一种Mac OS系统的物理内存镜像文件分析方法技术方案

本发明专利技术的MacOS系统的物理内存镜像文件分析方法，包括：a.判断系统版本信息，确定指向内核进程地址空间的最高级页表的指针；b.获取内核符号表和字符串表，通过内核映像文件在物理内存镜像文件中的副本找到内核符号表和字符串表，进而获取物理内存镜像文件中包含的系统配置信息、挂载的文件系统信息、进程信息以及驱动信息；c．获取指向系统中各个任务的最高级页表的指针。步骤b通过对物理内存镜像文件中内核映像文件副本的分析，来获取符号表和字符串表。本发明专利技术克服了现有技术内核映像文件获取方式繁琐复杂、地址转换方法不可靠、信息获取不全面的缺点；易于获取进程、驱动、挂载的文件系统等信息，有利于MacOS系统计算机内存取证的研究。

【技术实现步骤摘要】

本专利技术涉及，更具体的说，尤其涉及一种使用内核进程地址空间中指向最高级页表的指针进行内核虚拟地址向物理地址转换再通过该方法获取内核符号表和字符串表信息的Mac OS系统的物理内存镜像文件分析方法。本技术将应用于计算机取证领域，主要用于信息安全事件和各类计算机犯罪案件的调查取证。
技术介绍
a.涉及概念及专业术语 a-Ι.物理内存镜像文件物理内存镜像文件是指把目前正在运行的计算机中物理内存里的信息按照一个比特对应一个比特的方式映射出来所组成的文件，该文件中数据的位置与物理内存中数据的位置是一一对应的。在vmware虚拟机中，可以通过执行snapshot操作来获取物理内存镜像文件，该文件就是执行snapshot操作后所产生的以.vmem为扩展名的文件；在物理计算机中，可以通过软件如dd获取其对应的物理内存镜像文件。a-2.任务Mach的抽象定义，含有虚拟地址空间和端口名字空间。任务本身不做任何操作，而是为线程提供上下文环境。a-3.进程BSD中对运行程序的抽象定义。进程资源包括虚拟地址空间、线程和文件描述符。在 Mac OS X中，进程基于一个Mach任务和一个或多个Mach线程。a本文档来自技高网...

【技术保护点】
１．一种Ｍａｃ　ＯＳ系统的物理内存镜像文件分析方法，其特征在于，包括以下步骤：ａ．　从Ｍａｃ　ＯＳ系统的物理内存镜像文件中，判断系统版本信息，进而确定指向内核进程地址空间的最高级页表的指针，内核进程地址空间的最高级页表用于实现内核虚拟地址向物理地址的转换；ｂ．　获取内核符号表和字符串表，通过内核映像文件在物理内存镜像文件中的副本找到内核符号表和字符串表的虚拟地址，通过分析内核符号表及字符串表可以获得内核变量名及其对应的变量值，内核变量名及其对应的值用于获取物理内存镜像文件中包含的系统配置信息、挂载的文件系统信息、进程信息以及驱动信息；ｃ．获取指向系统中各个任务的最高级页表的指针，此处获得的各个...

【技术特征摘要】
1.一种Mac OS系统的物理内存镜像文件分析方法，其特征在于，包括以下步骤a.从MacOS系统的物理内存镜像文件中，判断系统版本信息，进而确定指向内核进程地址空间的最高级页表的指针，内核进程地址空间的最高级页表用于实现内核虚拟地址向物理地址的转换；b.获取内核符号表和字符串表，通过内核映像文件在物理内存镜像文件中的副本找到内核符号表和字符串表的虚拟地址，通过分析内核符号表及字符串表可以获得内核变量名及其对应的变量值，内核变量名及其对应的值用于获取物理内存镜像文件中包含的系统配置信息、挂载的文件系统信息、进程信息以及驱动信息；c.获取指向系统中各个任务的最高级页表的指针，此处获得的各个任务的最高级页表不仅可以实现内核进程地址空间虚拟地址向物理地址的转换，还可以实现除内核进程之外的其他进程地址空间虚拟地址向物理地址的转换。2.根据权利要求1所述的MacOS系统的物理内存镜像文件分析方法，其特征在于，所述步骤a中，由于操作系统版本信息存放在名为SystemVersion. plist的文件中，因此根据文件特征，查找物理内存镜像文件，从物理内存镜像文件中找到名为SystemVersion. plist 的文件，从中获取系统版本信息；对于版本为Mac OS X 10. 5的操作系统，其指向内核进程地址空间的最高级页表的指针值是0x104800，即内核进程地址空间中的最高级页表位于物理内存镜像文件中的偏移0x104800处；对于版本为Mac OS X 10. 6的操作系统，其指向内核进程地址空间的最高级页表的指针值是0x100000，即内核进程地址空间的最高级页表位于物理内存镜像文件的偏移0x100000处。3.根据权利要求1所述的MacOS系统的物理内存镜像文件分析方法，其特征在于，步骤b中的内核符号表和字符串表的获取，包括以下步骤b-Ι.确定内核映像文件在物理内存镜像文件中的位置，对于版本为Mac OS X 10. 5的操作系统，内核映像文件位于物理内存镜像文件中的偏移0x111000处；对于版本为Mac OS X 10. 6的操作系统，内核映像文件位于物理内存镜像文件中的偏移0x200000处；b-2.寻找内核映像文件的副本在物理内存镜像文件中的位置，内核映像文件与其副本之间的差别在于这两个文件中记录的_LINKEDIT节中名为vmaddr的值不同，因此，通过以下方法寻找内核映像文件的副本在物理内存镜像文件中的位置在物理内存镜像文件中，从内核映像文件在物理内存镜像文件中的位置开始，到字段—LINKEIDT结束，复制这一段内容；然后从内存镜像文件中向下寻找这一段内容再次出现的位置；这一段内容再次出现的位置即是内核映像文件的副本在物理内存镜像文件中的位置；内核映像文件的副本找到后，则进行下一步；b-3.首先，在物理内存镜像文件中，从内核映像文件副本在物理内存镜像文件中...

【专利技术属性】
技术研发人员：顾卫东，徐丽娟，王连海，武鲁，张淑慧，
申请(专利权)人：山东省计算中心，
类型：发明
国别省市：88