本發(fā)明屬于電子取證技術(shù)領(lǐng)域，特別涉及一種基于結(jié)構(gòu)鏈逆向的內(nèi)存碎片文件重建方法及系統(tǒng)，掃描并分析內(nèi)存介質(zhì)映像，建立碎片集合到文件碎片子集的映射，獲取文件碎片子集中的碎片元素；基于操作系統(tǒng)結(jié)構(gòu)逆向分析，構(gòu)建文件碎片子集中碎片元素的連接關(guān)系及邏輯位置，重構(gòu)內(nèi)存碎片文件。本發(fā)明利用基于結(jié)構(gòu)鏈逆向的內(nèi)存碎片文件雕刻重建來滿足電子(數(shù)字)犯罪取證實際應(yīng)用，能夠適合于正在運(yùn)行的基于Windows不同版本操作系統(tǒng)的物理內(nèi)存中網(wǎng)絡(luò)入侵行為的數(shù)據(jù)文件的恢復(fù)與分析，具有較強(qiáng)的實用性。

技術(shù)領(lǐng)域

本發(fā)明屬于電子取證技術(shù)領(lǐng)域，特別涉及一種基于結(jié)構(gòu)鏈逆向的內(nèi)存碎片文件重建方法及系統(tǒng)。

背景技術(shù)

隨著信息技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)犯罪事件頻繁發(fā)生，比如電信詐騙、信息勒索以及APT攻擊等。數(shù)字取證調(diào)查已經(jīng)成為制止和威懾網(wǎng)絡(luò)犯罪關(guān)鍵技術(shù)手段之一。磁盤取證是數(shù)字取證領(lǐng)域中一種重要的調(diào)查技術(shù)，對于數(shù)字犯罪調(diào)查具有重要意義。但隨著反取證技術(shù)的發(fā)展，新型“無文件攻擊”等網(wǎng)絡(luò)威脅僅在內(nèi)存中運(yùn)行，不在磁盤上留下任何痕跡信息，具有更強(qiáng)的隱蔽性和復(fù)雜性。此外，磁盤容量的不斷增大，導(dǎo)致磁盤取證具有局限性。內(nèi)存中含有與網(wǎng)絡(luò)攻擊威脅有關(guān)的大量實時證據(jù)和線索，而且內(nèi)存中的網(wǎng)絡(luò)連接、系統(tǒng)加載的模塊以及執(zhí)行的指令等證據(jù)信息和磁盤中的證據(jù)不同，更能說明網(wǎng)絡(luò)攻擊威脅發(fā)生的場景。因此內(nèi)存取證成為當(dāng)前數(shù)字調(diào)查領(lǐng)域重要研究方向。

目前，內(nèi)存取證主要聚焦于基于內(nèi)存映像的進(jìn)程、網(wǎng)絡(luò)連接信息、剪貼板數(shù)據(jù)、命令行歷史、口令等證據(jù)的提取和分析，而針對內(nèi)存映像中數(shù)據(jù)文件雕刻技術(shù)研究較少。在早期內(nèi)存取證實踐工作中，調(diào)查人員利用Mark Russinovich開發(fā)的“strings”工具、WinHex等工具，從內(nèi)存映像中搜索口令、IP地址、Email地址等證據(jù)信息，該方法的前提是必須知道所要查找信息的內(nèi)容。之后，有人討論了基于內(nèi)存映像精確提取證據(jù)的可行性，并設(shè)計了內(nèi)存映像中進(jìn)程對應(yīng)的可執(zhí)行文件的提取方法，通過使用指針來重構(gòu)可執(zhí)行文件，并分析了可執(zhí)行文件由于運(yùn)行時多種變量的變化因素，導(dǎo)致基于內(nèi)存映像提取的可執(zhí)行文件與其在磁盤上相應(yīng)的文件不能完全相同。利用虛擬地址描述符(Virtual Address Descriptor，VAD)樹來定位、解析結(jié)構(gòu)，遍歷進(jìn)程的虛擬內(nèi)存空間，并為取證調(diào)查人員提供內(nèi)存轉(zhuǎn)儲中有用的信息?；赩AD的內(nèi)存數(shù)據(jù)文件提取方法，即通過遍歷VAD樹，定位共享文件，然后查找對象表，進(jìn)而找到文件信息。以上方法在實際使用中具有局限性，即如果進(jìn)程關(guān)閉或者內(nèi)存中進(jìn)程結(jié)構(gòu)信息被覆蓋將不能有效定位VAD信息，從而造成文件信息不能恢復(fù)。另外，基于頁面哈希比較的數(shù)據(jù)文件提取，該方法計算內(nèi)存映像中頁面哈希，并和磁盤中文件對應(yīng)頁的哈希進(jìn)行比較，進(jìn)而提出內(nèi)存映像中文件碎片，要求取證調(diào)查人員必須提前知道磁盤中文件內(nèi)容，而不能直接從內(nèi)存映像中提取。此外，當(dāng)磁盤中文件映射到內(nèi)存頁面時，內(nèi)存中文件數(shù)據(jù)還有可能被修改，導(dǎo)致內(nèi)存頁面哈希值不同于磁盤上對應(yīng)頁面，從而造成內(nèi)存文件提取無效。此外Gao等人研究了實時系統(tǒng)中QQ的取證方法，從中獲取通信列表、QQ賬號、聊天記錄、QQ討論組、顯示名稱，該方法通過逆向分析QQ的內(nèi)存結(jié)構(gòu)來實現(xiàn)，但不具有通用性。另外，內(nèi)存取證框架和內(nèi)存取證分析工具套件能夠從易失性內(nèi)存映像中提取取證痕跡，但更多集中于內(nèi)存映像中進(jìn)程、線程等結(jié)構(gòu)，以及可執(zhí)行文件提取。雖然基于磁盤的文件雕刻算法有很多，但是應(yīng)用實驗結(jié)果表明，生成的文件雕刻結(jié)果幾乎全部是虛假結(jié)果，精確度極低。綜上所述，基于內(nèi)存映像的碎片數(shù)據(jù)文件雕刻算法的通用性問題沒有得到很好的研究，為了從內(nèi)存中提取有效的網(wǎng)絡(luò)犯罪行為相關(guān)的文件數(shù)據(jù)和文件行為，探索物理內(nèi)存中新的文件雕刻機(jī)制具有非常重要的理論意義和現(xiàn)實價值。

發(fā)明內(nèi)容

為此，本發(fā)明提供一種基于結(jié)構(gòu)鏈逆向的內(nèi)存碎片文件重建方法及系統(tǒng)，利用基于結(jié)構(gòu)鏈逆向的內(nèi)存碎片文件雕刻重建來滿足電子(數(shù)字)犯罪取證實際應(yīng)用，能夠適合于正在運(yùn)行的基于Windows不同版本操作系統(tǒng)的物理內(nèi)存中網(wǎng)絡(luò)入侵行為的數(shù)據(jù)文件的恢復(fù)與分析，具有較強(qiáng)的實用性。

按照本發(fā)明所提供的設(shè)計方案，一種基于結(jié)構(gòu)鏈逆向的內(nèi)存碎片文件重建方法，包含如下內(nèi)容：

掃描并分析內(nèi)存介質(zhì)映像，建立碎片集合到文件碎片子集的映射，獲取文件碎片子集中的碎片元素；