【技術(shù)實(shí)現(xiàn)步驟摘要】
本申請(qǐng)涉及計(jì)算機(jī),更具體地說(shuō),涉及一種數(shù)字取證方法、裝置及電子設(shè)備和存儲(chǔ)介質(zhì)。
技術(shù)介紹
1、在流量和終端威脅檢測(cè)中,網(wǎng)絡(luò)攻擊者經(jīng)常會(huì)使用各種方式隱藏自身入侵行為,導(dǎo)致難以從災(zāi)難中恢復(fù)并定位攻擊者。數(shù)字取證(digital?forensics)是取證科學(xué)的一個(gè)分支,涵蓋對(duì)所有能夠存儲(chǔ)數(shù)字?jǐn)?shù)據(jù)的設(shè)備的調(diào)查,是對(duì)調(diào)查中發(fā)現(xiàn)的材料的恢復(fù)、調(diào)查、檢查和分析,通常與移動(dòng)設(shè)備和計(jì)算機(jī)犯罪有關(guān)。通過(guò)數(shù)字取證技術(shù)獲取的取證結(jié)果,可以幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)加快網(wǎng)絡(luò)威脅檢測(cè)和解決速度,并防范未來(lái)的網(wǎng)絡(luò)攻擊。
2、在相關(guān)技術(shù)中,只分析內(nèi)存數(shù)據(jù)或者網(wǎng)絡(luò)數(shù)據(jù)包,獲取運(yùn)行進(jìn)程的信息和網(wǎng)絡(luò)通信內(nèi)容,而內(nèi)存數(shù)據(jù)是短暫且易失的,也無(wú)法提現(xiàn)一個(gè)系統(tǒng)的全部狀態(tài),網(wǎng)絡(luò)數(shù)據(jù)包也往往使用加密隱匿,通信內(nèi)容不可見(jiàn),文件系統(tǒng)的未分配區(qū)域中存在大量壓縮數(shù)據(jù),而當(dāng)今常用的大多數(shù)取證工具都遺漏了這些數(shù)據(jù),導(dǎo)致相關(guān)技術(shù)中數(shù)字取證的效果較差。
3、因此,如何提高數(shù)字取證效果是本領(lǐng)域技術(shù)人員需要解決的技術(shù)問(wèn)題。
技術(shù)實(shí)現(xiàn)思路
1、本申請(qǐng)的目的在于提供一種數(shù)字取證方法、裝置及一種電子設(shè)備和一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),提高了數(shù)字取證效果。
2、為實(shí)現(xiàn)上述目的,本申請(qǐng)?zhí)峁┝艘环N數(shù)字取證方法,包括:
3、確定目標(biāo)設(shè)備,獲取所述目標(biāo)設(shè)備的取證對(duì)象;
4、利用bulk_extractor工具從所述取證對(duì)象中讀取數(shù)據(jù),并將讀取到的數(shù)據(jù)存儲(chǔ)至緩沖區(qū)中;
5、從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特征信息,
6、將所述特征文件處理為直方圖文件,分析所述特征文件和所述直方圖文件得到數(shù)字取證結(jié)果。
7、其中,所述取證對(duì)象包括內(nèi)存鏡像、虛擬內(nèi)存文件、虛擬磁盤(pán)文件、圖像中任幾項(xiàng)的組合;
8、所述利用bulk_extractor工具從所述取證對(duì)象中讀取數(shù)據(jù),包括:
9、利用bulk_extractor工具分配多個(gè)線(xiàn)程分別從多個(gè)不同的取證對(duì)象中讀取數(shù)據(jù)。
10、其中,所述利用bulk_extractor工具從所述取證對(duì)象中讀取數(shù)據(jù),包括:
11、利用bulk_extractor工具從所述取證對(duì)象中的壓縮文件和/或加密文件中讀取數(shù)據(jù)。
12、其中,所述緩沖區(qū)為sbufs結(jié)構(gòu)的緩沖區(qū);
13、從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特征信息,將所述特征信息存儲(chǔ)至特征文件中,包括:
14、利用掃描器掃描每個(gè)sbuf中的數(shù)據(jù),將提取到的特征信息存儲(chǔ)至特征文件中。
15、其中,從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特征信息,包括:
16、從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取可執(zhí)行文件信息和惡意軟件下載的json信息;
17、相應(yīng)的,所述分析所述特征文件和所述直方圖文件得到數(shù)字取證結(jié)果,包括:
18、分析所述特征文件和所述直方圖文件得到惡意軟件調(diào)查結(jié)果。
19、其中,從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特征信息,包括:
20、從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取加密密鑰、哈希值和以太網(wǎng)相關(guān)信息;
21、相應(yīng)的,所述分析所述特征文件和所述直方圖文件得到數(shù)字取證結(jié)果,包括:
22、分析所述特征文件和所述直方圖文件得到網(wǎng)絡(luò)調(diào)查結(jié)果。
23、其中,從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特征信息,包括:
24、從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取身份信息;
25、相應(yīng)的,所述分析所述特征文件和所述直方圖文件得到數(shù)字取證結(jié)果,包括:
26、分析所述特征文件和所述直方圖文件得到身份調(diào)查結(jié)果。
27、為實(shí)現(xiàn)上述目的,本申請(qǐng)?zhí)峁┝艘环N數(shù)字取證裝置,包括:
28、獲取模塊,用于確定目標(biāo)設(shè)備,獲取所述目標(biāo)設(shè)備的取證對(duì)象;
29、讀取模塊,用于利用bulk_extractor工具從所述取證對(duì)象中讀取數(shù)據(jù),并將讀取到的數(shù)據(jù)存儲(chǔ)至緩沖區(qū)中;
30、提取模塊,用于從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特征信息,將所述特征信息存儲(chǔ)至特征文件中;
31、分析模塊,用于將所述特征文件處理為直方圖文件,分析所述特征文件和所述直方圖文件得到數(shù)字取證結(jié)果。
32、為實(shí)現(xiàn)上述目的,本申請(qǐng)?zhí)峁┝艘环N電子設(shè)備,包括:
33、存儲(chǔ)器,用于存儲(chǔ)計(jì)算機(jī)程序;
34、處理器,用于執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如上述數(shù)字取證方法的步驟。
35、為實(shí)現(xiàn)上述目的,本申請(qǐng)?zhí)峁┝艘环N計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上述數(shù)字取證方法的步驟。
36、通過(guò)以上方案可知,本申請(qǐng)?zhí)峁┑囊环N數(shù)字取證方法,包括:確定目標(biāo)設(shè)備,獲取所述目標(biāo)設(shè)備的取證對(duì)象;利用bulk_extractor工具從所述取證對(duì)象中讀取數(shù)據(jù),并將讀取到的數(shù)據(jù)存儲(chǔ)至緩沖區(qū)中;從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特征信息,將所述特征信息存儲(chǔ)至特征文件中;將所述特征文件處理為直方圖文件,分析所述特征文件和所述直方圖文件得到數(shù)字取證結(jié)果。
37、本申請(qǐng)?zhí)峁┑臄?shù)字取證方法,利用bulk_extractor工具進(jìn)行數(shù)字取證,bulk_extractor工具可以自動(dòng)檢測(cè)、解壓縮并遞歸地重新處理使用各種算法壓縮的壓縮數(shù)據(jù),并且速度更快,更加徹底;同時(shí)掃描的對(duì)象也不僅限于相關(guān)技術(shù)中使用的內(nèi)存鏡像,bulk_extractor工具可以處理任何數(shù)字媒體,提高了數(shù)字取證效果。本申請(qǐng)還公開(kāi)了一種數(shù)字取證裝置及一種電子設(shè)備和一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),同樣能實(shí)現(xiàn)上述技術(shù)效果。
38、應(yīng)當(dāng)理解的是,以上的一般描述和后文的細(xì)節(jié)描述僅是示例性的,并不能限制本申請(qǐng)。
本文檔來(lái)自技高網(wǎng)...【技術(shù)保護(hù)點(diǎn)】
1.一種數(shù)字取證方法,其特征在于,包括:
2.根據(jù)權(quán)利要求1所述數(shù)字取證方法,其特征在于,所述取證對(duì)象包括內(nèi)存鏡像、虛擬內(nèi)存文件、虛擬磁盤(pán)文件、圖像中任幾項(xiàng)的組合;
3.根據(jù)權(quán)利要求1所述數(shù)字取證方法,其特征在于,所述利用bulk_extractor工具從所述取證對(duì)象中讀取數(shù)據(jù),包括:
4.根據(jù)權(quán)利要求1所述數(shù)字取證方法,其特征在于,所述緩沖區(qū)為SBUFS結(jié)構(gòu)的緩沖區(qū);
5.根據(jù)權(quán)利要求1所述數(shù)字取證方法,其特征在于,從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特征信息,包括:
6.根據(jù)權(quán)利要求1所述數(shù)字取證方法,其特征在于,從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特征信息,包括:
7.根據(jù)權(quán)利要求1所述數(shù)字取證方法,其特征在于,從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特征信息,包括:
8.一種數(shù)字取證裝置,其特征在于,包括:
9.一種電子設(shè)備,其特征在于,包括:
10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其特征在于,所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序,所述計(jì)算機(jī)程序被執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至7任一項(xiàng)所述數(shù)字取證方法的
...【技術(shù)特征摘要】
1.一種數(shù)字取證方法,其特征在于,包括:
2.根據(jù)權(quán)利要求1所述數(shù)字取證方法,其特征在于,所述取證對(duì)象包括內(nèi)存鏡像、虛擬內(nèi)存文件、虛擬磁盤(pán)文件、圖像中任幾項(xiàng)的組合;
3.根據(jù)權(quán)利要求1所述數(shù)字取證方法,其特征在于,所述利用bulk_extractor工具從所述取證對(duì)象中讀取數(shù)據(jù),包括:
4.根據(jù)權(quán)利要求1所述數(shù)字取證方法,其特征在于,所述緩沖區(qū)為sbufs結(jié)構(gòu)的緩沖區(qū);
5.根據(jù)權(quán)利要求1所述數(shù)字取證方法,其特征在于,從所述緩沖區(qū)存儲(chǔ)的數(shù)據(jù)中提取特...
【專(zhuān)利技術(shù)屬性】
技術(shù)研發(fā)人員:黃劍偉,劉華,嚴(yán)超敏,
申請(qǐng)(專(zhuān)利權(quán))人:江蘇安恒網(wǎng)絡(luò)安全有限公司,
類(lèi)型:發(fā)明
國(guó)別省市:
還沒(méi)有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。