[发明专利]一种Linux系统的溯源取证方法、系统及介质

说明书

本发明提供一种Linux系统的溯源取证方法、系统及介质，涉及信息安全领域，包括：启动被入侵计算机；检测是否有内核级Rootkit；若检测到内核级Rootkit,则进行在线状态取证；解决了上述背景技术中提出的目前大多数服务器都运行着Linux操作系统，发生计算机入侵和网络犯罪行为可能性非常大，但是目前没有一个全面而系统的溯源取证方法的问题。

技术领域

本发明涉及信息安全领域，具体为一种Linux系统的溯源取证方法、系统及介质。

背景技术

随着计算机信息技术的发展，人们在整个发展过程中获得了诸多的好处和便利，但是计算机信息系统也面临了越来越纷繁复杂的计算机入侵行为；与一般犯罪证据不同的是，计算机证据具备脆弱性、不可靠型、形式多样性等特点，正式由于计算机犯罪证据的特殊性，使得计算机取证在法律方面和技术方面都遇到了证据合法性、有效性和可靠性等诸多问题，导致很多网络犯罪的案件，因无法提供及时、有效、合法及可靠的计算机证据而影响案件的调查和审判；

目前大多数服务器都运行着Linux操作系统，发生计算机入侵和网络犯罪行为可能性非常大，但是目前没有一个全面而系统的溯源取证方法。

Rootkit是一种内核级后门/木马，系统入侵者为了获得系统管理员级root权限，或者为了清楚被系统记录的入侵痕迹，或重新汇编一些软件工具kit,例如：ps、netstat、passwd等，主要是文件、进程、系统记录的银城技术，以及网络分组、键盘键入的拦截窃听技术；当Rootkit被植入入侵主机后，可以帮助攻击者获得远程登录权限并清除或者隐藏攻击者活动痕迹，针对Rootkit类犯罪的取证，可以通过检测Rootkit是否存在，并收集在线活动状态证据来实现。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供了一种Linux系统的溯源取证方法、系统及介质，解决了上述背景技术中提出的目前大多数服务器都运行着Linux操作系统，发生计算机入侵和网络犯罪行为可能性非常大，但是目前没有一个全面而系统的溯源取证方法的问题。

(二)技术方案

为实现以上目的，本发明通过以下技术方案予以实现：一种Linux系统的在线状态溯源取证方法，包括：

启动被入侵计算机；

检测是否有内核级Rootkit；

若检测到内核级Rootkit,则进行在线状态取证。

优选地，所述检测是否有内核级Rootkit，包括：

判断中断描述符表是否被修改，若是，则进行在线状态取证；

若否，则判断系统调用地址是否被修改，若是，则进行在线状态取证；

若否，则判断系统调用表中的各个表项是否被修改，若是，则进行在线状态取证；

若否，则判断系统调用函数体是否被修改，若是，则进行在线状态取证；

若否，则停止检测。

优选地，所述在线状态取证，包括：收集Rootkit执行过的命令、工作路径、进程id号信息。

优选地，所述判断中断描述符表是否被修改，包括：获取中断描述表起始位置，检测每个中断向量的处理函数；

将所述检测到的中断向量的处理函数与/boot/System.map文件中已知的表项进行比较，如果中断描述符表中每一个表项都与与/boot/System.map文件中已知的表项相同，则判定中断描述符表未被修改，继续进行系统调用表地址的检查判断；

如果不相同，则判定中断描述符表已被修改，进入在线状态取证。