计算机取证物理内存镜像获取技术的研究与实现
发布时间:2016-09-20 18:15
本文关键词:计算机取证物理内存镜像获取技术的研究与实现,由笔耕文化传播整理发布。
【山东警察学院论文栏目提醒】:网学会员为需要山东警察学院论文的朋友们搜集整理了计算机取证物理内存镜像获取技术的研究与实现 - 硕士论文相关资料,希望对各位网友有所帮助!
山东轻工业学院 硕士学位论文计算机取证物理内存镜像获取技术的研究与实现 姓名:陈恒 申请学位级别:硕士 专业:计算机应用技术 指导教师:王连海 20090609 山东轻工业学院硕士学位论文 摘 要 随着信息技术的发展,计算机与网络成为社会政治、经济、文化生活的重要组成部分,而与此相关的各种计算机犯罪现象也日益突出。计算机取证技术成为打击计算机犯罪的重要手段,是目前计算机界和法学界共同研究、关注的重点。
本文介绍了计算机取证技术的现状和发展情况,比较了现有的计算机取证模式,分析了离线取证模式的不足,指出了在线取证模式研究的必要性。
物理内存取证是在线取证的重要环节,也是当今的研究热点。
本文旨在研究物理内存取证中的物理内存镜像获取技术。
现有技术是在用户态打开kDeviceWhysicalMemory内核对象来访问物理内存,然而在W’mdows 2003及Vista等版本下,用户态访问此内核对象受到限制,只有通过内核态才能访问。
因此,需要通过驱动程序的方法。
本文开发的基于内核驱动的物理内存镜像获取工具,可以解决DD等当前取证工具在W’mdows高端版本下使用受限的问题。
研究物理内存,首先要了解Windows操作系统内存管理机制。
Windows操作系统采用请求分页的虚拟存储管理技术,通过在虚拟地址空间的页与物理地址空间的页之间建立映射,实现虚拟地址到物理地址的变换。
地址变换过程由内存管理单元(删)自动完成,但是对取证过程中的数据比对分析,需要手工完成地址变换过程。
以往的研究对地址变换的描述都是基于X86体系模型,与当前大量使用的采用物理地址扩展(PAE)模式的XP系统并不完全吻合。
本文结合WindowsXP SP2版本提出地址变换公式。
同时,由于一直以来大量的相关文献都依赖微软所颁布的技术资料,仅以虚拟地址空间的观点来解释虚拟地址转换的过程,无法解释任意进程的虚拟地址,如何映射到物理地址空间中。
本文使用进程和物理内存的观点来研究地址变换,清晰的说明了任意进程的虚拟地址空间如何在物理地址空间中定位。
本文结合Windows系统结构,阐述了内核驱动程序访问物理内存的基本原理,依照驱动程序基本框架,开发了内核驱动程序和用户态调用程序,来获取物理内存镜像,并提供了程序的核心代码。
然后,对实验结果进行了分析评价。
虚拟内存文件镜像的获取,也是物理内存镜像获取的重要方面。
目前还没有相关的软件。
由于Ⅻ下pagefile.sys是隐藏文件,需要在磁盘上准确定位该文件。
本文详细阐述了磁盘的文件系统原理,分别针对NTFS和FAT32两种文件系统,设计出获取该文件的实现方法。
关键词:计算机取证;物理内存镜像;内核驱动:文件系统:虚拟内存 山东轻工业学院硕士学位论文 AB STRACT With the development of information technology,computer and network a托playing a more and more important role in social,political,economy and culturalareas,computer crimes in di.gital world a他becoming serious issues consequently.Computer forensics is an essential approach to charging computer crimes and hasbecome the common concern of study in the computer science and law field. The thesis introduces the current state and its development on computer forensics.It compares the current computer forensics mode,analyses the deficiency of theoffline mode and indicates the necessity of researching online mode.Physicalmemory forensics is the important part of the online forensics and also the currentresearch hotspot.11舱thesis aims at researching the acquisition of physical memoryimage in physical memory forensics.The current methods visit physical memory byopening PhysicaIMemory kernel object in usermode.However,it is prohibited to啊sitkernel objoct in usermode under Windows 2003,Vista,and SO on.It Can be visitedonly by kernel drivers.So,it is necessary to develop drivers.The tools for obtainingphysical memory image based on kernel driver developed in this thesis Can resolve theunavailability of the current forensic tools as DD under Windows higher edition. To research physical memory,learning about the Windows memory managementmechanism is necessary at first.Windows operating system using paged virtualmemory management technology.The translation from virtual address to physicaladdress is realized by establishing page mapping from virtual address apace tophysical address apace.The translation iS implemented by眦,.However,translating manually is needed for comparing and analyzing the experimental data.The past description of address translation based on x86 system mode.It iS differentfrom the popular XP system with PAE.The thesis offers address translation formulawith Windows XP SP2 edition.Meanwhile,since plenty of relative documents relyingon the technical data issued by Microsoft for several years,it iS hard to explain howthe virtual address of any process mapping to physical address space just by the viewof virtual address space.The address translation is researched by the view of processand physical memory in this thesis.It is clearly shown that how to localize the virtualaddress space of any process in the physical address space. WiⅡl Windows system structure,Ttlc thesis indicates the basic principle ofvisiting physical memory by kernel drivers.Based on the developing flame for drivers,kernel drivers and user program for acquiring physical memory image are developedto obtain physical memory image and the nuclear codes are offered.Then,theexperiment results are analyzed. The acquisition of virtual memory file image is also important part of acquisitionof physical memory image.Currently,there is no relative software.Because thepagefile.sys under XP is concealed file,it is necessary to locate this file on disk.Diskfile system is expatiated in detail and modules using different methods for NTFS andFAT32 file system are designed.Key Words:computer forensics;physical memory image;kernel drivers;file system; virtue memory Ⅱ 学位论文独创性声明 本人声明,所呈交的学位论文系在导师指导下本人独立完成的研究成果。
文中引用他人的成果,均已做出明确标注或得到许可。
论文内容未包含法律意义上已属于他人的任何形式的研究成果,也不包含本人已用于其他学位申请的论文或成果,与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。
论文作者签名:二盛!丝 日期:兰!12年_J厶月二王日 学位论文知识产权权属声明 本人在导师指导下所完成的论文及相关的职务作品,知识产权归属山东轻工业学院。
山东轻工业学院享有以任何方式发表、复制、公开阅览、借阅以及申请专利等权利,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,本人离校后发表或使用学位论文或与该论文直接相关的学术论文或成果时,署名单位仍然为山东轻工业学院。
论文作者签名:二醢丝 日期:丝盟年上月丑日导师签名:篮堕 日期:一.盟年J£月2≠日 山东轻工业学院硕士学位论文 第l章绪论1.1研究背景 当今,人类社会已经步入信息化时代。
计算机技术的迅速发展,以及网络的广泛使用,使计算机成为国家的重要基础设施和社会生活不可或缺的组成部分。
行政司法、经济金融、医疗卫生、国防军工、能源通信、教育就业以及娱乐休闲等各个领域,都依赖计算机的数据计算和网络提供的信息传播,其与信息技术的关系日益密切。
然而,计算机技术的发展,如同其它科学技术一样,在极大提高了社会生产力、给人们带来诸多便利的同时,计算机犯罪也已严重地渗透到社会生活的各个层面。
自上世纪六十年代计算机犯罪出现以来,受其侵害的领域越来越广泛,其危害程度也越来越深远。
从最早的修改计算机信息、利用计算机病毒破坏计算机系统软硬件设备等侵害计算机系统安全的行为,发展到利用木马进行金融盗窃、银行诈骗、窃取个人隐私,甚至直接利用互联网进行色情传播、煽动民族分裂、散步反动言论等损害个人利益和危害国家安全的程度。
美国因计算机犯罪造成的年损失达几十亿、甚至上百亿美元,英、德的年损失也达几十亿美元。
我国从1986年开始出现计算机犯罪,九十年代间案件就以每年30%的速度递增,近些年更是呈在各行业中滋生蔓延的趋势¨’川。
计算机犯罪就是与时代共同发展的高技术犯罪,已成为世界各国共同面临的重大社会问题。
司法的滞后性是计算机犯罪‘m 38·豫朔日益猖獗的一个重要原因。
为了维护社会稳定和谐,保障人们的财产和隐私安全,促进信息技术的良好发展,打击计算机犯罪,提高司法机关的对抗能力,具有重要的现实意义。
其中的关键技术之一就是计算机取证技术‘4&捌。
1.2国内外相关研究评述1.2.1国外研究现状 在国外,如美国等科技比较发达的国家,打击计算机犯罪已经有了二十多年的历史。
自1984年开始,美国FBI实验室就开始着手研究计算机取证,随后,FBI成立了计算机分析响应组(CART)〔21,专门进行计算机证据的分析。
很快,其它国家也纷纷效仿其功能和组织结构,建立起相应执法机构。
由此,计算机取 第1章绪论证的研究逐步兴起。
进入九十年代,计算机取证的研究进一步发展。
美国联邦犯罪调查实验室的专家们创立了“数字取证科学工作组(SWGDE)一,提出了“计算机潜在证据(1atentevidence on a computer)”的概念。
1991年,计算机专家国际联盟(InternationalAssociation of Computer Specialists.IACIS)在美国俄勒冈州波特兰市举行的第一次培训会中正式提出了计算机取证(Computer Forensics)的概念u1。
随后,新的概念、定义、标准、工作组、研究团队不断出现,美国司法机关也已经建立起自己的计算机取证实验室。
计算机取证的理论、方法、技术已经基本确立。
随着司法工作的进一步开展,对实用的计算机取证工具的需求越来越强烈。
于是,市场上涌现了适用于各种用途的取证工具。
比较著名的有以下几种产品,如美国GUIDANCE软件公司开发的Encase,可在Windows、Linux和MACOS等多种平台上运行,能够将J下在运行的系统的全部运行环境及数据提取出来,生成一个镜像文件,再对该文件进行分析,以发现犯罪证据【51;美国计算机取证公司开发的DIBS,使用独特的数据镜像查证和鉴定技术对数据进行镜像,确保数据的绝对安全性和完整性;由英国Vogon公司开发基于PC、Ma和Unix等系统的数据收集和分析系统Flight Server,它可以将计算机犯罪现场中的计算机磁盘逐个扇区(包括坏扇区)进行拷贝、复制,并生成一个物理镜像文件,然后对该镜像文件进行分析,从而帮助办案人员发现证据【4l。
然而,在此后一段时间罩,由于计算机取证工具的利益驱动,使大量的研究开发工作转向技术开发,取证理论的研究相对滞后。
这样,就不能适应日益提高的计算机犯罪水平,导致了开发的产品有效性降低。
于是.许多专家开始对取证中的基本问题,如取证程序和取证标准等,进行研究,提出了许多抽象的计算机取证模型,由美国空军研究院、美国信息战督导/防御局共同资助的计算机取证组织一一数字取证研究组(Digital Forensics Research Workshop,DFRW)提出的初步的计算机取证科学基本框架,是一个比较合理的过程模型,使科技界可以对数字取证基本理论和基本方法进一步的发展和完善【3l。
纵观计算机取证的历史可以发现,它随着计算机犯罪水平的提高而不断发展,凝聚了大量科研人员的智慧。
其发展过程经历了从理论到实践,再回归到理论的过程。
2000年以后,虽然取证基础理论日趋完备,然而面对层出不穷的新问题,取证理论也在不断面临着新挑战。
1.2.2国内研究现状 在国内,计算机取证工作的研究起步较晚,始于上世纪九十年代,开始主要针对反黑客和系统入侵以及在司法实践中涉及到的电子邮件、程序代码等比较简 2 山东轻工业学院硕士学位论文单且容易获取的电子证据。
同时,由于人们在计算机犯罪案件诉讼上的意识还相对薄弱,相关的法律法规还不够完善。
进入2000年后,国家相关部门高度重视计算机取证工作,在863课题、十一五重点项目中,都对计算机取证进行立项研究,国内高校和科研机构也分别承担了相应课题进行攻关。
研发并投入使用的产品有诸如中科院高能物理所计算中心研制的“取证机一,可以侦探黑客的入侵手段,并提交为法庭所采信的分析报告;厦门美雅博科技有限公司主持开发的计算机证据侦察箱。
具有证据的提取、破解、分析和恢复等功能。
关于计算机取证的会议也定期召开。
如2004年11月在北京人民警察学院召开了首届全国计算机取证技术研讨会。
2005年6月,在北京市物证技术学会、中国电子学会计算机取证专家委员会的全力支持下,两学会以玎CFAT 2005中国计算机取证技术峰会一为标识成功举办了首届峰会。
2006年6月,由中国电子学会计算机取证专家委员会、中国防卫科技学院、北京市物证技术学会共同发起并成功主办了CCFC中国计算机取证技术峰会(2006年会)141。
这标志着我国的计算机取证研究进入了一个全新的阶段。
总体说来,国内对于计算机取证的研究尚属起步阶段,在某些领域还是空白,理论也不够成熟,技术大多来自于国外,不能很好的满足国内打击计算机犯罪的需求。
因此,必须自主开发适合我国国情的计算机取证工具,使日益增加的计算机犯罪得到遏制,才能保护人们的合法权益不受侵害【6】。
国内开展计算机取证的研究工作具有很大的意义。
3 第2章计算机取证概述 第2章计算机取证概述2.I计算机取证的相关概念 关于计算机取证的概念,国内外学者专家给出了很丰富的定义和说法。
现列举一些有代表性的概念: 取证专家Reith Clint Mark认为:计算机取证(Computer Forensics)可以认为是“从计算机中收集和发现证据的技术和工具”。
计算机取证的资深人士JuddRobbins先生对此给出了如下定义:计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。
计算机紧急事件响应组和取证咨询公司New TcchnologiCS将其扩展为:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。
孙波在其博士论文u1中总结为:计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,使用科学原则及方法在犯罪侦察过程中,按照符合法律规范的方式,进行发现、识别、保存、重构、分析和提交计算机证据的过程。
归纳起来,作者认为:计算机取证是利用硬件或软件等计算机技术或工具,,按照合法程序,对计算机犯罪证据进行保护、提取、分析和解释的过程。
2.2取证类型 计算机取证工作包括证据获取和证据分析两个方面【2锄】。
本文只对证据获取技术进行研究。
需要获取的证据以电子数据【20.41】的形式存在,包括以下内容,如图2.I所示: 图2.1取证内容 4 山东轻工业学院硕士学位论文 其中,主要包括两大部分内容,一是对磁盘相关数据的取证,称为离线取证模式f21-22l;一是对物理内存数据的取证,称为在线取证模式【28】。
2.2.1离线取证 离线取证模式是指对目标计算机系统运用各种技术手段对磁盘或其它存储介质的数据进行提取、分析【232.4·251,在取证研究的早期阶段,也就是上世纪九十年代中后期广泛采用,比如著名的Encase产品。
虽然磁盘取证提供了文件系统数据,但其有许多不足: 首先,镜像磁盘的时间随着磁盘容量的增大同比增长,造成的结果是当时间成为取证中需要考虑的重要因素的时候,镜像大规模磁盘难以实施:第二,磁盘镜像要求挂起系统,如果对于需要保障连续运行的系统,被中断的代价是昂贵的。
‘71而且,很多的易失数据像当前运行的和已经终止的进程信息,打开的TCP^DP端口,活动连接,内存映射文件,诸如网页地址、密码、正在编辑的文件嘲等缓存信息将会丢失。
这些信息驻留在RAM中,磁盘取证不可能访问到它们。
更重要的是,随着犯罪手段的提高,木马和病毒相关技术大肆泛滥,内核级别的病毒越来越多。
这些内核级别的病毒或木马有可能为运行于用户态的取证工具提供虚假信息。
如基于rootldts的LKM,仅仅被加载到内存中,并不修改任何磁盘中的文件和目录信息。
Code Red蠕虫也是如此,这个恶意程序代码并不是以文件形式存储,而是插入内存运行四1。
于是设法读取物理内存中的信息并进行分析成为需要解决的关键问题。
由于内存中的数据会随着系统的掉电而丢失,因此这就需要在线取证,也称动态活数据取证。
2.2.2在线取证 从2005年起,人们开始关注物理内存的获取和分析。
2005年夏,Di百taJForensic Research Workshop(DFRWS)发布了一份名为“memory analysischallenge”的有奖竞赛文件1101)引起了对物理内存镜像这一领域的讨论、研究及相关工具的开发。
这份文件提供了两个Windows 2000的物理内存镜像样本,然后向研究者提出了一系列关于恶意软件和非法活动的问题。
如“该系统中隐藏的进程是什么,它们是怎么被隐藏的?”“从物理内存镜像中还可以获取哪些关于入侵的证据?”E10〕等等。
Chris Betz和George Garner以及Robert.Jan Mora给出了详细的解答,并最终获得优胜。
Betz在研究报告中称,他认识到简单的在内存镜像文件中搜索字符串和其它标识符不但非常耗时,而且对提高我们的分析能力作用很小。
与其花费大量时间研究镜像文件本身,还不如考虑是否可以开发一种更加智能的工具来分析此镜像文件。
使用kd(kernel debugger)和livekd-I-具,他调试了Windows 2000 SP4的内核。
使用所调试和分析的同一台目标机的物理内存的结果,他开发了一个程序来分析Windows 2000物理内存镜像,确定关键的内核 第2章计算机取证概述结构。
他开发的这个工具可以用来帮助分析Windows 2000物理内存镜像。
使用这个工具和一个十六进制编辑器,他对所给的样本进行了分析n¨。
Betz的贡献在于开发了重建进程链并提取进程信息的工具n¨。
Betz所开发的工具memparser.1.0于次年发布。
George Garner以及Robert.Jan Mora在报告中称,他们使用kntlist工具,从活动进程链PsActiveProcessLisfl顸序对比所给的镜像样本和从一台状态良好并且和所给镜像同版本的机器上获取的镜像样本的进程信息,然后生成对比结果的日志文件‘1”。
他们的贡献在于开发了kntlistT具,保存完整性检查和审计记录,解释了内存中的重要内核结构n∞。
这份文件被公认为开辟了物理内存分析的新纪元,随后,此项研究逐渐发展。
Andreas Schuster在他的博客上开始用英文发布部分研究成果,也公布了各种Windows版本的EPROCESS和ETHREAD结构,包括2000和XP的。
MariuszBurdach对内存分析做出了一系列重要贡献,在BlackHat Federal 2006年会上,他做T Finding Digital Evidence in Physical Memory 181的报告,指出了反数据取证的方法,普通的如数据隐藏、数据破坏,高级的rootldts如RJlr和Shadow Walker可以欺骗取证工具。
总结了硬件和软件取证方法各自的有点和不足,阐述了Linux和Windows重要的内核结构,提出了通过分析进程重要结构,从物理内存中恢复文件内容以及检测隐藏对象等技术。
他的论文Dig眦forensics of the physicalmemorytl3】,提供了分析物理内存镜像的方法,即从内存中提取有用的信息,如:正在执行的和已经终止的进程的详细信息,然后分析重要的进程结构。
另外,文中提供的技术还可以分析用户态的隐藏进程,如用function hooking和DKOM方法隐藏的进程。
这篇论文被认为是内存分析技术在正确方向上迈出的重要一步。
然而,他的分析是结合Lunix系统做出的,虽然提到了同样适合WiIIdows系统,但并没有对此做具体分析。
2.3取证工具 正如其它科学一样,计算机取证利用特殊的工具来获取研究对象的有意义的信息。
有两种获取物理内存镜像的方法:基于硬件的和基于软件的方法。
2.3.1基于软件的获取工具 获取物理内存镜像的常用方法是使用专用的软件工具包。
软件运行后加载到内存,进行数据获取。
· (1)DD DD是一个广泛使用的获取物理内存镜像的工具,它是一个LINUX下的工具程序,通过}Device}Physical Memoryobject访问物理内存,Windows版本的DDflqGarner“41所开发。
DD依赖内核镜像功能,创建出特定的镜像结构,因此,输出文件对于许多工具,例如Windows kernel debugger,是可读的。
其优点 6 山东轻工业学院硕士学位论文是:运行程序不需要重启系统,也没有对服务的任何损坏。
不足在于:镜像文件与RAM相同大小,物理内存对象在W’mdows Server 2003 SPl下不可访问171e (2)Windows dump由于系统的不稳定性而产生。
当 crash dump uatity crashcrash dump产生的时候,系统状态被冻结,物理内存和交换区的内容被拷贝到磁盘。
crash dump文件包括RAM的内容和额外的调试信息。
输出文件是DMP格式,只适用于微软的调试工具。
其优点是:通过crash dump获取的文件是RAM的原封不动的拷贝。
不足在于:这个格式是用来满足调试目的而不是取证目的。
而且,只有迷你镜像版本是可用的,完整的镜像不可用171。
基于软件方案的主要不足是破坏了计算机取证证据收集过程的主要要求,即:任何一个用户态或者内核态的数据获取工具都会改变目标系统的状态。
当运行我们加载到内存的取证工具时,它就会创建至少一个进程,有可能覆盖证据。
也就是说,通过创建新进程,操作系统的内存管理系统在内存中分配空间,可能覆盖内存中或者交换区中的原有数据。
2.3.2基于硬件的获取工具 ’ 在一种理想的状态下,我们可以避开操作系统,而将全部物理内存的数据镜像到另外的存储设备中。
可以挂起CPU而通过DMA方式传递数据。
这需要使用专用的硬件打开通信端口来复制物理内存的内容。
有两种主要的实现技术: (1)Tribblc这个方案使用专用的PCI卡,PCI卡需要在事件发生前预先安装。
这样,系统的状态在搜寻数字证据时是保存完好的。
其优点是:使用简单,对系统没有影响。
不足在于:预先安装是最主要的.
下载
我要获得 会员登录
本文关键词:计算机取证物理内存镜像获取技术的研究与实现,由笔耕文化传播整理发布。
本文编号:118897
本文链接:https://www.wllwen.com/kejilunwen/jisuanjikexuelunwen/118897.html
