[发明专利]一种Linux系统物理内存镜像文件分析方法

说明书

技术领域

本发明涉及一种Linux系统物理内存镜像文件分析方法，更具体的说，尤其涉及一种无需获知操作系统的版本信息即可从物理内存镜像中恢复出内核变量符号表的Linux系统物理内存镜像文件分析方法。

背景技术

美国空军特别调查办公室的Kornblum于2002年在DFRWS(DigitalForensicResearchWorkshop)中发表了名为《PreservationofFragileDigitalEvidencebyFirstResponders》的主题报告，在报告中提出需要调查易失性内存信息以全面而准确地获取网络攻击和网络犯罪证据。为推进物理内存分析技术的发展，DFRWS于2005年发起了针对Windows系统的内存取证分析挑战赛，旨在通过分析给定的一个Windows2000物理内存转储文件提取该文件中所包含的隐匿进程及其隐匿方式；DFRWS于2008年又发起了针对Linux系统的内存取证分析挑战赛。从此，对于物理内存的分析和获取成为计算机取证的研究热点，各种物理内存取证技术和方法相继出现。

在物理内存分析方面，当前研究工作主要集中在Windows平台下，代表性的成果包括：(1)A.Schuster于2006年提出了Windows内存镜像文件中进程和线程的查找方法；(2)Carvey提出了Windows注册表可作为取证源；(3)2007年，SeokheeLee等人研究了虚拟内存文件Pagefile.sys的获取和分析问题；(4)王连海在2008年提出了基于KPCR定位进程控制块的方法，适用于windows2000以后所有版本的。(5)Dolan-Gavitt提出了利用VAD树提取内存进程和线程信息的方法，详尽地分析了内存注册表数据结构，提出了内存注册表键值信息提取方法。(6)Petroni等人提出了一种模块化的、可扩展的VolatilityFramework，通过对底层内存数据获取的封装而向上提供数据接口，从而使物理内存取证研究者专注于高层的内存数据分析与挖掘。

相比之下，对于Linux操作系统物理内存分析技术，当前研究工作较少。MariuszBurdach根据System.map文件提出了查找用户态进程和内核态进程的方法，高宇航等人提出了根据init线性队列、散列表、进程家谱和运行队列查找进程的方法，VolatilityFramework也支持对Linux物理内存镜像文件的分析。

在实际对Linux操作系统的物理内存镜像文件进行分析过程中，我们发现，以上分析方法存在一定的局限性，主要表现在以下几个方面：

(1)给定一个物理内存镜像文件，分析前需要预知其操作系统版本；

(2)除了操作系统版本外，还需要此内核版本对应的System.map内核符号表；

(3)目前分析方法实现的工具使用起来操作步骤较为复杂，以目前使用较为广泛的VolatilityFramework为例，在使用前需要做如下配置：

a)首先确保系统中有dwarfdump、GCC以及make工具；

b)解压缩下载的volatility包，到volatility/tools/linux目录下执行“make”操作生成module.dwarf文件；

c)找到系统System.map文件，执行操作“sudozipvolatility/volatility/plugins/overlays/linux/Ubuntu1204.zipvolatility/tools/linux/module.dwarf/boot/System.map-3.2.0-23-generic”生成Ubuntu1204.zip文件；

d)执行操作“pythonvol.py--info|grepLinux”，如果可以看到刚才生成的配置文件信息“LinuxUbuntu1204x64-AProfileforLinuxUbuntu1204x64”，说明可以对内核为3.2.0.23的物理内存镜像文件进行分析了。

综上所述，当前针对Linux操作系统的物理内存分析技术只能针对已知操作系统的物理内存镜像文件进行分析，且需要附加内核符号表文件。如果给定一个未知操作系统版本的物理内存镜像文件，将无法处理。为了克服上述技术存在的缺点，本发明提出一种新的Linux操作系统物理内存镜像文件分析方法，该方法能够自动判断操作系统版本、并获取指向页目录指针，在地址转换的基础上，从内存镜像文件中获取/proc/kallsyms内核符号表信息，根据内核符号表中相关内核变量获取系统进程、驱动以及网络等信息。