[实用新型]移动终端恶意代码取证和处置系统

说明书

技术领域

本实用新型涉及信息安全技术领域，特别涉及一种移动终端恶意代码的取证和处置系统。

背景技术

随着通信技术的高速发展，移动终端具有的数据处理能力、数据存储能力和网络通信能力都逐渐增强。移动终端的功能日趋复杂化、智能化和联网化。同时，移动终端设备上往往都存储这大量的个人重要数据信息，例如通话记录、通讯录和重要的账号数据等。

移动终端恶意代码可以通过彩信、蓝牙、移动终端系统漏洞和恶意代码捆绑等方式植入移动终端，进而对移动终端的正常运行、个人隐私数据安全等造成极大的破坏力。

由于移动终端具备极强的可移动性和硬件和操作系统封闭性，在发生突发的移动终端安全事件时，现有的恶意代码取证技术和系统难以适用于移动终端恶意代码取证检查的需求，同时也也难以在第一时间形成有效的专杀处置程序用于一定范围的快速检查和处置防范。

实用新型内容

本实用新型提供了一种移动终端恶意代码取证和处置系统，解决了难以对移动终端进行恶意代码取证检查并形成快速有效的处置程序的问题。

一种移动终端恶意代码取证和处置系统，包括：接口适配部件、取证部件和处置部件；

所述的取证部件和处置部件连接；

所述的取证部件和处置部件分别与接口适配部件连接。

所述的系统中，所述的接口适配部件包括：移动终端设备电路出点探针和USB数据线接口。

所述的系统中，所述的取证部件中还包括：收集器、选择器、发送器和接收器；

所述的选择器中还包括至少一个恶意代码取证探头；

收集器将收集到的移动终端设备信息发送给选择器，选择器根据移动终端设备信息选择恶意代码取证探头，发送器将选择器选择的恶意代码取证探头发送到移动终端设备，接收器接收恶意代码取证探头反馈的取证结果。

所述的系统中，所述的处置部件包括：收集器、选择器、生成器、发送器；

所述的选择器中还包括至少一个恶意代码处置探头；

收集器将收集到的移动终端设备信息发送给选择器，选择器根据移动终端设备信息选择恶意代码处置探头，生成器将取证得到的取证结果注入恶意代码处置探头，发送器将生成器生成的恶意代码处置探头发送到移动终端设备。

本实用新型所提供的系统通过根据获得的移动终端设备信息确定恶意代码取证探头和处置探头，将恶意代码取证探头和处置探头发送到移动终端设备，实现对移动终端设备恶意代码取证和处置。

本实用新型所提供的系统首先通过取证部件对移动终端设备中的系统基本信息数据、系统模块和应用程序数据、系统程序行为数据、系统异常行为数据和系统内存数据映像进行取证得到取证数据，然后处置部件对取证信息进行特征分析，生成恶意代码处置探头，发送回移动终端设备，进行相应的处置。同时所生成的恶意代码处置探头可用于向其它同类型的移动终端进行投放，进行恶意代码的处置。

以下分别对本实用新型所提供的系统中的接口适配部件、取证部件和处置部件的工作流程进行分析。

接口适配部件的工作流程为：移动终端设备电路触电探针检测移动终端设备电路板上的数据触点是否可用，若可用，则获取移动终端设备系统二进制映像，并发送移动终端设备加电启动信号，启动移动终端设备操作系统，否则直接启

当所述的系统连接移动终端设备后，取证部件工作流程为：

收集器获取移动终端设备型号和操作系统版本信息；选择器根据所述移动终端设备型号和操作系统版本信息确定恶意代码取证探头；发送器将所述恶意代码取证探头发送到移动终端设备；接收器接收并存储恶意代码取证探头反馈的取证数据。

恶意代码取证探头进入移动终端设备后，通过移动终端设备加载并运行，实现移动终端设备操作系统中目标文件的取证，所述的恶意代码取证探头的取证过程为：

判断是否具有所要获取的操作系统中目标数据，如系统基本信息数据、系统模块和应用程序数据、系统程序行为数据、系统异常行为数据和系统内存数据映像的访问权限，如果有，则进行数据取证；否则提升恶意代码取证探头的权限，使自身具备对目标数据的的访问权限后，再进行数据取证，形成并反馈取证数据；对恶意代码取证探头产生的行为记录和系统痕迹恢复和清理，并进行自身销毁。