[发明专利]基于透明度的取证效果评估方法、取证分析装置及方法

说明书

本发明提供一种基于透明度的取证效果评估方法、取证分析装置及方法。该取证分析装置以基于透明度的取证效果评估方法为设计依据，包括：基于裸机的运行环境、近透明取证系统和取证分析系统；所述基于裸机的运行环境，构建于真实的裸机平台上，不开启新的硬件接口，并构建有真实硬件设备的运行记录；所述近透明取证系统设置在内核中，包括Snipschedule快照调度器，所述Snipschedule快照调度器采用被动唤醒策略，所述被动唤醒策略指当攻击触发时，唤醒Snipschedule快照调度器对内存页当前状态进行快照留存，并将快照传送至取证分析系统；所述取证分析系统，用于根据接收的快照对内核进程数据、proc文件和task_struct相关数据进行交叉比对分析。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于透明度的取证效果评估方法、取证分析装置及方法。

背景技术

Android设计了多种安全机制来保护系统的安全，其中权限机制就是其中一类，权限限制了应用所能访问的资源和操作，而root是Android系统中的最高操作权限，即超级管理员权限，因此，获取Android系统中的root权限是突破Android安全堡垒的关键点。出于安全考虑，Android手机厂商在手机出厂时都会禁止root权限使用，这也就意味着即便是手机的所有者也不具有root权限，为获取root权限出现了多种root方法。常用的root方法有两种：一种是用户自愿使用root工具获得root权限；另外一种就是遭受攻击被迫提升root权限，这两种获取root权限的方法，都与漏洞有着密切关系。用户自愿使用的厂商开发的root工具获得root权限，如One Click root、360一键root，他们的这些行为是合法的，虽然用户自愿选择的这些root工具可以帮助用户获得root权限，移除一些广告或解锁无法使用的新功能，但与此同时也使自己面临着极大的安全威胁。加州滨河分校的研究人员对市场上出现的root工具进行研究，他们发现这些root工具中竟包含多达167个漏洞，即使是供应商提供的root工具，例如Towelroot、Pingpongroot和Gingerbreak等，也都包含已知的最先进的漏洞利用程序，这些种类繁多、定制的漏洞利用程序很容易被攻击者逆向，进而利用。