[发明专利]一种基于相似内核的手机动态内存提取方法

说明书

本发明涉及一种基于相似内核的手机动态内存提取方法，其步骤：选取相似内核源码；收集目标系统信息；编译内核源代码；在根目录下生成.config文件；构造内核模块；关闭校验机制并重新编译内核；对源代码进行交叉编译；使用LiME工具编译外部模块；将LiME模块上传至目标手机中，使用insmod命令加载模块；在相似内核源码中寻找与__gnu_mcount_nc符号变量具有依赖性关系的函数；向外界导出了__gnu_mcount_nc符号；在相似内核代码中进行内核配置；进入LiME目录，将外部源码路径指定给相似内核代码；在Android终端的SD存储卡内生成dump内存文件，在本地终端使用pull操作将手机中的内存文件取回至本地计算机中。

技术领域

本发明涉及一种手机动态内存提取方法，特别是关于一种基于相似内核的手机动态内存提取方法。

背景技术

相比于传统的手机取证方向，动态内存取证作为一个新兴的领域，因此在动态内存取证和分析方面的研究还比较少。目前在国内还没有发表相关的研究成果，相关研究成果主要集中在国外的一些数字调查研究机构。到目前为止，手机动态内存取证的研究主要经历了三个阶段，即基于命令行的取证方式，主要代表为Android终端下的kill命令；基于Android调试工具的取证方式，即Android调试工具DDMS；以及基于编译模块的取证方式，主要为基于LiME的取证工具。国内手机取证研究主要集中在SIM卡、SD卡和flash闪存数据的提取，尚无有关此类研究的报道。

目前的研究趋势为基于LiME和基于ReKall。(1)基于LiME：现有技术中的一种在低温状态下提取android手机随机访问内存的方法原理是剩磁原理，在低温状态下随机访问内存的数据在断电的情况下还能持续一段时间。该文章用了samsung Galaxy Nexus手机进行测试，即使在引导程序加密的情况下，也能在低温环境下直接从RAM中恢复了磁盘中的加密密钥、通讯录、访问过的网站等敏感数据。其中FROST技术的实现也是基于LiME工具，但该文章没有对提取的数据做任何分析，而且用于试验的手机型号也仅限于samsung GalaxyNexus。(2)基于ReKall：现有技术中通过基于硬件或软件两个方面，采用传统的物理内存提取技术，并在使用了反取证技术的环境下进行内存提取测试。传统的物理内存提取技术在使用反取证技术的环境中，不能成功、或仅能提取到不完整的内存。现有技术中还有一种新的物理内存提取技术，原理是通过PTE(page table entry，页面表入口)来获取物理地址空间。然而使用的PMEM工具仅能在Windows、Linux、Mac OS X运行，尚不能提取Android手机的物理内存。目前基于Linux物理内存提取的问题，即需要对相应的内核版本分别编译，增加的取证工作的难度，因此还有一种新的方法，能够产生一个通用内核模块适用于一定范围的Linux内核版本，原理是将一个很小的内存提取模块注入到目标系统中的一个有效内核模块中，并通过重定向技术使被寄生的模块执行提取内存的代码段，实验对象是2.6.38至3.10的Linux发行版，并没有在Android上进行测试。还有一种方案是在一个完整的开源的动态内存提取与分析，该系列工具的支持对象有Windows,OSX and Linux。在2015年最新发布的版本中，该框架可以对Android的动态内存进行分析，然而尚未能提取到Android的动态内存。而且，国内手机取证研究主要集中在SIM卡、SD卡和flash闪存数据的提取，尚无有关此类研究的报道。

对于动态内存的取证研究，目前只有LiME工具是最适合提取Android手机动态内存，无论在法律效应，技术特性和可行性上，LiME工具目前为止都是调查人员研究动态内存的提取的唯一选择。由于LiME应用时间不久，而且使用过程需要获取对应设备源代码，进行一定的编译，缺乏一套成熟系统的提取程序，极大的限制了调查人员提取动态内存的工作效率。

发明内容

针对上述问题，本发明的目的是提供一种基于相似内核的手机动态内存提取方法，该方法基于LiME工具的ELF格式与内核符号机制进行内核配置，利用手机相似内核进行手机动态内存提取的方法。