技術(shù)領(lǐng)域

本發(fā)明屬于數(shù)字取證領(lǐng)域，涉及針對(duì)Linux操作系統(tǒng)下進(jìn)行的計(jì)算機(jī)犯罪取證，具體涉及一種基于Linux環(huán)境的數(shù)字取證系統(tǒng)。

技術(shù)背景

數(shù)字取證(計(jì)算機(jī)犯罪取證)也被稱為計(jì)算機(jī)法醫(yī)學(xué)，是指把計(jì)算機(jī)看做犯罪現(xiàn)場(chǎng)，運(yùn)用先進(jìn)的辨析技術(shù)，對(duì)電腦犯罪行為進(jìn)行法醫(yī)式的解剖，搜尋確認(rèn)罪犯及其犯罪證據(jù)，并據(jù)此提起訴訟。主要是對(duì)電子證據(jù)識(shí)別、保存、收集、分析和呈堂，從而揭示與數(shù)字產(chǎn)品相關(guān)的犯罪行為或過(guò)失。數(shù)字取證技術(shù)將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的電子證據(jù)的確定與獲取，同樣它們都是針對(duì)黑客和入侵的，目的都是保障網(wǎng)絡(luò)的安全。近些年來(lái)，數(shù)字化證據(jù)的司法效應(yīng)也已經(jīng)逐步被各個(gè)國(guó)家所承認(rèn)，并漸漸開(kāi)始作為主要的呈堂證物出現(xiàn)在計(jì)算機(jī)相關(guān)的司法審判中。目前，Windows平臺(tái)下的數(shù)字取證技術(shù)已趨于成熟和完善，并產(chǎn)生了一整套的取證流程規(guī)范和方法論，但是針對(duì)廣泛使用的Linux操作系統(tǒng)的取證卻因?yàn)樵诖蟊娭衅占岸炔桓呋蚣夹g(shù)尚不成熟而進(jìn)展緩慢。

Linux操作系統(tǒng)是一套免費(fèi)使用和自由傳播的類(lèi)Unix操作系統(tǒng)，由于其性能穩(wěn)定，目前廣泛用于各種大中型服務(wù)器，交換機(jī)，路由器；隨著目前圖形化操作系統(tǒng)的日益普及，Linux操作系統(tǒng)也開(kāi)始搭載圖形化界面，開(kāi)始向傳統(tǒng)的桌面端操作系統(tǒng)發(fā)展；Linux操作系統(tǒng)的內(nèi)核短小精悍，現(xiàn)在部分廠商也通過(guò)對(duì)內(nèi)核的修改使其運(yùn)行與嵌入式平臺(tái)，例如手機(jī)，智能家居，物聯(lián)網(wǎng)等設(shè)備。Linux系統(tǒng)操作簡(jiǎn)單，只需要一個(gè)命令行終端就可以完整操作整個(gè)系統(tǒng)的運(yùn)行，且基于其開(kāi)源特性，任何人都可以對(duì)其修改，打造出符合個(gè)人使用習(xí)慣的專(zhuān)屬系統(tǒng)，因而Linux操作系統(tǒng)深受程序員和黑客的喜歡，尤其成為黑客手中的攻擊利器。近些年來(lái)，通過(guò)使用Linux系統(tǒng)進(jìn)行攻擊和針對(duì)你基于Linux操作系統(tǒng)的服務(wù)器攻擊事件頻頻發(fā)生，并隨著一些基于Linux系統(tǒng)的滲透攻擊平臺(tái)，如：KALI，Parrot等的誕生而愈演愈烈。

目前市場(chǎng)上有少量的可用于Linux的取證工具，如FTK，Volatility等，但大都移植自Windows系統(tǒng)，無(wú)法完全勝任Linux環(huán)境下的取證工作，且針對(duì)取證內(nèi)容的不同，功能單一，如：FTK僅能用于對(duì)磁盤(pán)進(jìn)行鏡像和解析，Volatility又僅能用于內(nèi)存鏡像的解析。而現(xiàn)實(shí)生活中，對(duì)單一方向的證據(jù)提取往往不能滿足司法可用性的支撐，同時(shí)，也這些工具使用起來(lái)對(duì)操作人員的技能要求相對(duì)較高，因此造成在取證過(guò)程，取證調(diào)查人員不僅要攜帶大量的取證工具包，同時(shí)還無(wú)法保證所提取的證據(jù)同步、有效，導(dǎo)致在針對(duì)Linux操作系統(tǒng)出現(xiàn)的計(jì)算機(jī)犯罪活動(dòng)時(shí)，取證工作往往無(wú)法有效進(jìn)行，造成取證工作滯后或有效證據(jù)流失嚴(yán)重的情況。目前，針對(duì)Linux操作系統(tǒng)進(jìn)行數(shù)字取證的最大難點(diǎn)在于：(1)操作系統(tǒng)本身是否提供可讀數(shù)字化證據(jù)；(2)Linux操作系統(tǒng)可以被獲取的數(shù)字化證據(jù)有哪些；(3)從系統(tǒng)什么位置獲取數(shù)字化證據(jù)；(4)如何使得獲取的數(shù)字化證據(jù)被法律所承認(rèn)，即保證數(shù)字證據(jù)的司法可用性；(5)如何保證提取到數(shù)字化證據(jù)不被取證人員惡意修改；(6)如何降低取證調(diào)查人員的操作難度，又能進(jìn)行有效的取證工作。

發(fā)明內(nèi)容

本發(fā)明的目的是針對(duì)上述現(xiàn)有技術(shù)的缺點(diǎn)提供一套完整的基于Linux環(huán)境下的數(shù)字取證系統(tǒng)，以整合現(xiàn)有的各種功能單一的取證工具，提供用于磁盤(pán)、網(wǎng)絡(luò)、日志和內(nèi)存的證據(jù)收集與分析功能。

為此目的，本發(fā)明采用的技術(shù)方案為基于Linux環(huán)境的數(shù)字取證系統(tǒng)，該系統(tǒng)由主機(jī)操作痕跡調(diào)查模塊、網(wǎng)絡(luò)操作痕跡調(diào)查模塊、日志信息調(diào)查模塊、內(nèi)存信息調(diào)查模塊和證據(jù)固定模塊組成，其中，所述主機(jī)操作痕跡調(diào)查模塊包括基本操作調(diào)查功能和應(yīng)用信息調(diào)查功能，后者通過(guò)提取系統(tǒng)包管理程序數(shù)據(jù)庫(kù)實(shí)現(xiàn)；所述網(wǎng)絡(luò)操作痕跡調(diào)查模塊包括基本操作信息調(diào)查功能、網(wǎng)絡(luò)緩存調(diào)查功能和網(wǎng)絡(luò)應(yīng)用狀態(tài)調(diào)查功能；所述日志信息調(diào)查模塊包括日志文件分析入庫(kù)功能和關(guān)鍵字檢索模塊；所述內(nèi)存信息調(diào)查模塊采用一個(gè)第三方開(kāi)源的工具fmem來(lái)對(duì)內(nèi)存進(jìn)行轉(zhuǎn)儲(chǔ)，并結(jié)合系統(tǒng)dd工具實(shí)現(xiàn)內(nèi)存信息調(diào)查；所述證據(jù)固定模塊對(duì)證據(jù)原文件和經(jīng)過(guò)處理的數(shù)據(jù)庫(kù)文件進(jìn)行hash處理，并記錄有關(guān)信息，確保證據(jù)文件損壞或有被修改嫌疑時(shí)能被監(jiān)管部門(mén)及時(shí)發(fā)現(xiàn)。

進(jìn)一步，上述基本操作調(diào)查功能包括：

(1)獲取系統(tǒng)的登錄時(shí)間列表，通過(guò)解析系統(tǒng)實(shí)時(shí)文件wtmp和btmp文件以調(diào)查是否存在非法訪問(wèn)或敏感時(shí)期的異常訪問(wèn)等信息；

(2)系統(tǒng)在登錄過(guò)程中啟動(dòng)服務(wù)列表，以調(diào)查系統(tǒng)中是否存在攻擊者安裝的Rootkit或其他自啟動(dòng)后門(mén)程序；

(3)基本用戶信息，用于判斷當(dāng)前系統(tǒng)是否存在非法、可疑用戶。