文件包括文件的打开、关闭、复制、修改、写入等信息的变化； 当前打开文件的应用程序包括文件的打开、关闭、修改、写入等信息的变化； 当前正在运行的进程包括调用的模块、关联文件、网络连接、网络服务、访问状态
等信息的变化；还包括进程使用的系统资源、内存资源、CPU资源等信息的变化； 物理内存中存储的信息包括字节数、内容等信息的变化； 应用程序内存中存储的信息包括字节数、内容等信息的变化； 系统自启动应用程序包括关联文件、启动参数、启动位置等信息的变化。 解码分析子模块还可对差异数据进行跟踪，具体可对捕获的现场主机的网络事件
等各类事件进行分析，并与前一次信息进行比对，从而提取其中的差异，发现相应的易丢失
6数据变化事件；跟踪过程由过程监管模块保障证据的合法性；跟踪的结果存储在数据存储 模块(如外部存储媒介)中。数据跟踪过程中的归类、匹配算法使用MWM算法，构造匹配模 式的数据源包括事件的类型、各进程数据项，以及各网络连接数据项。 数据提取模块，主要用于对所述获取的数据进行数字公证。参见图4所示，本模块 综合使用了时间戳公证、MD5校验和数字签名技术，取证人员在收集在线目标主机过程中得 到的原始数据会做时间标记；包含时间戳的原始数据经过MD5校验，会在数据包中增加MD5 校验值(摘要)；包含校验值(摘要)的原始数据经过特定的加密算法进行加密运算，并增 加取证人员的数字签名证书，最后系统会将包含了时间戳、MD5校验值、数字签名等信息的 原始取证数据自动存储到数据存储模块。 过程监管模块，主要用于记录在线取证过程中的操作信息。具体包括取证过程记 录；取证人员操作记录，包括登录、注销、操作过程；系统工作记录，包括系统工作情况、异 常情况、维护情况等。 数据存储模块，主要用于存储从宿主机中获取的经数字公证后的数据，即数据提 取模块处理后的数据。 实施例3、基于实施例l，本实施例的系统中数据获取模块由数据搜索子模块和数
据复制子模块组成，具体参见图5所示。系统采用光盘运行方式运行，不对宿主机存储媒介
进行任何写操作，同时在运行过程中调用过程监管模块监管操作全过程，获取数据时调用
数据提取模块生成MD5校验值等。以下对本实施例中模块逐一详述。 数据搜索子模块，主要用于从宿主机存储媒介中查找包含特定特征的文件数据。 数据复制子模块，主要用于复制所述查找到的文件数据，并交由数据提取模块处理。 具体的，数据搜索子模块从宿主机存储媒介上搜索特定的文件、存储区域，包括各 种特征的文件、被删除文件、存储区域等，本模块支持对FAT16、FAT32、NTFS、EXT2等格式的 文件系统进行快速搜索。用户根据搜索结果调用数据复制子模块将指定的文件、被删除文 件、整个存储媒介、特定分区或特定的存储区域复制到USB或1394端口连接的数据存储模 块(如外部存储媒介)，本模块支持对FAT16、 FAT32、 NTFS、 EXT2等格式的文件系统进行快 速复制。同时调用数据提取模块对复制的数据进行MD5校验和数字签名等数字公证操作。 过程监管模块负责对搜索、复制全过程进行日志记录。 数据提取模块、过程监管模块和数据存储模块的具体内容与实施例2相同，在此 不再赘述。 实施例4、本实施例的系统中数据获取模块由易丢失数据获取子模块、解码分析子 模块、数据搜索子模块和数据复制子模块组成。 其中，易丢失数据获取子模块和解码分析子模块，用于获取和解析易丢失数据，具 体内容与实施例2相同，在此不再赘述。 数据搜索子模块和数据复制子模块，用于获取具有特定特征的存储于宿主机媒体 介质中的文件数据，具体内容与实施例3相同，在此不再赘述。 数据提取模块、过程监管模块和数据存储模块的具体内容与实施例2相同，在此 不再赘述。 由于本实施例存在易丢失数据获取子模块和解码分析子模块，以及数据搜索子模
7块和数据复制子模块，所以在线调查取证范围更加全面，可以达到更优的效果。 实施例5、本实施例中的计算机在线调查取证分析方法，参见图6所示，包括下列
主要步骤 Sl、从宿主机中获取所需的数据。 S2、对获取的数据进行数字公证。 S3 、记录在线取证过程中的操作信息。 S4、存储从宿主机中获取的经数字公证后的数据。 实施例6、基于实施例5，本实施例进一步详述。 实施例5的步骤S1中具体可包括如下内容从宿主机系统中获取指定时间点的易
丢失数据；对所述获取的各时间点的易丢失数据进行解析，并提交可阅读结果。
上述指定时间点包括指令方式按照交互用户的操作指令提取相关的易丢失数
据。自动方式监视操作系统内核事件，当网络类信息、进程类信息发生变化时自动提取相
应的易丢失数据。定时方式按照交互用户的设置的快照提取参数以指定的时间间隔提取
相关的易丢失数据。
上述获取的各种易丢失数据，包括 当前系统基本信息包括操作系统类型、版本、MAC、存储媒介ID、登陆用户、登陆时间、操作系统状态等； 网络连接状态包括协议、本地地址、远程地址、本地端口 、远程端口 、关联进程、连接状态等； 当前打开网络服务端口的应用程序包括进程ID、服务程序关联文件、协议类型、服务端口、帮定地址、客户地址、客户端口、状态等； 当前访问网络的应用程序包括进程ID、应用程序关联文件、协议类型、应用程序端口 、本地地址、访问地址、访问端口 、状态等； 当前被打开的文件包括文件名称、存储地址、关联的应用程序、文件建立时间、访问时间、修改时间、文件属性等； 当前打开文件的应用程序包括进程ID、应用程序关联文件、应用程序访问的文件、文件建立时间、访问时间、修改时间、文件属性、文件版本版权等； 当前正在运行的进程包括进程ID、关联文件、调用的模块文件、关联文件和调用文件的文件建立时间、访问时间、修改时间、文件属性、文件版本版权、网络连接、网络服务等；还包括进程使用的系统资源、内存资源、CPU资源等信息；
物理内存中存储的信息包括字节数、内容等； 应用程序内存中存储的信息包括进程ID、关联文件、字节数、内容等；
系统自启动应用程序包括关联文件、启动参数、启动位置等。 参见图3所示，易丢失数据的获取逻辑流程如下获取易丢失数据时，首先根据取证系统的权限及要获取数据的类型提升取证系统的权限，使其具备访问该类数据的权限；然后获取该数据的访问句柄；并根据获取的访问句柄读取数据，写入到格式化的快照文件中，数据读取完毕后，释放取证系统的权限。如果获取时设置了自动、定时获取参数，则等待定时时间事件，否则返回。当定时时间事件发生时，则继续上述的获取流程。
上述对各时间点的各类易丢失数据进行解析具体是指对不同时间获取的各种易丢失数据快照进行比对，从中发现、定位发生差异的数据。包括 当前系统基本信息的变化包括当前登陆用户、登陆时间、操作系统状态等信息的变化； 网络连接状态包括网络连接的建立、销毁、连接状态等信息的变化； 当前打开网络服务端口的应用程序包括服务端口的建立、关闭、建立连接、销毁
连接、连接状态等信息的变化； 当前访问网络的应用程序包括建立网络访问连接、关闭网络访问连接、连接状态等信息的变化； 当前被打开的文件包括文件的打开、关闭、复制、修改、写入等信息的变化； 当前打开文件的应用程序包括文件的打开、关闭、修改、写入等信息的变化； 当前正在运行的进程包括调用的模块、关联文件、网络连接、网络服务、访问状态
等信息的变化；还包括进程使用的系统资源、内存资源、CPU资源等信息的变化； 物理内存中存储的信息包括字节数、内容等信息的变化； 应用程序内存中存储的信息包括字节数、内容等信息的变化； 系统自启动应用程序包括关联文件、启动参数、启动位置等信息的变化。 还可对差异数据进行跟踪，具体可对捕获的现场主机的网络事件等各类事件进行
分析，并与前一次信息进行比对，从而提取其中的差异，发现相应的易丢失数据变化事件；
对跟踪过程实时监管块保障证据的合法性；跟踪的结果存储在外部存储媒介中。数据跟踪
过程中的归类、匹配算法使用MWM算法，构造匹配模式的数据源包括事件的类型、各进程
数据项，以及各网络连接数据项。 实施例5的步骤S2中进行数字公证的过程具体包括综合使用了时间戳公证、MD5校验和数字签名技术，取证人员在收集在线目标主机过程中得到的原始数据会做时间标记；包含时间戳的原始数据经过MD5校验，会在数据包中增加MD5校验值(摘要)；包含校验值(摘要)的原始数据经过特定的加密算法进行加密运算，并增加取证人员的数字签名证书，最后系统会将包含了时间戳、MD5校验值、数字签名等信息的原始取证数据自动存储到外部存储媒介中。
实施例5的步骤S3中被记录的操作信息具体包括取证过程记录；取证人员操
作记录，包括登录、注销、操作过程；系统工作记录，包括系统工作情况、异常情况、维护情况等。 实施例7、基于实施例5，本实施例进一步详述。 实施例5的步骤S1中具体可包括如下内容从宿主机存储媒介中查找包含特定特征的文件数据；复制查找到的文件数据。 具体的，可从宿主机存储媒介上搜索特定的文件、存储区域，包括各种特征的文件、被删除文件、存储区域等，支持对FAT 16 、 FAT32 、 NTFS、 EXT2等格式的文件系统进行快速搜索。用户根据搜索结果将指定的文件、被删除文件、整个存储媒介、特定分区或特定的存储区域复制到USB或1394端口连接的外部存储媒介，支持对FAT16、 FAT32、 NTFS、 EXT2等格式的文件系统进行快速复制。同时对复制的数据进行MD5校验和数字签名等数字公证操作，并对搜索、复制全过程进行日志记录。 后续数据提取步骤、过程监管步骤和数据存储步骤的具体内容与实施例6相同，在此不再赘述。 实施例8、基于实施例5，本实施例进一步详述。 实施例5的步骤S1中具体可包括如下内容从宿主机系统中获取指定时间点的易
丢失数据；对获取的各时间点的易丢失数据进行解析，并提交可阅读结果。并且从宿主机存
储媒介中查找包含特定特征的文件数据；复制查找到的文件数据。 其它具体内容与实施例6和7相同，在此不再赘述。 可见，本实施例在线调查取证范围更加全面，可以达到更优的效果。 综上，本发明中存储媒介支持在只读方式下获取FAT16、FAT32、NTFS、EXT2等各种
文件系统格式的数据，支持整个存储媒介的复制、也支持复制特定的分区或存储区域。 易丢失数据的获取支持获取当前系统基本信息、网络连接状态、当前打开网络服
务端口的应用程序、当前访问网络的应用程序、当前被打开的文件、当前打开文件的应用程
序、当前正在运行的进程、内存中存储的信息(包括物理内存和各个应用程序)、系统自启
动应用程序等各种易丢失数据。 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
10
权利要求
一种计算机在线调查取证分析系统，其特征在于，包括数据获取模块，用于从宿主机中获取所需的数据；数据提取模块，用于对所述获取的数据进行数字公证；过程监管模块，用于记录在线取证过程中的操作信息；数据存储模块，用于存储从宿主机中获取的经数字公证后的数据。
2. 如权利要求1所述的计算机在线调查取证分析系统，其特征在于，数据获取模块中 包括易丢失数据获取子模块，用于从宿主机系统中获取指定时间点的易丢失数据，并交由 数据提取模块处理；解码分析子模块，用于对所述获取的各时间点的易丢失数据进行解析，并提交可阅读 结果。
3. 如权利要求2所述的计算机在线调查取证分析系统，其特征在于，解码分析子模块 对各时间点的易丢失数据进行解析具体为对不同时间获取的各种易丢失数据快照进行比 对，从中定位差异数据，并对该差异数据进行跟踪记录。
4. 如权利要求1所述的计算机在线调查取证分析系统，其特征在于，数据提取模块进 行所述数字公证包括为所述获取的数据增加时间戳； 对包含时间戳的数据进行MD5校验； 为MD5校验后的数据加密；为加密后的数据增加取证人员的数字签名证书。
5. 如权利要求1至4任一项所述的计算机在线调查取证分析系统，其特征在于，数据获取模块中包括数据搜索子模块，用于从宿主机存储媒介中查找包含特定特征的文件数据； 数据复制子模块，用于复制所述查找到的文件数据，并交由数据提取模块处理。
6. —种计算机在线调查取证分析方法，其特征在于，包括下列步骤 数据获取步骤从宿主机中获取所需的数据；数据提取步骤对所述获取的数据进行数字公证； 过程监管步骤记录在线取证过程中的操作信息； 数据存储步骤存储从宿主机中获取的经数字公证后的数据。
7. 如权利要求6所述的计算机在线调查取证分析方法，其特征在于，数据获取步骤中 包括从宿主机系统中获取指定时间点的易丢失数据；对所述获取的各时间点的易丢失数据进行解析，并提交可阅读结果。
8. 如权利要求7所述的计算机在线调查取证分析方法，其特征在于，所述对各时间点 的易丢失数据进行解析具体为对不同时间获取的各种易丢失数据快照进行比对，从中定 位差异数据，并对该差异数据进行跟踪记录。
9. 如权利要求6所述的计算机在线调查取证分析方法，其特征在于，数据提取步骤中 所述数字公证的过程包括为所述获取的数据增加时间戳；对包含时间戳的数据进行MD5校验；为MD5校验后的数据加密；为加密后的数据增加取证人员的数字签名证书。
10.如权利要求6至9任一项所述的计算机在线调查取证分析方法，其特征在于，数据 获取步骤中包括从宿主机存储媒介中查找包含特定特征的文件数据； 复制所述查找到的文件数据。
全文摘要
本发明公开了一种计算机在线调查取证分析系统及方法，涉及网络安全领域，为维护网络安全提供依据。系统包括数据获取模块，用于从宿主机中获取所需的数据；数据提取模块，用于对获取的数据进行数字公证；过程监管模块，用于记录在线取证过程中的操作信息；数据存储模块，用于存储从宿主机中获取的经数字公证后的数据。方法包括数据获取步骤；数据提取步骤；过程监管步骤；数据存储步骤。由于本发明存在易丢失数据的获取机制以及宿主机存储媒介中特定文件数据的获取机制，并且还包括数字公证和全程监管机制，使得本发明的取证结果具有很高的全面性和可信性，为维护网络安全提供了依据。
文档编号G06F21/00GK101763480SQ20101001958
公开日2010年6月30日 申请日期2010年1月22日 优先权日2010年1月22日
发明者柯宗庆, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司