本發明提供一種針對大型網絡設備隱匿技術的安全取證方法,其步驟如下：1、獲取網絡設備的底層權限；2、在目標設備的底層系統創建一個進程；3、在該進程中注冊異常函數，接管最終異常事件；4、在該進程中注冊相關信息的取證函數API?Application Programming Interface，包括：獲取系統日志信息函數、獲取相關文件信息函數、獲取進程信息函數、獲取網絡信息函數、獲取內核信息函數、獲取磁盤信息函數；5、創建一個管道；6、根據用戶輸入，確認取證信息的類別；7、執行相應的取證函數，通過管道回傳到本地。本發明實現了針對大型網絡設備Rootkit安全取證方法，解決了現有信息取證方法的局限性。

一.技術領域

本發明提供一種針對大型網絡設備隱匿技術(即“Rootkit”)的安全取證方法，它是一種針對大型網絡設備Rootkit的安全取證方法，它涉及漏洞利用，屬于網絡安全技術領域。

二.背景技術

據報導，著名黑客組織“TAO”小組擁有一系列針對各國知名的網絡設備定制的持久性后門控制程序和功能程序。為了獲取某些路由設備的代碼，專門對其內網進行了攻擊，并基于所獲取的代碼研究了網絡設備的漏洞，針對性的開展了攻擊，并獲取了大量的敏感數據。2016年8月，“影子經紀人”曝光了“方程式”黑客組織的部分網絡攻擊武器，其中就包含了針對網絡設備的大量攻擊代碼。從代碼的設計和實現復雜度分析，該代碼顯然不是一般黑客組織能實現的，應該屬于國家行為組織的針對網絡設備的大規模攻擊技術研究。

由于網絡設備研究的特殊性，我國在網絡攻防領域內對網絡設備的入侵分析和取證技術研究和敵手比還有明顯的差距。首先是研究網絡設備入侵分析和取證的技術難度大，其一、網絡設備種類繁多，各種設備之間的差異性很大，需要開展有針對性的研究，其工作量非常大。網絡設備包括了路由器設備、交換機設備和防火墻UTM等設備，同時又包括主流廠商和某些地區相關的品牌，每個廠商下會形成多個產品的系列和各種不同的版本，其產品的關聯度比較低，因此開展研究的難度和工作量都很大。其二、網絡設備的一般只提供用戶設備的配置管理權限，在出廠時屏蔽了相關的調試接口和系統底層權限，這給入侵分析和取證設置了障礙。入侵分析和取證為了獲取完整的取證信息，需要具備底層的權限，因此獲取設備底層的權限也具有一定的技術難度。其三、網絡設備研究是處在一個黑盒子的狀態下進行研究，通常情況下僅可以獲得有限的輸出信息。入侵分析和取證需要獲取設備相對全面的信息，包括文件系統，進程等信息，對設備狀態進行分析和比對，這也是研究工作中的一大挑戰。

三.發明內容

1.發明目的

鑒于上述問題，本發明提供了一種針對大型網絡設備Rootkit安全取證方法，目的在于解決了現有在網絡設備信息取證方法的局限性,方便系統管理員審查攻擊網絡設備的方法及手段。

2.技術方案

本發明提供一種針對大型網絡設備隱匿技術(即“Rootkit”)的安全取證方法，其步驟如下：

步驟1：獲取網絡設備底層系統的超級用戶權限(即“root”權限)；

步驟2：在目標設備的底層系統創建一個進程(即“process”)；

步驟3：在該進程中注冊異常處理函數，接管最終異常事件；

步驟4：在該進程中通過注冊信息取證函數，提供應用程序編程接口(即“API -Application Programming Interface”)，包括：獲取系統文件信息函數、獲取進程隱藏檢測信息函數、獲取文件恢復信息函數、獲取內存信息函數、獲取磁盤信息函數和獲取內核信息函數；

步驟5：創建一個管道(即“pipe”)；

步驟6：根據用戶輸入，確認取證信息的類別；

步驟7：執行相應的取證函數，通過管道回傳到本地；