本发明专利技术提供一种Linux系统的溯源取证方法、系统及介质,涉及信息安全领域,包括:启动被入侵计算机;检测是否有内核级Rootkit;若检测到内核级Rootkit,则进行在线状态取证;解决了上述背景技术中提出的目前大多数服务器都运行着Linux操作系统,发生计算机入侵和网络犯罪行为可能性非常大,但是目前没有一个全面而系统的溯源取证方法的问题。而系统的溯源取证方法的问题。而系统的溯源取证方法的问题。
A method, system and medium of traceability and forensics for Linux system
【技术实现步骤摘要】
一种Linux系统的溯源取证方法、系统及介质
[0001]本专利技术涉及信息安全领域,具体为一种Linux系统的溯源取证方法、系统及介质。
技术介绍
[0002]随着计算机信息技术的发展,人们在整个发展过程中获得了诸多的好处和便利,但是计算机信息系统也面临了越来越纷繁复杂的计算机入侵行为;与一般犯罪证据不同的是,计算机证据具备脆弱性、不可靠型、形式多样性等特点,正式由于计算机犯罪证据的特殊性,使得计算机取证在法律方面和技术方面都遇到了证据合法性、有效性和可靠性等诸多问题,导致很多网络犯罪的案件,因无法提供及时、有效、合法及可靠的计算机证据而影响案件的调查和审判;
[0003]目前大多数服务器都运行着Linux操作系统,发生计算机入侵和网络犯罪行为可能性非常大,但是目前没有一个全面而系统的溯源取证方法。
[0004]Rootkit是一种内核级后门/木马,系统入侵者为了获得系统管理员级root权限,或者为了清楚被系统记录的入侵痕迹,或重新汇编一些软件工具kit,例如:ps、netstat、passwd等,主要是文件、进程、系统记录的银城技术,以及网络分组、键盘键入的拦截窃听技术;当Rootkit被植入入侵主机后,可以帮助攻击者获得远程登录权限并清除或者隐藏攻击者活动痕迹,针对Rootkit类犯罪的取证,可以通过检测Rootkit是否存在,并收集在线活动状态证据来实现。
技术实现思路
[0005](一)解决的技术问题
[0006]针对现有技术的不足,本专利技术提供了一种Linux系统的溯源取证方法、系统及介质,解决了上述
技术介绍
中提出的目前大多数服务器都运行着Linux操作系统,发生计算机入侵和网络犯罪行为可能性非常大,但是目前没有一个全面而系统的溯源取证方法的问题。
[0007](二)技术方案
[0008]为实现以上目的,本专利技术通过以下技术方案予以实现:一种Linux系统的在线状态溯源取证方法,包括:
[0009]启动被入侵计算机;
[0010]检测是否有内核级Rootkit;
[0011]若检测到内核级Rootkit,则进行在线状态取证。
[0012]优选地,所述检测是否有内核级Rootkit,包括:
[0013]判断中断描述符表是否被修改,若是,则进行在线状态取证;
[0014]若否,则判断系统调用地址是否被修改,若是,则进行在线状态取证;
[0015]若否,则判断系统调用表中的各个表项是否被修改,若是,则进行在线状态取证;
[0016]若否,则判断系统调用函数体是否被修改,若是,则进行在线状态取证;
[0017]若否,则停止检测。
[0018]优选地,所述在线状态取证,包括:收集Rootkit执行过的命令、工作路径、进程id号信息。
[0019]优选地,所述判断中断描述符表是否被修改,包括:获取中断描述表起始位置,检测每个中断向量的处理函数;
[0020]将所述检测到的中断向量的处理函数与/boot/System.map文件中已知的表项进行比较,如果中断描述符表中每一个表项都与与/boot/System.map文件中已知的表项相同,则判定中断描述符表未被修改,继续进行系统调用表地址的检查判断;
[0021]如果不相同,则判定中断描述符表已被修改,进入在线状态取证。
[0022]优选地,所述判断系统调用地址是否被修改,若是,则进行在线状态取证,包括:获得系统调用表的地址,将其与/boot/System.map文件中的已知表项进行比较;
[0023]如果相等,则继续检查每一个系统调用函数地址;
[0024]如果不相等,则说明存在劫持响应系统调用中断向量的处理函数的内核Rootkit,判定系统调用表地址已被修改。
[0025]优选地,所述获得系统调用表的地址,将其与/boot/System.map文件中的已知表项进行比较;包括:检查系统调用表中的每一个表项,获得sys_call_table地址后,将系统调用表中的每个表项与相应系统调用函数在/boot/System.map文件中的地址值进行比较,如果都相同,则检测系统调用函数体,只有一个不等,则则说明存在劫持响应系统调用中断向量的处理函数的内核Rootkit,判定系统调用表地址已被修改。
[0026]优选地,所述判断系统调用函数体是否被修改,若是,则进行在线状态取证,包括:检测系统调用函数体的头五个字节是否包含跳转指令,如果有,则说明系统调用函数体被劫持,需进行在线状态取证。
[0027]优选地,还包括用户级Rootkit检测与收集,具体包括:
[0028]扫描文件系统,检测是否有与Rootkit特征文件库匹配的Rootkit,若有,则收集特征文件;
[0029]检测Linux系统提供的应用层二进制可执行文件是否存在特征字符串,若有,则收集可疑的二进制文件;
[0030]扫描登录日志文件,检测是否有用户登录记录被删除情况,若有,则排查登录用户名称,以及登录进程PID和登录记录被删除的时间范围。
[0031]检测、收集隐藏进程;
[0032]检测、收集隐藏端口。
[0033]本专利技术还提供一种Linux系统的在线状态溯源取证系统,包括:存储器和处理器及存储在所述存储器上并可在所述处理器上运行的一种Linux系统的在线状态溯源取证程序,所述一种Linux系统的在线状态溯源取证程序配置为实现如前任一所述的一种Linux系统的在线状态溯源取证程序方法步骤。
[0034]本专利技术还提供一种存储介质,所述存储介质上存储有Linux系统的在线状态溯源取证程序,所述Linux系统的在线状态溯源取证程序被处理器执行时实现如前任一所述的一种Linux系统的在线状态溯源取证方法步骤。
[0035]有益效果
[0036]本专利技术提供了一种Linux系统的在线状态溯源取证方法、系统及介质。具备以下有益效果:
[0037]在检测Rootkit时,必须首先分析内核Rootkit检测,采用本专利技术技术方案可实现从中端处理函数、系统调用表、系统调用函数以及用户级Rootkit逐级逐层进行检测,并实现Linux系统的在线状态溯源取证,检测全面,误报率低。
附图说明
[0038]图1为本专利技术提供的一种Linux系统的在线状态溯源取证方法流程图;
[0039]图2为本专利技术提供的一种Linux系统的在线状态溯源取证系统结构图。
具体实施方式
[0040]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。
[0041]本专利技术实施例提供一种Linux系统的在线状态溯源取证方法,如图1所示,包括:
[0042]S1启动被入侵计算机;
[0043]S2检测是否有内核级Rootkit;
[0044]S3若检测到内核级Rootkit,则进行在线状态取证。
[0045]在一个实施例中本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种Linux系统的在线状态溯源取证方法,其特征在于,包括:启动被入侵计算机;检测是否有内核级Rootkit;若检测到内核级Rootkit,则进行在线状态取证。2.根据权利要求1所述的一种Linux系统的在线状态溯源取证方法,其特征在于:所述检测是否有内核级Rootkit,包括:判断中断描述符表是否被修改,若是,则进行在线状态取证;若否,则判断系统调用地址是否被修改,若是,则进行在线状态取证;若否,则判断系统调用表中的各个表项是否被修改,若是,则进行在线状态取证;若否,则判断系统调用函数体是否被修改,若是,则进行在线状态取证;若否,则停止检测。3.根据权利要求1或2所述的一种Linux系统的在线状态溯源取证方法,其特征在于,所述在线状态取证,包括:收集Rootkit执行过的命令、工作路径、进程id号信息。4.根据权利要求2所述的一种Linux系统的在线状态溯源取证方法,其特征在于,所述判断中断描述符表是否被修改,包括:获取中断描述表起始位置,检测每个中断向量的处理函数;将所述检测到的中断向量的处理函数与/boot/System.map文件中已知的表项进行比较,如果中断描述符表中每一个表项都与与/boot/System.map文件中已知的表项相同,则判定中断描述符表未被修改,继续进行系统调用表地址的检查判断;如果不相同,则判定中断描述符表已被修改,进入在线状态取证。5.根据权利要求2所述的一种Linux系统的在线状态溯源取证方法,其特征在于:所述判断系统调用地址是否被修改,若是,则进行在线状态取证,包括:获得系统调用表的地址,将其与/boot/System.map文件中的已知表项进行比较;如果相等,则继续检查每一个系统调用函数地址;如果不相等,则说明存在劫持响应系统调用中断向量的处理函数的内核Rootkit,判定系统调用表地址已被修改。6.根据权利要求5所述的一种Linux系统的在线状态溯源取证方法,其特征在于:所述获得系统调用表的地址,将其与/boo...
【专利技术属性】
技术研发人员:陈丹,
申请(专利权)人:兰州奥赛斯软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。