专利汇可以提供一种针对大型网络设备隐匿技术的安全取证方法专利检索,专利查询,专利分析的服务。并且本 发明 提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下:1、获取网络设备的底层权限;2、在目标设备的底层系统创建一个 进程 ;3、在该进程中注册异常函数,接管最终异常事件;4、在该进程中注册相关信息的取证函数API-Application Programming Interface,包括:获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取 内核 信息函数、获取磁盘信息函数;5、创建一个管道;6、根据用户输入,确认取证信息的类别;7、执行相应的取证函数,通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法,解决了现有信息取证方法的局限性。,下面是一种针对大型网络设备隐匿技术的安全取证方法专利的具体信息内容。
1.一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:
步骤1:获取网络设备底层系统的超级用户权限即“root”权限;
步骤2:在目标设备的底层系统创建一个进程即“process”;
步骤3:在该进程中注册异常处理函数,接管最终异常事件;
步骤4:在该进程中通过注册信息取证函数,提供应用程序编程接口即“API-Application Programming Interface”,包括:获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数;
步骤5:创建一个管道即“pipe”;
步骤6:根据用户输入,确认取证信息的类别;
步骤7:执行相应的取证函数,通过管道回传到本地;
通过以上步骤,达到了安全获取大型网络设备信息取证的效果,解决了在大型网络设备上信息取证方法的局限性,以及系统管理员审查攻击网络设备的便捷性、效率型诸实际问题。
2.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:
在步骤1中所述的“获取网络设备底层系统的超级用户权限”,是指受到本发明保护的是一种获取网络设备的底层权限即root权限的方法;通过利用设备已公开及未公开的远程代码执行漏洞、设备底层维护接口、设备特定系统引导模式及选项方式,在具备设备管理员权限、物理接触的情况下,远程及本地方式获取设备底层操作系统的完全控制权,访问设备底层操作系统的全部功能和资源;其具体作法是:
1.搜集互联网公开的及自己挖掘的,与目标设备相关的漏洞信息,筛选并测试能够实现对目标设备特定系统版本造成漏洞攻击的利用程序;
2.开发及移植漏洞利用程序,调整利用程序中的关键代码,包括:特定内存地址、特定函数地址、数据包长度和内存偏移,使得漏洞利用程序能够成功在目标设备上执行程序中实现攻击者获取设备最高权限的代码部分即“payload”;
3.开发特定payload,该payload是一段计算机代码,能够实现对目标设备底层系统最高权限的获取,并提供一个操作接口,用于后续取证任务;
4.利用开发的漏洞利用程序,向目标设备的具体服务发送特定数据,不同漏洞利用程序针对的设备服务可能不同;目标设备服务响应特定数据,并造成对服务程序原有逻辑的破坏,进而导致中央处理器即“cpu”执行精心构造的payload代码;
5.设备cpu执行payload之后,会远程通过cpu协议上传取证服务程序,并执行取证服务程序,为后续取证过程做准备。
3.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:
在步骤2中所述的“在目标设备的底层系统创建一个进程”,其创建的具体做法是通过调用系统接口创建进程函数即“fork()”函数,在目标设备的底层系统创建一个进程;其作法详述如下:
进程调用fork()函数,操作系统给进程分配资源,创建进程控制块,内核把进程信息放在任务队列的双向链表中,分配独立的内核堆栈,内核通过进程号即“PID”来标识进程,这些创建好的进程将会为后面的注册函数,创建管道,提供支持。
4.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:
在步骤3中所述的“注册异常处理函数”,是指用于处理进程中发生的异常事件,当异常发生时,会有相应的程序执行异常信息输出到日志里;其具体做法是通过异常初始化函数即“InitException()”函数,注册异常处理接口;其作法详述如下:
当程序在运行期即“Run-time”发生的非正常情况,如内存不足,打开文件失败,范围溢出发生异常时,该函数会通过格式化字符串函数即“snprintf”函数记录异常发生的时间,通过系统获取时间函数即“localtime()”,记录异常发生的位置,记录程序异常产生的原因,并保存到文件里面。
5.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:
在步骤4中所述的“在该进程中通过注册信息取证函数,提供应用程序编程接口即“API-Application Programming Interface”,包括:获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数”;
各获取信息的内容如下:
获取系统文件信息:通过系统静态信息获取函数即“DepthStaticBasicData Forensic()”函数,该信息取证方法是通过静态编译的程序读取网络设备底层系统重要的配置文件、日志文件、数据文件的内容;
获取进程隐藏检测信息:通过系统隐藏进程检测函数即“DepthWatchHideCo urseForensic()”函数,该信息取证方法是通过多种不同的方式分别从:文件检查、信号的发送、进程调度策略、时间片、进程属性诸特点来检测当前网络设备的系统中是否存在隐藏、可疑及恶意的获取设备的敏感信息、用户数据的进程;
获取文件恢复信息:通过已删除文件检测函数恢复函数即“DepthRecoverCo urseDelFileForensic()”函数,该信息取证方法是获取网络设备底层系统特定进程删除文件的恢复,通过读取进程相关的所有文件描述符即“/proc/pid/fd”目录相关文件,来恢复删除的文件信息;
获取进程内存信息:通过进程内存获取函数即“DepthMemeroyCourseForens ic()”函数,该信息取证方法是获取网络设备底层系统运行程序的虚拟内存信息;
获取磁盘信息:通过磁盘信息获取函数即“DepthDiskDataForensic()”函数,该信息取证方法是获取网络设备底层系统磁盘使用、分区信息;
获取内核信息:通过内核信息获取函数即“DepthKernelDataForensic()”函数,该信息取证方法是获取网络设备底层系统内核内存信息、符号表信息、内核挂载模块信息;
各信息获取的作法如下:
在通过系统静态信息获取函数即“DepthStaticBasicDataForensic()”中,执行了获取系统日志的命令即“./busybox tar-cf-/var/log//mnt/disk0/log//mnt/disk0/syslog//mnt/disk0/coredumpfsysimage.bin|cat”,获取了系统普通日志,内核崩溃日志;执行了内核挂载模块命令即“./busybox lsmod”获取了内核挂载模块信息;执行了进程列表命令即“./busybox ps–ef”获取进程列表信息;通过获取系统文件列表及属性函数即“LoopLSL”函数获取系统文件列表及属性;通过系统调整进程调度算法函数即“sched_get_priority_max(SCHED_FIFO)”函数调整取证进程调度算法和优先级之后,通过循环获取系统md5列表函数即“LoopMd5sum”函数获取系统文件md5列表;
在通过系统隐藏进程检测函数即“DepthWatchHideCourseForensic()”中,通过循环遍历每个进程的进程号,通过进程信息函数即“PrintInfo()”函数,调用进程目录函数即“ProcProcDir()”函数,进程文件描述符函数即“ProProcFdDir()”函数,进程网络函数即“ProProcNetDir”函数,来判断进程是否被隐藏;
在通过已删除文件检测函数恢复函数即“DepthRecoverCourseDelFileForensic()”函数中,通过循环打开每个进程的文件描述符,通过文件删除字符信息函数即“FindDeleteStr()”函数,删除文件状态信息即“PrintDeleteFileInfo()”,来判断是否是已删除文件;通过已删除文件恢复函数即“RecoverFileData()”函数,来恢复已删除文件;
在通过进程内存获取函数即“DepthMemeroyCourseForensic()”函数中,通过创建进程状态数据函数即“NewStatusData()”函数创建进程状态数据;通过获取进程状态数据即“GetCoureseStatusData”函数获取进程状态数据;通过进程拦截函数即
“MemeroyCourseForensic”函数对进程进行拦截;通过进程状态信息即“Memero yCourse”函数获取拦截时的进程状态信息;
在通过磁盘信息获取函数即“DepthDiskDataForensic()”中,通过获取磁盘大小命令即“df–h”;通过获取磁盘分区状态命令即“fdisk-l”来获取网络设备底层系统磁盘使用、分区信息;
在通过内核信息获取函数“即DepthKernelDataForensic()”中,通过系统获取内核挂载模块命令即“lsmod”;通过获取linux系统版本文件即“/proc/version”,查看内核版本;
通过查看内核符号表文件即“/proc/kallsyms”获取内核符号表;通过系统内核日志接口即“klogctl()”函数,获取环形缓冲区信息;通过Elf32_Ehd r结构体获取内核虚拟内存的镜像文件即“/dev/kmem”的可加载内存段即“load”段信息。
6.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:
在步骤5中所述的“创建一个管道即“pipe””,以方便获取到的信息回传到本地;其创建的具体作法如是通过调用系统接口pipe()函数,管道是一种把两个进程之间的标准输入和标准输出连接起来的机制,从而提供一种让多个进程间通信的方法;当进程创建管道时,每次都需要提供两个文件描述符来操作管道;其中一个对管道进行写操作,另一个对管道进行读操作;对管道的读写与一般的输入输出系统接口和输入输出软件/硬件接口的组合即“IO系统”函数一致,使用C语言写数据函数即“write()”函数写入数据,使用C语言读数据函数即“read()”函数读出数据。
7.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:
在步骤6中所述的“根据用户输入,确认取证信息的类别”,用户选择取证信息的索引,包括:系统文件信息、进程隐藏检测信息、文件恢复信息、内存信息、磁盘信息和内核信息;
其具体作法是通过输入任务号交互函数即“TaskDepthForensic()”函数实现,通过用户选择的子任务号即“func_cid”,来执行相对应的取证功能。
8.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法,其特征在于:
在步骤7中所述的“执行相应的取证函数,通过管道回传到本地”,是讲实时的数据回传到本地;其具体作法是获取到的数据通过写数据函数即“wirte()”函数操作,把数据送到管道中;对管道通过读数据函数即“read()”函数操作,从管道中的读取数据出来,保存在本地的磁盘上。
一.技术领域
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
一种实现号码安全和隐私保护的方法 | 2020-05-12 | 471 |
电子式针灸取穴精度评判仪 | 2020-05-11 | 68 |
一种淋浴中跌倒的快速检测方法及系统 | 2020-05-12 | 271 |
基于虚拟现实及多模态信息的孤独症辅助干预系统及方法 | 2020-05-13 | 492 |
联合多种情景模式的自适应定位方法 | 2020-05-08 | 23 |
用于输出关于交通工具的物体的信息的方法、系统和汽车 | 2020-05-08 | 381 |
一种BRCA1/2基因变异的解读方法 | 2020-05-12 | 653 |
基于区块链的智慧小区设备监控系统及密钥管理方法 | 2020-05-12 | 161 |
技能服务招投标系统 | 2020-05-08 | 396 |
一种应用于电力公司的调控智能网络化交互系统 | 2020-05-12 | 291 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。