[发明专利]一种基于物理内存分析的远程取证系统

权利要求书

1.一种基于物理内存分析的远程取证系统，其特征在于，包括：

客户端：镜像客户端的物理内存，并存储到本地，并对镜像文件做hash值计算，然后调用物理内存分析命令行程序分析此镜像文件，将分析结果和镜像文件一起发送到服务端；

服务端：侦听客户端，若有客户端连接请求，服务端连接确认，连接成功，服务端收到客户端发来的开始发送信息的标示字符串，则开始接收客户端信息，主要收集客户端的物理内存镜像文件和对应的镜像文件分析结果，服务端采取多线程，能同时收集若干个客户端的物理内存镜像文件和内存分析结果信息，并将内存分析结果存储到hadoophive数据库；另一方面，与远程控制端建立连接，主要是向远程控制端发送客户端的日志信息，根据远程控制端的检索条件，从hadoophive数据库中查找符合条件的检索信息，发送到远程控制端进行展示；

远程控制端：主要管理服务端，通过远程管理服务来获取客户端的信息，并对客户端的日志信息进行展示，还有检索的功能，用户根据关键词可以获取到客户端的内存镜像分析结果，并提供导出功能，把检索结果和内存分析结果导出，便于取证人员进一步分析。

2.根据权利要求1所述的基于物理内存分析的远程取证系统，其特征在于，所述客户端的日志信息包括客户端的ip地址、端口、传输的镜像文件名、内存分析文件结果和对应的md5值。

3.根据权利要求1所述的基于物理内存分析的远程取证系统，其特征在于，所述客户端包括：

客户端通讯模块：建立与服务端之间的通讯，进行文件的传输；

客户端日志文件模块：通过调用EventLog.exe命令行程序，获取客户端主机的系统日志、安全日志、应用程序日志；

客户端物理内存镜像模块：调用MemDump驱动程序，镜像客户端主机的物理内存，流程，加载驱动，创建服务、打开服务、加载驱动，镜像物理内存、卸载驱动；

客户端物理内存分析模块：打开镜像的物理内存文件，分析出关键的客户端主机基本信息、注册表信息、邮箱账户、即时通讯账户信息、BIOS密码、硬盘加密密码和网络提交表单、网络信息、系统日志信息、登录信息、进程信息、驱动信息、hook信息并暂时存储到本地；

客户端传输模块：传输物理内存文件、物理内存分析结果文件、系统日志文件；

客户端存储模块：将要传输的物理内存文件、物理内存分析结果、系统日志文件暂时存储到本地。

4.根据权利要求1所述的基于物理内存分析的远程取证系统，其特征在于，所述服务端包括：

服务端通讯模块：一方面建立与远程控制端之间的通讯，另一方面开启多个线程与多个客户端之间进行通讯；

服务端接收模块：根据建立好的协议，对不同的客户端传输的内容同时进行接收，物理内存大文件以文件的形式存储，对于物理内存分析结果，以hadoophive方式存储；

服务端存储模块：存储物理内存文件和系统日志、安全日志和应用程序日志；存储物理内存分析结果到hadoophive数据库；

服务端并行分析模块：同时分析若干个物理内存文件；

服务端数据库检索模块：支持对客户端的基本信息、注册表信息、敏感信息、网络信息、系统日志信息、登录信息、进程信息、驱动信息、hook信息中关键字段的检索；

服务端展示模块：主要展示客户端的日志信息，包括：传输时间、客户端ip地址、端口、传输的物理内存文件名、物理内存文件的hash值；另一方面主要展示：hadoophive数据库中物理内存分析结果，展示不同时间段内包含关键词的物理内存分析结果。

5.根据权利要求1所述的基于物理内存分析的远程取证系统，其特征在于，所述远程控制端包括：

远程新建案例模块：新建案例的基本信息包括案例名称、案例号、使用的hash算法、案例保存路径和案例描述；

远程开启服务模块：输入服务端ip地址和端口，建立与服务端的连接通讯，服务开启；

远程通讯模块：建立与服务端之间的通讯；

远程日志管理模块：支持对日志文件进行保存和分析；

远程关键文件检索模块：输入hive表和表中的关键字段，向服务端发送命令，即对物理内存分析出的某个关键文件中的关键词进行检索，以便获取到不同时间段的物理内存分析结果；

远程并行分析模块：点击客户端已传输的物理内存文件中的一个或者若干个，像服务端发送并行分析指令，将对一个或若干个物理内存文件进行分析；

远程导出模块：导出检索分析结果到文件。