本申请公开了一种内存取证方法、装置及电子设备,该方法包括:在获取到物联网IOT样本时,通过操作系统内核态执行IOT样本中的中断指令;在检测到中断指令的执行过程符合第一预设规则时,通过预设方式访问IOT样本对应的内存地址空间;读取内存地址空间对应的内存数据,并基于所述内存数据对所述IOT样本进行内存取证。基于以上方法,在检测到IOT样本中的中断指令执行过程符合预设规则时,进一步访问IOT样本对应的内存地址空间,进而读取用于进行内存取证的内存数据,这种内存取证方式不需要模拟执行操作系统的操作指令,并且不需要IOT样本运行结束就可以快速获取IOT样本对应的内存数据,从而提高内存取证的效率与准确性。性。性。
【技术实现步骤摘要】
一种内存取证方法、装置及电子设备
[0001]本申请涉及计算机网络安全
,特别是涉及一种内存取证方法、装置及电子设备。
技术介绍
[0002]随着物联网技术的快速发展,基于Linux操作系统的ELF格式的物联网(Internet of Things,IOT)恶意软件日渐增多,海量的非x86架构的IOT样本需要自动化动态分析排查,且现今恶意软件日趋复杂,高级持续性威胁(Advanced Persistent Threat,APT)攻防的复杂性和隐蔽性越来越强,因此,急需一种内存取证方法,对任意CPU架构构成的IOT样本进行指令级分析,进而实时对恶意软件的恶意行为进行实时检测排查,其中,恶意行为可以控制系统服务器,盗取重要信息,破坏系统稳定性。
[0003]现阶段的内存取证方法主要是通过虚拟处理器qemu对任意CPU架构的IOT样本进行动态分析,其中,qemu有两种运行模式,一种是用户态模拟模式qemu
‑
user,另一种运行模式为全系统模拟模式qemu
‑
system,一般情况下,qemu
‑
user不能直接对CPU内核层进行检测,无法满足CPU指令级分析需求,而qemu
‑
system既可以模拟操作系统用户态运行,也可以模拟操作系统内核态运行,因此,目前主要运用qemu
‑
system对任意CPU架构的IOT样本进行动态分析。
[0004]虽然上述基于qemu
‑
system可以实现对任意CPU架构的IOT样本进行动态分析,但是由于qemu
‑
system需要模拟执行整个操作系统的操作指令以及在操作系统上运行的IOT样本的所有指令,导致在对IOT样本进行内存取证的效率不高,无法满足大量IOT样本的内存取证需求。
技术实现思路
[0005]本申请提供了一种内存取证方法、装置及电子设备,在检测到IOT样本中的中断指令执行过程符合预设规则时,进一步访问IOT样本对应的内存地址空间,进而读取用于进行内存取证的内存数据,这种内存取证方式不需要模拟执行操作系统的操作指令,并且不需要IOT样本运行结束就可以快速获取IOT样本对应的内存数据,从而提高内存取证的效率与准确性。
[0006]第一方面,本申请提供了一种内存取证方法,所述方法包括:
[0007]在获取到物联网IOT样本时,通过操作系统内核态执行所述IOT样本中的中断指令;
[0008]在检测到所述中断指令的执行过程符合第一预设规则时,通过预设方式访问所述IOT样本对应的内存地址空间,其中,所述第一预设规则为恶意样本的运行规则;
[0009]读取所述内存地址空间对应的内存数据,并基于所述内存数据对所述IOT样本进行内存取证。
[0010]通过上述方法,在检测到IOT样本中的中断指令执行过程符合预设规则时,进一步
访问IOT样本对应的内存地址空间,进而读取用于进行内存取证的内存数据,这种内存取证方式不需要模拟执行操作系统的操作指令,并且不需要IOT样本运行结束就可以快速获取IOT样本对应的内存数据,从而提高内存取证的效率与准确性。
[0011]进一步,通过操作系统内核态执行IOT样本中的中断指令,包括:
[0012]基于硬件虚拟化的虚拟化程序启动所述操作系统;
[0013]通过所述操作系统用户态运行所述IOT样本,并检测是否触发所述IOT样本中的中断指令;
[0014]若是,则将所述操作系统用户态调整为内核态,并通过所述操作系统内核态执行所述中断指令;
[0015]若否,则继续以所述操作系统用户态运行所述IOT样本。
[0016]通过上述方法,在执行IOT样本的过程中触发中断指令时,以操作系统用户态执行该中断指令,可以支持后续进一步获取IOT样本运行过程对应的内存数据。
[0017]进一步,在检测到所述中断指令的执行过程符合第一预设规则时,通过预设方式访问所述IOT样本对应的内存地址空间,包括:
[0018]对预设函数增强页表的钩子程序;
[0019]通过所述钩子程序,检测所述中断指令的执行过程是否调用所述预设函数;
[0020]若是,则继续执行所述预设函数,并通过触发预设指令访问所述IOT样本对应的内存地址空间;
[0021]若否,则继续执行所述中断指令。
[0022]通过上述方法,对预设函数设置陷阱,在该陷阱被触发时表明IOT样本可能为恶意样本,然后进一步通过执行预设指令访问IOT样本对应的内存地址空间,便于对该IOT样本进一步作内存取证分析。
[0023]进一步,读取所述内存地址空间对应的内存数据,并基于所述内存数据对所述IOT样本进行内存取证,包括:
[0024]获取所述IOT样本所在的操作系统对应的内存地址空间读写规则;
[0025]根据所述内存地址空间读写规则,读取所述IOT样本对应内存地址空间的内存数据;
[0026]基于所述内存数据分析所述IOT样本的运行过程,对所述IOT样本进行内存取证。
[0027]通过上述方法,读取IOT样本内存地址空间对应的内存数据,并使用该内存数据用以进行内存取证分析。
[0028]在一种可能的设计中,通过操作系统内核态执行所述IOT样本中的中断指令,包括:
[0029]判定所述IOT样本是否为恶意样本;
[0030]若否,则通过操作系统内核态执行所述IOT样本中的中断指令;
[0031]若是,则根据用户态预设模拟器插件启动所述恶意样本,其中,所述用户态预设模拟器插件能够获取当前进程对应的虚拟CPU寄存器值;
[0032]追踪所述恶意样本对应的指令执行过程,并检测当前指令的执行过程是否符合第二预设规则,其中,所述第二预设规则为恶意样本的运行规则;
[0033]在所述当前指令的执行过程符合所述第二预设规则时,根据所述恶意样本运行过
程对应的内存数据对所述恶意样本进行内存取证。
[0034]通过上述方法,在IOT样本为恶意样本时,不需要等待IOT样本的执行过程进入操作系统内核态,便可以基于用户态预设插件对该IOT样本所有指令的执行过程进行分析,可以提高内存取证的效率。
[0035]进一步,所述追踪所述恶意样本对应的指令执行过程,并检测当前指令的执行过程是否符合第二预设规则,包括:
[0036]利用所述用户态预设模拟器插件获取预设指针;
[0037]通过所述预设指针,读取所述恶意样本中的当前指令执行过程对应虚拟CPU的寄存器值;
[0038]根据所述寄存器值,分析得到所述当前指针执行过程对应的内存数据;
[0039]根据所述寄存器值和所述内存数据,判定所述当前指令的执行过程是否符合所述第二预设规则。
[0040]通过上述方法,追踪恶意样本的指令执行过程,并获取恶意样本中的每一个指令的执行过程对应的寄存器值及内存数据,从而本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种内存取证方法,其特征在于,所述方法包括:在获取到物联网IOT样本时,通过操作系统内核态执行所述IOT样本中的中断指令;在检测到所述中断指令的执行过程符合第一预设规则时,通过预设方式访问所述IOT样本对应的内存地址空间,其中,所述第一预设规则为恶意样本的运行规则;读取所述内存地址空间对应的内存数据,并基于所述内存数据对所述IOT样本进行内存取证。2.如权利要求1所述的方法,其特征在于,通过操作系统内核态执行IOT样本中的中断指令,包括:基于硬件虚拟化的虚拟化程序启动所述操作系统;通过所述操作系统用户态运行所述IOT样本,并检测是否触发所述IOT样本中的中断指令;若是,则将所述操作系统用户态调整为内核态,并通过所述操作系统内核态执行所述中断指令;若否,则继续以所述操作系统用户态运行所述IOT样本。3.如权利要求1所述的方法,其特征在于,在检测到所述中断指令的执行过程符合第一预设规则时,通过预设方式访问所述IOT样本对应的内存地址空间,包括:对预设函数增强页表的钩子程序;通过所述钩子程序,检测所述中断指令的执行过程是否调用所述预设函数;若是,则继续执行所述预设函数,并通过触发预设指令访问所述IOT样本对应的内存地址空间;若否,则继续执行所述中断指令。4.如权利要求1所述的方法,其特征在于,读取所述内存地址空间对应的内存数据,并基于所述内存数据对所述IOT样本进行内存取证,包括:获取所述IOT样本所在的操作系统对应的内存地址空间读写规则;根据所述内存地址空间读写规则,读取所述IOT样本对应内存地址空间的内存数据;基于所述内存数据分析所述IOT样本的运行过程,对所述IOT样本进行内存取证。5.如权利要求1所述的方法,其特征在于,通过操作系统内核态执行所述IOT样本中的中断指令,包括:判定所述IOT样本是否为恶意样本;若否,则通过操作系统内核态执行所述IOT样本中的中断指令;若是,则根据用户态预设模拟器插件启动所述恶意样本,其中,所述用户态预设模拟器插件能够获取当前进程对应的虚拟CPU寄存器值;追踪所述恶意样本对应的指令执行过程,并检测当前指令的执行过程是否符合第二预设规则,其中,所述第二预设...
【专利技术属性】
技术研发人员:傅政雄,吴铁军,范敦球,蔡莉,叶晓虎,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。