[发明专利]一种针对大型网络设备隐匿技术的安全取证方法

说明书

本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下：1、获取网络设备的底层权限；2、在目标设备的底层系统创建一个进程；3、在该进程中注册异常函数，接管最终异常事件；4、在该进程中注册相关信息的取证函数API‑Application Programming Interface，包括：获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数；5、创建一个管道；6、根据用户输入，确认取证信息的类别；7、执行相应的取证函数，通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法，解决了现有信息取证方法的局限性。

一.技术领域

本发明提供一种针对大型网络设备隐匿技术(即“Rootkit”)的安全取证方法，它是一种针对大型网络设备Rootkit的安全取证方法，它涉及漏洞利用，属于网络安全技术领域。

二.背景技术

据报导，著名黑客组织“TAO”小组拥有一系列针对各国知名的网络设备定制的持久性后门控制程序和功能程序。为了获取某些路由设备的代码，专门对其内网进行了攻击，并基于所获取的代码研究了网络设备的漏洞，针对性的开展了攻击，并获取了大量的敏感数据。2016年8月，“影子经纪人”曝光了“方程式”黑客组织的部分网络攻击武器，其中就包含了针对网络设备的大量攻击代码。从代码的设计和实现复杂度分析，该代码显然不是一般黑客组织能实现的，应该属于国家行为组织的针对网络设备的大规模攻击技术研究。

由于网络设备研究的特殊性，我国在网络攻防领域内对网络设备的入侵分析和取证技术研究和敌手比还有明显的差距。首先是研究网络设备入侵分析和取证的技术难度大，其一、网络设备种类繁多，各种设备之间的差异性很大，需要开展有针对性的研究，其工作量非常大。网络设备包括了路由器设备、交换机设备和防火墙UTM等设备，同时又包括主流厂商和某些地区相关的品牌，每个厂商下会形成多个产品的系列和各种不同的版本，其产品的关联度比较低，因此开展研究的难度和工作量都很大。其二、网络设备的一般只提供用户设备的配置管理权限，在出厂时屏蔽了相关的调试接口和系统底层权限，这给入侵分析和取证设置了障碍。入侵分析和取证为了获取完整的取证信息，需要具备底层的权限，因此获取设备底层的权限也具有一定的技术难度。其三、网络设备研究是处在一个黑盒子的状态下进行研究，通常情况下仅可以获得有限的输出信息。入侵分析和取证需要获取设备相对全面的信息，包括文件系统，进程等信息，对设备状态进行分析和比对，这也是研究工作中的一大挑战。

三.发明内容

1.发明目的

鉴于上述问题，本发明提供了一种针对大型网络设备Rootkit安全取证方法，目的在于解决了现有在网络设备信息取证方法的局限性,方便系统管理员审查攻击网络设备的方法及手段。

2.技术方案

本发明提供一种针对大型网络设备隐匿技术(即“Rootkit”)的安全取证方法，其步骤如下：

步骤1：获取网络设备底层系统的超级用户权限(即“root”权限)；

步骤2：在目标设备的底层系统创建一个进程(即“process”)；

步骤3：在该进程中注册异常处理函数，接管最终异常事件；

步骤4：在该进程中通过注册信息取证函数，提供应用程序编程接口(即“API -Application Programming Interface”)，包括：获取系统文件信息函数、获取进程隐藏检测信息函数、获取文件恢复信息函数、获取内存信息函数、获取磁盘信息函数和获取内核信息函数；

步骤5：创建一个管道(即“pipe”)；

步骤6：根据用户输入，确认取证信息的类别；

步骤7：执行相应的取证函数，通过管道回传到本地；