一种针对大型网络设备隐匿技术的安全取证方法技术

本发明专利技术提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下：1、获取网络设备的底层权限；2、在目标设备的底层系统创建一个进程；3、在该进程中注册异常函数，接管最终异常事件；4、在该进程中注册相关信息的取证函数API‑Application Programming Interface，包括：获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数；5、创建一个管道；6、根据用户输入，确认取证信息的类别；7、执行相应的取证函数，通过管道回传到本地。本发明专利技术实现了针对大型网络设备Rootkit安全取证方法，解决了现有信息取证方法的局限性。

A security forensics method for concealment technology of large network devices

The present invention provides a secure forensic method for large network equipment concealment technology. The steps are as follows: 1. acquiring the underlying privileges of network equipment; 2. creating a process in the underlying system of target equipment; 3. registering abnormal functions in the process to take over the final abnormal events; 4. registering relevant information in the process. Forensics function API Application Programming Interface, including: access to system log information function, access to relevant file information function, access to process information function, access to network information function, access to kernel information function, access to disk information function; 5, create a pipeline; 6, confirm access according to user input The category of certificate information; 7, execute the corresponding forensics function, and send it back to the local area through the pipeline. The invention realizes a Rootkit security forensics method for large network equipment, and solves the limitation of the existing information forensics method.

【技术实现步骤摘要】
一种针对大型网络设备隐匿技术的安全取证方法一.
本专利技术提供一种针对大型网络设备隐匿技术(即“Rootkit”)的安全取证方法，它是一种针对大型网络设备Rootkit的安全取证方法，它涉及漏洞利用，属于网络安全
二.
技术介绍
据报导，著名黑客组织“TAO”小组拥有一系列针对各国知名的网络设备定制的持久性后门控制程序和功能程序。为了获取某些路由设备的代码，专门对其内网进行了攻击，并基于所获取的代码研究了网络设备的漏洞，针对性的开展了攻击，并获取了大量的敏感数据。2016年8月，“影子经纪人”曝光了“方程式”黑客组织的部分网络攻击武器，其中就包含了针对网络设备的大量攻击代码。从代码的设计和实现复杂度分析，该代码显然不是一般黑客组织能实现的，应该属于国家行为组织的针对网络设备的大规模攻击技术研究。由于网络设备研究的特殊性，我国在网络攻防领域内对网络设备的入侵分析和取证技术研究和敌手比还有明显的差距。首先是研究网络设备入侵分析和取证的技术难度大，其一、网络设备种类繁多，各种设备之间的差异性很大，需要开展有针对性的研究，其工作量非常大。网络设备包括了路由器设备、交换机设备和防火墙UTM等设备，同时又包括主流厂商和某些地区相关的品牌，每个厂商下会形成多个产品的系列和各种不同的版本，其产品的关联度比较低，因此开展研究的难度和工作量都很大。其二、网络设备的一般只提供用户设备的配置管理权限，在出厂时屏蔽了相关的调试接口和系统底层权限，这给入侵分析和取证设置了障碍。入侵分析和取证为了获取完整的取证信息，需要具备底层的权限，因此获取设备底层的权限也具有一定的技术难度。其三、网络设备研究是处在一个黑盒子的状态下进行研究，通常情况下仅可以获得有限的输出信息。入侵分析和取证需要获取设备相对全面的信息，包括文件系统，进程等信息，对设备状态进行分析和比对，这也是研究工作中的一大挑战。三.
技术实现思路
1.专利技术目的鉴于上述问题，本专利技术提供了一种针对大型网络设备Rootkit安全取证方法，目的在于解决了现有在网络设备信息取证方法的局限性,方便系统管理员审查攻击网络设备的方法及手段。2.技术方案本专利技术提供一种针对大型网络设备隐匿技术(即“Rootkit”)的安全取证方法，其步骤如下：步骤1：获取网络设备底层系统的超级用户权限(即“root”权限)；步骤2：在目标设备的底层系统创建一个进程(即“process”)；步骤3：在该进程中注册异常处理函数，接管最终异常事件；步骤4：在该进程中通过注册信息取证函数，提供应用程序编程接口(即“API-ApplicationProgrammingInterface”)，包括：获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数；步骤5：创建一个管道(即“pipe”)；步骤6：根据用户输入，确认取证信息的类别；步骤7：执行相应的取证函数，通过管道回传到本地；通过以上步骤，达到了安全获取大型网络设备信息取证的效果，解决了在大型网络设备上信息取证方法的局限性,以及系统管理员审查攻击网络设备的便捷性、效率型等实际问题。其中，在步骤1中所述的“获取网络设备底层系统的超级用户权限”，是指受到本专利技术保护的是一种获取网络设备的底层权限(即root权限)的方法；通过利用设备已公开或未公开的远程代码执行漏洞、设备底层维护接口、设备特定系统引导模式或选项方式，在具备设备管理员权限、物理接触的情况下，远程或本地方式获取设备底层操作系统的完全控制权，访问设备底层操作系统的全部功能和资源；其具体作法是：1.搜集互联网公开的或自己挖掘的，与目标设备相关的漏洞信息，筛选并测试能够实现对目标设备特定系统版本造成漏洞攻击的利用程序；2.开发或移植漏洞利用程序，调整利用程序中的关键代码，包括：特定内存地址、特定函数地址、数据包长度、内存偏移等，使得漏洞利用程序能够成功在目标设备上执行程序中实现攻击者获取设备最高权限的代码部分(即“payload”)；3.开发特定payload，该payload是一段计算机代码，能够实现对目标设备底层系统最高权限的获取，并提供一个操作接口，用于后续取证任务；4.利用开发的漏洞利用程序，向目标设备的具体服务发送特定数据，不同漏洞利用程序针对的设备服务可能不同。目标设备服务响应特定数据，并造成对服务程序原有逻辑的破坏，进而导致中央处理器(即“cpu”)执行精心构造的payload代码；5.设备cpu执行payload之后，会远程通过cpu协议上传取证服务程序，并执行取证服务程序，为后续取证过程做准备。其中，在步骤2中所述的“在目标设备的底层系统创建一个进程”，其创建的具体做法是通过调用系统接口创建进程函数(即“fork()”)函数，在目标设备的底层系统创建一个进程；其作法详述如下：进程调用fork()函数，操作系统给进程分配资源，创建进程控制块，内核把进程信息放在任务队列的双向链表中，分配独立的内核堆栈，内核通过进程号(即“PID”)来标识进程，这些创建好的进程将会为后面的注册函数，创建管道，提供支持。其中，在步骤3中所述的“注册异常处理函数”，是指用于处理进程中发生的异常事件，当异常发生时，会有相应的程序执行异常信息输出到日志里；其具体做法是通过异常初始化函数(即“InitException()”)函数，注册异常处理接口；其作法详述如下：当程序在运行期(即“Run-time”)发生的非正常情况，如内存不足，打开文件失败，范围溢出等发生异常时，该函数会通过格式化字符串函数(即“snprintf”)函数记录异常发生的时间，通过系统获取时间函数(即“localtime()”)，记录异常发生的位置，记录程序异常产生的原因，并保存到文件里面。其中，在步骤4中所述的“在该进程中通过注册信息取证函数，提供应用程序编程接口(即“API-ApplicationProgrammingInterface”)，包括：获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数”；各获取信息的内容如下：获取系统文件信息：通过系统静态信息获取函数(即“DepthStaticBasicDataForensic()”)函数，该信息取证方法是通过静态编译的程序读取网络设备底层系统重要的配置文件、日志文件、数据文件的内容；获取进程隐藏检测信息：通过系统隐藏进程检测函数(即“DepthWatchHideCourseForensic()”)函数，该信息取证方法是通过多种不同的方式分别从：文件检查、信号的发送、进程调度策略、时间片、进程属性等特点来检测当前网络设备的系统中是否存在隐藏、可疑或恶意的获取设备的敏感信息、用户数据的进程；获取文件恢复信息：通过已删除文件检测函数恢复函数(即“DepthRecoverCourseDelFileForensic()”)函数，该信息取证方法是获取网络设备底层系统特定进程删除文件的恢复，通过读取进程相关的所有文件描述符即(“/proc/pid/fd”)目录相关文件，来恢复删除的文件信息；获取进程内存信息：通过进程内存获取函数(即“DepthMemeroyCourseF本文档来自技高网...

【技术保护点】
1.一种针对大型网络设备隐匿技术的安全取证方法，其特征在于：步骤1：获取网络设备底层系统的超级用户权限即“root”权限；步骤2：在目标设备的底层系统创建一个进程即“process”；步骤3：在该进程中注册异常处理函数，接管最终异常事件；步骤4：在该进程中通过注册信息取证函数，提供应用程序编程接口即“API‑Application Programming Interface”，包括：获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数；步骤5：创建一个管道即“pipe”；步骤6：根据用户输入，确认取证信息的类别；步骤7：执行相应的取证函数，通过管道回传到本地；通过以上步骤，达到了安全获取大型网络设备信息取证的效果，解决了在大型网络设备上信息取证方法的局限性,以及系统管理员审查攻击网络设备的便捷性、效率型诸实际问题。

【技术特征摘要】
1.一种针对大型网络设备隐匿技术的安全取证方法，其特征在于：步骤1：获取网络设备底层系统的超级用户权限即“root”权限；步骤2：在目标设备的底层系统创建一个进程即“process”；步骤3：在该进程中注册异常处理函数，接管最终异常事件；步骤4：在该进程中通过注册信息取证函数，提供应用程序编程接口即“API-ApplicationProgrammingInterface”，包括：获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数；步骤5：创建一个管道即“pipe”；步骤6：根据用户输入，确认取证信息的类别；步骤7：执行相应的取证函数，通过管道回传到本地；通过以上步骤，达到了安全获取大型网络设备信息取证的效果，解决了在大型网络设备上信息取证方法的局限性,以及系统管理员审查攻击网络设备的便捷性、效率型诸实际问题。2.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法，其特征在于：在步骤1中所述的“获取网络设备底层系统的超级用户权限”，是指受到本发明保护的是一种获取网络设备的底层权限即root权限的方法；通过利用设备已公开及未公开的远程代码执行漏洞、设备底层维护接口、设备特定系统引导模式及选项方式，在具备设备管理员权限、物理接触的情况下，远程及本地方式获取设备底层操作系统的完全控制权，访问设备底层操作系统的全部功能和资源；其具体作法是：1.搜集互联网公开的及自己挖掘的，与目标设备相关的漏洞信息，筛选并测试能够实现对目标设备特定系统版本造成漏洞攻击的利用程序；2.开发及移植漏洞利用程序，调整利用程序中的关键代码，包括：特定内存地址、特定函数地址、数据包长度和内存偏移，使得漏洞利用程序能够成功在目标设备上执行程序中实现攻击者获取设备最高权限的代码部分即“payload”；3.开发特定payload，该payload是一段计算机代码，能够实现对目标设备底层系统最高权限的获取，并提供一个操作接口，用于后续取证任务；4.利用开发的漏洞利用程序，向目标设备的具体服务发送特定数据，不同漏洞利用程序针对的设备服务可能不同；目标设备服务响应特定数据，并造成对服务程序原有逻辑的破坏，进而导致中央处理器即“cpu”执行精心构造的payload代码；5.设备cpu执行payload之后，会远程通过cpu协议上传取证服务程序，并执行取证服务程序，为后续取证过程做准备。3.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法，其特征在于：在步骤2中所述的“在目标设备的底层系统创建一个进程”，其创建的具体做法是通过调用系统接口创建进程函数即“fork()”函数，在目标设备的底层系统创建一个进程；其作法详述如下：进程调用fork()函数，操作系统给进程分配资源，创建进程控制块，内核把进程信息放在任务队列的双向链表中，分配独立的内核堆栈，内核通过进程号即“PID”来标识进程，这些创建好的进程将会为后面的注册函数，创建管道，提供支持。4.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法，其特征在于：在步骤3中所述的“注册异常处理函数”，是指用于处理进程中发生的异常事件，当异常发生时，会有相应的程序执行异常信息输出到日志里；其具体做法是通过异常初始化函数即“InitException()”函数，注册异常处理接口；其作法详述如下：当程序在运行期即“Run-time”发生的非正常情况，如内存不足，打开文件失败，范围溢出发生异常时，该函数会通过格式化字符串函数即“snprintf”函数记录异常发生的时间，通过系统获取时间函数即“localtime()”，记录异常发生的位置，记录程序异常产生的原因，并保存到文件里面。5.根据权利要求1所述的一种针对大型网络设备隐匿技术的安全取证方法，其特征在于：在步骤4中所述的“在该进程中通过注册信息取证函数，提供应用程序编程接口即“API-ApplicationProgrammingInterface”，包括：获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数”；各获取信息的内容如下：获取系统文件信息：通过系统静态信息获取函数即“DepthStaticBasicDataForensic()”函数，该信息取证方法是通过静态编译的程序读取网络设备底层系统重要的配置文件、日志文件、数据文件的内容；获取进程隐藏检测信息：通过系统隐藏进程检测函数即“DepthWatchHideCourseForensic()”函数，该信息取证方法是通过多种不同的方式分别从：文件检查、信号的发送、进程调度策略、时间片、进程属性诸特点来检测当前网络设备的系统中是否存在隐藏、可疑及恶意的获取设备的敏感信息、用户数据的进程；获取文件恢复信息：通过已删除文件检测函数恢复函数即“DepthRecoverCourseDelFileForensic()”函数，该信息取证方法是获取网络设备底层系统特定进程删除文件的恢复，通过读取进程相关的所有文件描述符即“/proc/pid/fd”目录相关文件，来恢复删除的文件信息；获取进程内存信息：通过进程内存获取函数即“DepthMemeroyCourseForensic(...

【专利技术属性】
技术研发人员：吕志泉，韩志辉，何永强，吴毓书，张萌，杨亚龙，杨华，李世淙，陈阳，徐剑，饶毓，严寒冰，丁丽，李佳，常霞，狄少嘉，徐原，温森浩，李志辉，姚力，朱芸茜，郭晶，朱天，高胜，胡俊，王小群，张腾，吕利锋，何能强，李挺，王适文，刘婧，肖崇蕙，贾子骁，张帅，马莉雅，雷君，周彧，周昊，高川，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：北京,11