一种物联网权限绕过取证方法、终端设备及存储介质技术

本发明专利技术涉及一种物联网权限绕过取证方法、终端设备及存储介质，该方法中包括：S1：获取RootFs镜像；S2：分析并记录RootFs镜像的压缩方式和压缩参数；S3：对RootFs镜像中与系统权限相关的配置文件和/或用户交互程序文件对应的压缩数据块进行解压，并对解压后的数据块的内容进行修改；S4：将修改后的数据块通过记录的压缩方式和压缩参数重新压缩后，与RootFs镜像中未修改的压缩数据块重新组装为RootFs镜像，并将重新组装后的RootFs镜像刷写到芯片镜像中或内存中；S5：重启系统，进入系统的管理员模式进行取证数据下载。本发明专利技术可以绕过物联网设备的账号密码，进入其系统模式进行数据取证。证。证。

【技术实现步骤摘要】
一种物联网权限绕过取证方法、终端设备及存储介质


[0001]本专利技术涉及物联网取证领域，尤其涉及一种物联网权限绕过取证方法、终端设备及存储介质。

技术介绍

[0002]随着5G时代的到来，物联网智能设备的研究又掀起了一个新的浪潮。同时随着物联网设备的生活化，物联网设备上存储着越来越多的用户行为数据，因此对物联网设备的取证分析也越来越重要。随着物联网设备与人的行为痕迹也越来越紧密，相应的物联网安全技术也越来越复杂，针对物联网设备的取证技术要求也越来越高。然而随着物联网设备安全复杂化，物联网设备系统往往会进行账号密码加密、其上存储的数据往往也会进行加密处理。
[0003]目前针对物联网密码权限绕过的取证技术主要是通过系统漏洞、应用漏洞进行底层权限的绕过。这种方式需要依赖于现有的物联网设备漏洞为基础，但是目前物联网嵌入式设备并不像传统的Windows、IOS平台有成熟全面的漏洞基础，需要取证人员通过自身技术去挖掘突破，难度较大，对权限复杂或者用户区加密的物联网设备数据提取分析难度大。

技术实现思路

[0004]为了解决上述问题，本专利技术提出了一种物联网权限绕过取证方法、终端设备及存储介质。
[0005]具体方案如下：
[0006]一种物联网权限绕过取证方法，包括以下步骤：
[0007]S1：获取RootFs镜像；
[0008]S2：分析并记录RootFs镜像的压缩方式和压缩参数；
[0009]S3：对RootFs镜像中与系统权限相关的配置文件和/或用户交互程序文件对应的压缩数据块进行解压，并对解压后的数据块的内容进行修改；
[0010]S4：将修改后的数据块通过记录的压缩方式和压缩参数重新压缩后，与RootFs镜像中未修改的压缩数据块重新组装为RootFs镜像，并将重新组装后的RootFs镜像刷写到芯片镜像中或内存中；
[0011]S5：重启系统，进入系统的管理员模式进行取证数据下载。
[0012]进一步的，RootFs镜像的获取方法为：通过进入系统引导模式，将RootFs镜像通过接口导出，如果无法进入系统引导模式，则通过芯片镜像的方式进行完整镜像并导出RootFs区域。
[0013]进一步的，还包括：将与系统权限相关的配置文件和用户交互程序文件均作为待修改文件，根据RootFs镜像中所有待修改文件对应的压缩数据块构建待修改文件列表，依次对待修改文件列表中各待修改文件对应的压缩数据块通过S3和S4的步骤进行处理后，重启系统，判断是否能够进入系统的管理员模式，如果不能，将该次处理对应的待修改文件从
待修改文件列表中删除后，对待修改文件列表中的下一个待修改文件对应的压缩数据块进行重复操作，直到待修改文件列表为空或者能够进入系统的管理员模式。
[0014]进一步的，步骤S4中修改后的数据块的大小与修改前的数据块的大小相同。
[0015]一种物联网权限绕过取证终端设备，包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本专利技术实施例上述的方法的步骤。
[0016]一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本专利技术实施例上述的方法的步骤。
[0017]本专利技术采用如上技术方案，可以绕过物联网设备的账号密码，进入其系统模式进行数据取证。
附图说明
[0018]图1所示为本专利技术实施例一的流程图。
[0019]图2所示为该实施例中Squashfs文件系统结构示意图。
具体实施方式
[0020]为进一步说明各实施例，本专利技术提供有附图。这些附图为本专利技术揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本专利技术的优点。
[0021]现结合附图和具体实施方式对本专利技术进一步说明。
[0022]实施例一：
[0023]本专利技术实施例提供了一种物联网权限绕过取证方法，如图1所示，所述方法包括以下步骤：
[0024]S1：获取RootFs(根文件系统)镜像。
[0025]该实施例中RootFs镜像的获取方法为：通过进入嵌入式设备的系统引导模式，将RootFs镜像通过接口导出，如果无法进入系统引导模式，则通过芯片镜像的方式进行完整镜像并导出RootFs区域。
[0026]S2：分析并记录RootFs镜像的压缩方式和压缩参数。
[0027]RootFs往往采用常见的压缩型文件系统进行压缩处理，如Squashfs、jffs2等文件系统，因此通过类Linux系统的文件系统命令指定相关参数对RootFs镜像进行挂载分析，并记录RootFs镜像对应的压缩参数。
[0028]S3：对RootFs镜像中与系统权限相关的配置文件和/或用户交互程序文件对应的压缩数据块进行解压，并对解压后的数据块的内容进行修改。
[0029]RootFs是嵌入式设备内核启动时所挂载的第一个文件系统，内核代码映像文件保存在根文件系统中，而系统引导启动程序会在根文件系统挂载之后从中把一些基本的初始化脚本和服务等加载到内存中去运行。只有成功挂载RootFs之后，系统才能正常启动，从而挂载其他的文件系统。RootFs的etc目录下往往存储着与账号密码权限相关的配置文件，bin或sbin目录下存储着SSH、Shell、mount等关键的用户交互程序，root目录为根用户的目录、存放root用户相关的文件，普通用户的目录是/home下的某个子目录，其他还包括dev、
mnt、usr、lib、tmp等目录。通过这些目录下的配置文件及可执行程序，对系统最初的启动做管理及配置，以及挂载其他文件系统。
[0030]由于本实施例需要绕过密码权限进行取证，因此需要对与密码权限相关的文件内容进行修改，在RootFs中对应的文件为etc目录下存储的与账号密码权限相关的配置文件和bin或sbin目录下存储的SSH、Shell、mount等关键的用户交互程序。
[0031]S4：将修改后的数据块通过记录的压缩方式和压缩参数重新压缩后，与RootFs镜像中未修改的压缩数据块重新组装为RootFs镜像，并将重新组装后的RootFs镜像刷写到芯片镜像中或内存中。
[0032]S5：重启系统，进入系统的管理员模式，在用户区解密的状态下获取设备存储的数据，并对设备进行取证分析。
[0033]由于RootFs中绕过密码权限时需要修改的文件种类较多且不固定，有时候可能仅需修改其中的部分文件即可，但有时候需要修改所有的文件，因此为了减少刷写次数、加快处理速度，该实施例中还包括：将与系统权限相关的配置文件和用户交互程序文件均作为待修改文件，根据RootFs镜像中所有待修改文件构建待修改文件列表DFL，依次对待修改文件列表DFL中各待修改文件对应的压缩数据块通过S3和S4的步骤进行处理后，重本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种物联网权限绕过取证方法，其特征在于，包括以下步骤：S1：获取RootFs镜像；S2：分析并记录RootFs镜像的压缩方式和压缩参数；S3：对RootFs镜像中与系统权限相关的配置文件和/或用户交互程序文件对应的压缩数据块进行解压，并对解压后的数据块的内容进行修改；S4：将修改后的数据块通过记录的压缩方式和压缩参数重新压缩后，与RootFs镜像中未修改的压缩数据块重新组装为RootFs镜像，并将重新组装后的RootFs镜像刷写到芯片镜像中或内存中；S5：重启系统，进入系统的管理员模式进行取证数据下载。2.根据权利要求1所述的物联网权限绕过取证方法，其特征在于：RootFs镜像的获取方法为：通过进入系统引导模式，将RootFs镜像通过接口导出，如果无法进入系统引导模式，则通过芯片镜像的方式进行完整镜像并导出RootFs区域。3.根据权利要求1所述的物联网权限绕过取证方法，其特征在于：还包括：将与系统权限相关的配置文件和用户交互程序文件均...

【专利技术属性】
技术研发人员：黄庆发，钟臻，沈长达，黄志炜，连洲红，纪艺能，
申请(专利权)人：厦门市美亚柏科信息股份有限公司，
类型：发明
国别省市：