[發明專利]一種Linux系統的溯源取證方法、系統及介質在審
| 申請號: | 202210599811.2 | 申請日: | 2022-05-30 |
| 公開(公告)號: | CN114817911A | 公開(公告)日: | 2022-07-29 |
| 發明(設計)人: | 陳丹 | 申請(專利權)人: | 蘭州奧賽斯軟件有限公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55 |
| 代理公司: | 北京勁創知識產權代理事務所(普通合伙) 11589 | 代理人: | 張鐵蘭 |
| 地址: | 730000 甘肅省蘭州*** | 國省代碼: | 甘肅;62 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 linux 系統 溯源 取證 方法 介質 | ||
1.一種Linux系統的在線狀態溯源取證方法,其特征在于,包括:
啟動被入侵計算機;
檢測是否有內核級Rootkit;
若檢測到內核級Rootkit,則進行在線狀態取證。
2.根據權利要求1所述的一種Linux系統的在線狀態溯源取證方法,其特征在于:所述檢測是否有內核級Rootkit,包括:
判斷中斷描述符表是否被修改,若是,則進行在線狀態取證;
若否,則判斷系統調用地址是否被修改,若是,則進行在線狀態取證;
若否,則判斷系統調用表中的各個表項是否被修改,若是,則進行在線狀態取證;
若否,則判斷系統調用函數體是否被修改,若是,則進行在線狀態取證;
若否,則停止檢測。
3.根據權利要求1或2所述的一種Linux系統的在線狀態溯源取證方法,其特征在于,所述在線狀態取證,包括:收集Rootkit執行過的命令、工作路徑、進程id號信息。
4.根據權利要求2所述的一種Linux系統的在線狀態溯源取證方法,其特征在于,所述判斷中斷描述符表是否被修改,包括:獲取中斷描述表起始位置,檢測每個中斷向量的處理函數;
將所述檢測到的中斷向量的處理函數與/boot/System.map文件中已知的表項進行比較,如果中斷描述符表中每一個表項都與與/boot/System.map文件中已知的表項相同,則判定中斷描述符表未被修改,繼續進行系統調用表地址的檢查判斷;
如果不相同,則判定中斷描述符表已被修改,進入在線狀態取證。
5.根據權利要求2所述的一種Linux系統的在線狀態溯源取證方法,其特征在于:所述判斷系統調用地址是否被修改,若是,則進行在線狀態取證,包括:獲得系統調用表的地址,將其與/boot/System.map文件中的已知表項進行比較;
如果相等,則繼續檢查每一個系統調用函數地址;
如果不相等,則說明存在劫持響應系統調用中斷向量的處理函數的內核Rootkit,判定系統調用表地址已被修改。
6.根據權利要求5所述的一種Linux系統的在線狀態溯源取證方法,其特征在于:所述獲得系統調用表的地址,將其與/boot/System.map文件中的已知表項進行比較;包括:檢查系統調用表中的每一個表項,獲得sys_call_table地址后,將系統調用表中的每個表項與相應系統調用函數在/boot/System.map文件中的地址值進行比較,如果都相同,則檢測系統調用函數體,只有一個不等,則說明存在劫持響應系統調用中斷向量的處理函數的內核Rootkit,判定系統調用表地址已被修改。
7.根據權利要求6所述的一種Linux系統的在線狀態溯源取證方法,其特征在于:所述判斷系統調用函數體是否被修改,若是,則進行在線狀態取證,包括:檢測系統調用函數體的頭五個字節是否包含跳轉指令,如果有,則說明系統調用函數體被劫持,需進行在線狀態取證。
8.根據權利要求1所述的一種Linux系統的在線狀態溯源取證方法,其特征在于,還包括用戶級Rootkit檢測與收集,具體包括:
掃描文件系統,檢測是否有與Rootkit特征文件庫匹配的Rootkit,若有,則收集特征文件;
檢測Linux系統提供的應用層二進制可執行文件是否存在特征字符串,若有,則收集可疑的二進制文件;
掃描登錄日志文件,檢測是否有用戶登錄記錄被刪除情況,若有,則排查登錄用戶名稱,以及登錄進程PID和登錄記錄被刪除的時間范圍。
檢測、收集隱藏進程;
檢測、收集隱藏端口。
9.一種Linux系統的在線狀態溯源取證系統,包括:存儲器和處理器及存儲在所述存儲器上并可在所述處理器上運行的一種Linux系統的在線狀態溯源取證程序,所述一種Linux系統的在線狀態溯源取證程序配置為實現如權利要求1-8任一所述的一種Linux系統的在線狀態溯源取證程序方法步驟。
10.一種存儲介質,其特征在于,所述存儲介質上存儲有Linux系統的在線狀態溯源取證程序,所述Linux系統的在線狀態溯源取證程序被處理器執行時實現如權利要求1-8任一所述的一種Linux系統的在線狀態溯源取證方法步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于蘭州奧賽斯軟件有限公司,未經蘭州奧賽斯軟件有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210599811.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:具有過載保護裝置的高壓預充電阻器
- 下一篇:一種心臟手術創口支撐避讓器
