[發(fā)明專利]一種XenServer系統(tǒng)物理內(nèi)存分析方法及系統(tǒng)有效
| 申請?zhí)枺?/td> | 201911302279.8 | 申請日: | 2019-12-17 |
| 公開(公告)號: | CN111026554B | 公開(公告)日: | 2023-05-02 |
| 發(fā)明(設(shè)計)人: | 張淑慧;王連海;鄒豐義;徐淑獎;劉廣起;匡瑞雪 | 申請(專利權(quán))人: | 山東省計算中心(國家超級計算濟(jì)南中心) |
| 主分類號: | G06F9/50 | 分類號: | G06F9/50 |
| 代理公司: | 濟(jì)南圣達(dá)知識產(chǎn)權(quán)代理有限公司 37221 | 代理人: | 李琳 |
| 地址: | 250014 山*** | 國省代碼: | 山東;37 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 xenserver 系統(tǒng) 物理 內(nèi)存 分析 方法 | ||
本公開提供了一種XenServer系統(tǒng)物理內(nèi)存分析方法及系統(tǒng),本公開通過二進(jìn)制代碼重構(gòu)實現(xiàn)操作系統(tǒng)版本判定、內(nèi)核符號表獲取以及虛擬地址向物理地址轉(zhuǎn)換,能夠有效進(jìn)行XenServer系統(tǒng)的物理內(nèi)存分析。
技術(shù)領(lǐng)域
本公開屬于物理內(nèi)存分析技術(shù)領(lǐng)域,涉及一種XenServer系統(tǒng)物理內(nèi)存分析方法及系統(tǒng)。
背景技術(shù)
本部分的陳述僅僅是提供了與本公開相關(guān)的背景技術(shù)信息,不必然構(gòu)成在先技術(shù)。
內(nèi)存取證技術(shù)在當(dāng)今數(shù)字取證分析中發(fā)揮著越來越重要的作用,通過內(nèi)存分析可以獲取到正在運(yùn)行的進(jìn)程信息、已加載的內(nèi)核模塊信息、打開的網(wǎng)絡(luò)連接信息、登錄用戶、打開的文件、加密密鑰以及駐留在內(nèi)存中的惡意代碼等信息。目前,內(nèi)存取證是數(shù)字取證調(diào)查和事件響應(yīng)處理中的標(biāo)準(zhǔn)組件。
內(nèi)存取證技術(shù)最早出現(xiàn)在美國空軍特別調(diào)查辦公室Kornblum于2002年發(fā)表的《Preservation?of?Fragile?Digital?Evidence?by?First?Responders》主題報告中,在此報告中提出需要調(diào)查易失性內(nèi)存信息以全面而準(zhǔn)確地獲取網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪證據(jù)。DFRWS(Digital?Forensic?Research?Workshop)于2005和2006年發(fā)起的內(nèi)存取證分析挑戰(zhàn)賽,推進(jìn)了物理內(nèi)存分析技術(shù)的發(fā)展。從此,物理內(nèi)存分析和獲取成為計算機(jī)取證的研究熱點,各種物理內(nèi)存取證技術(shù)和方法相繼出現(xiàn)。
但據(jù)發(fā)明人了解,尚未發(fā)現(xiàn)針對XenServer系統(tǒng)物理主機(jī)系統(tǒng)的內(nèi)存分析技術(shù)。XenServer是思杰公司(Citrix)推出的一款完整服務(wù)器虛擬化系統(tǒng),其內(nèi)存布局較為復(fù)雜,用普通的Linux系統(tǒng)分析方法,地址轉(zhuǎn)換問題面臨挑戰(zhàn)。Xen堆占用了機(jī)器物理地址空間的部分空間,部分宿主機(jī)的線性地址和對應(yīng)的物理地址之間存在差值,如在System.map中獲取到的swapper_pg_dir的值無法通過減去0xc0000000獲取到swapper_pg_dir的物理地址。這些地址轉(zhuǎn)換問題給XenServer系統(tǒng)下物理主機(jī)的內(nèi)存分析帶來困難。
發(fā)明內(nèi)容
本公開為了解決上述問題,提出了一種XenServer系統(tǒng)物理內(nèi)存分析方法及系統(tǒng),本公開通過二進(jìn)制代碼重構(gòu)實現(xiàn)操作系統(tǒng)版本判定、內(nèi)核符號表獲取以及虛擬地址向物理地址轉(zhuǎn)換,能夠有效進(jìn)行XenServer系統(tǒng)的物理內(nèi)存分析。
根據(jù)一些實施例,本公開采用如下技術(shù)方案:
一種XenServer系統(tǒng)物理內(nèi)存分析方法,包括以下步驟:
(1)使用硬件物理內(nèi)存獲取工具獲取宿主機(jī)全部物理內(nèi)存信息,存為內(nèi)存鏡像文件;
(2)在內(nèi)存鏡像文件中進(jìn)行搜索,從中獲取操作系統(tǒng)版本信息、源內(nèi)核變量_stext和swapper_pg_dir的值;
(3)在內(nèi)存鏡像文件中搜索內(nèi)核變量_stext的值,在搜索到的地址處往前追溯尋找內(nèi)核變量_text的值,搜索到的內(nèi)核變量_text的地址處即為內(nèi)核變量kallsyms_addresses地址;
(4)在內(nèi)存鏡像文件中搜索內(nèi)核變量kallsyms_addresses地址的后十六位,并在搜索到的地址前后尋找函數(shù)標(biāo)志位,將標(biāo)志位之間的內(nèi)容進(jìn)行反編譯,對照函數(shù)定義和調(diào)用關(guān)系,獲取內(nèi)核變量kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table地址;
(5)對步驟(4)和步驟(3)獲取到的內(nèi)核變量kallsyms_addresses的值求差,獲取差值;根據(jù)差值,將內(nèi)核變量kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table的虛擬地址轉(zhuǎn)換為物理地址,進(jìn)一步地恢復(fù)系統(tǒng)的內(nèi)核符號表;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于山東省計算中心(國家超級計算濟(jì)南中心),未經(jīng)山東省計算中心(國家超級計算濟(jì)南中心)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911302279.8/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 一種在https上實現(xiàn)XenServer虛擬機(jī)遠(yuǎn)程控制的方法
- 一種基于UFS的虛擬磁盤分布式存儲方法
- CloudStack接管XenServer虛擬機(jī)的方法
- 基于BS架構(gòu)管理XenServer的管理系統(tǒng)及方法
- 一種對存儲產(chǎn)品進(jìn)行XenServer虛擬化系統(tǒng)認(rèn)證的測試方法
- 一種XenServer存儲設(shè)備的監(jiān)控方法、系統(tǒng)
- 一種XenServer虛擬機(jī)快速更換光盤ISO文件的方法、系統(tǒng)
- 一種統(tǒng)計XenServer池虛擬機(jī)總流量的方法
- 一種在XenServer中實現(xiàn)分布式存儲的方法和裝置
- 一種XenServer系統(tǒng)物理內(nèi)存分析方法及系統(tǒng)
