1.一種針對大型網(wǎng)絡(luò)設(shè)備隱匿技術(shù)的安全取證方法，其特征在于：

步驟1：獲取網(wǎng)絡(luò)設(shè)備底層系統(tǒng)的超級用戶權(quán)限即“root”權(quán)限；

步驟2：在目標設(shè)備的底層系統(tǒng)創(chuàng)建一個進程即“process”；

步驟3：在該進程中注冊異常處理函數(shù)，接管最終異常事件；

步驟4：在該進程中通過注冊信息取證函數(shù)，提供應(yīng)用程序編程接口即“API-Application Programming Interface”，包括：獲取系統(tǒng)文件信息函數(shù)、獲取進程隱藏檢測信息函數(shù)、獲取文件恢復(fù)信息函數(shù)、獲取內(nèi)存信息函數(shù)、獲取磁盤信息函數(shù)和獲取內(nèi)核信息函數(shù)；

步驟5：創(chuàng)建一個管道即“pipe”；

步驟6：根據(jù)用戶輸入，確認取證信息的類別；

步驟7：執(zhí)行相應(yīng)的取證函數(shù)，通過管道回傳到本地；

在步驟4中所述的“在該進程中通過注冊信息取證函數(shù)，提供應(yīng)用程序編程接口即“API-Application Programming Interface”，包括：獲取系統(tǒng)文件信息函數(shù)、獲取進程隱藏檢測信息函數(shù)、獲取文件恢復(fù)信息函數(shù)、獲取內(nèi)存信息函數(shù)、獲取磁盤信息函數(shù)和獲取內(nèi)核信息函數(shù)”；

各獲取信息的內(nèi)容如下：

獲取系統(tǒng)文件信息：通過系統(tǒng)靜態(tài)信息獲取函數(shù)即“DepthStaticBasicDataForensic()”函數(shù)，該信息取證方法是通過靜態(tài)編譯的程序讀取網(wǎng)絡(luò)設(shè)備底層系統(tǒng)重要的配置文件、日志文件、數(shù)據(jù)文件的內(nèi)容；

獲取進程隱藏檢測信息：通過系統(tǒng)隱藏進程檢測函數(shù)即“DepthWatchHideCourseForensic()”函數(shù)，該信息取證方法是通過多種不同的方式分別從：文件檢查、信號的發(fā)送、進程調(diào)度策略、時間片、進程屬性諸特點來檢測當前網(wǎng)絡(luò)設(shè)備的系統(tǒng)中是否存在隱藏、可疑及惡意的獲取設(shè)備的敏感信息、用戶數(shù)據(jù)的進程；

獲取文件恢復(fù)信息：通過已刪除文件檢測函數(shù)恢復(fù)函數(shù)即“DepthRecoverCourseDelFileForensic()”函數(shù)，該信息取證方法是獲取網(wǎng)絡(luò)設(shè)備底層系統(tǒng)特定進程刪除文件的恢復(fù)，通過讀取進程相關(guān)的所有文件描述符即“/proc/pid/fd”目錄相關(guān)文件，來恢復(fù)刪除的文件信息；

獲取進程內(nèi)存信息：通過進程內(nèi)存獲取函數(shù)即“DepthMemeroyCourseForens ic()”函數(shù)，該信息取證方法是獲取網(wǎng)絡(luò)設(shè)備底層系統(tǒng)運行程序的虛擬內(nèi)存信息；

獲取磁盤信息：通過磁盤信息獲取函數(shù)即“DepthDiskDataForensic()”函數(shù)，該信息取證方法是獲取網(wǎng)絡(luò)設(shè)備底層系統(tǒng)磁盤使用、分區(qū)信息；

獲取內(nèi)核信息：通過內(nèi)核信息獲取函數(shù)即“DepthKernelDataForensic()”函數(shù)，該信息取證方法是獲取網(wǎng)絡(luò)設(shè)備底層系統(tǒng)內(nèi)核內(nèi)存信息、符號表信息、內(nèi)核掛載模塊信息；

各信息獲取的作法如下：

在通過系統(tǒng)靜態(tài)信息獲取函數(shù)即“DepthStaticBasicDataForensic()”中，執(zhí)行了獲取系統(tǒng)日志的命令即“./busybox tar-cf-/var/log//mnt/disk0/log//mnt/disk0/syslog//mnt/disk0/coredumpfsysimage.bin|cat”，獲取了系統(tǒng)普通日志，內(nèi)核崩潰日志；執(zhí)行了內(nèi)核掛載模塊命令即“./busybox lsmod”獲取了內(nèi)核掛載模塊信息；執(zhí)行了進程列表命令即“./busybox ps–ef”獲取進程列表信息；通過獲取系統(tǒng)文件列表及屬性函數(shù)即“LoopLSL”函數(shù)獲取系統(tǒng)文件列表及屬性；通過系統(tǒng)調(diào)整進程調(diào)度算法函數(shù)即“sched_get_priority_max(SCHED_FIFO)”函數(shù)調(diào)整取證進程調(diào)度算法和優(yōu)先級之后，通過循環(huán)獲取系統(tǒng)md5列表函數(shù)即“LoopMd5sum”函數(shù)獲取系統(tǒng)文件md5列表；

在通過系統(tǒng)隱藏進程檢測函數(shù)即“DepthWatchHideCourseForensic()”中，通過循環(huán)遍歷每個進程的進程號，通過進程信息函數(shù)即“PrintInfo()”函數(shù)，調(diào)用進程目錄函數(shù)即“ProcProcDir()”函數(shù),進程文件描述符函數(shù)即“ProProcFdDir()”函數(shù)，進程網(wǎng)絡(luò)函數(shù)即“ProProcNetDir”函數(shù)，來判斷進程是否被隱藏；

在通過已刪除文件檢測函數(shù)恢復(fù)函數(shù)即“DepthRecoverCourseDelFileForensic()”函數(shù)中，通過循環(huán)打開每個進程的文件描述符，通過文件刪除字符信息函數(shù)即“FindDeleteStr()”函數(shù)，刪除文件狀態(tài)信息即“PrintDeleteFileInfo()”，來判斷是否是已刪除文件；通過已刪除文件恢復(fù)函數(shù)即“RecoverFileData()”函數(shù)，來恢復(fù)已刪除文件；

在通過進程內(nèi)存獲取函數(shù)即“DepthMemeroyCourseForensic()”函數(shù)中，通過創(chuàng)建進程狀態(tài)數(shù)據(jù)函數(shù)即“NewStatusData()”函數(shù)創(chuàng)建進程狀態(tài)數(shù)據(jù)；通過獲取進程狀態(tài)數(shù)據(jù)即“GetCoureseStatusData”函數(shù)獲取進程狀態(tài)數(shù)據(jù)；通過進程攔截函數(shù)即“MemeroyCourseForensic”函數(shù)對進程進行攔截；通過進程狀態(tài)信息即“Memero yCourse”函數(shù)獲取攔截時的進程狀態(tài)信息；

在通過磁盤信息獲取函數(shù)即“DepthDiskDataForensic()”中，通過獲取磁盤大小命令即“df–h”；通過獲取磁盤分區(qū)狀態(tài)命令即“fdisk-l”來獲取網(wǎng)絡(luò)設(shè)備底層系統(tǒng)磁盤使用、分區(qū)信息；

在通過內(nèi)核信息獲取函數(shù)“即DepthKernelDataForensic()”中，通過系統(tǒng)獲取內(nèi)核掛載模塊命令即“l(fā)smod”；通過獲取linux系統(tǒng)版本文件即“/proc/version”，查看內(nèi)核版本；通過查看內(nèi)核符號表文件即“/proc/kallsyms”獲取內(nèi)核符號表；通過系統(tǒng)內(nèi)核日志接口即“klogctl()”函數(shù)，獲取環(huán)形緩沖區(qū)信息；通過Elf32_Ehd r結(jié)構(gòu)體獲取內(nèi)核虛擬內(nèi)存的鏡像文件即“/dev/kmem”的可加載內(nèi)存段即“l(fā)oad”段信息。