[发明专利]基于Glibc堆实现的堆信息提取方法

说明书

本发明涉及一种基于Glibc堆实现的堆信息提取方法。本发明首先对计算机物理内存建立转储文件；然后利用Rekall取证框架获取操作系统版本和配置文件信息；在操作系统版本和配置文件信息支持下使用内存取证框架内置的扫描技术扫描内核空间并定位到task结构体；如果定位到task结构体，则遍历VMA结构，获取glibc库在内存中的位置，提取glibc库中main‑arena的位置；根据内存对象vtype描述信息中字段偏移定位glibc堆的相关数据结构并提取堆的相关信息。本发明的堆信息提取方法能够有效提取Linux系统中用户空间进程堆内部含有的信息。

技术领域

本发明涉及一种基于Glibc堆实现的堆信息提取方法，该方法在计算机内存取证领域中有着很好的应用，主要用于重现linux系统中用户空间进程堆内部含有的信息和检测不同类型的堆攻击。

背景技术

计算机取证技术是网络安全应急响应的基本步骤，恶意软件在计算机系统中执行的异常或未授权操作，可通过分析系统的磁盘驱动器或内存进行检测。内存取证作为计算机取证的分支，是指从计算机物理内存和页面交换文件中查找、提取、分析易失性证据，方法是通过硬件接口获取、软件获取、虚拟机快照等方式获取内存转储文件，将其保存到磁盘中，使用专用软件(如Rekall Framework)进行分析，以重构相关的安全事件。近年来，由于网络攻击技术的内存化和隐遁化，攻击者不再将关键的数字证据存放在磁盘中，并且在实时系统中检测很容易受到Rootkit攻击的欺骗，因此，针对内存的内存取证技术逐渐变得越来越重要。

在Linux系统中，每一个用户进程都有自己的私有内存空间。由于内存表示正在运行的系统的当前状态，它包含有关浏览器历史记录、输入的命令、活动网络连接、加载的驱动程序以及活动进程的信息，这些信息允许我们详细了解进程以前进行的活动。虽然这些信息大部分位于内核空间，可以使用现有的解决方案对其进行检查，但也有许多位于用户空间的信息可能对于取证调查来说是感兴趣的。例如，用户空间进程的堆通常是各种数据的丰富来源，并且根据具体的应用程序，可能包含凭据、IP地址/DNS名称或命令历史记录等。到目前为止，从内存取证的角度来看，堆主要被认为是一个大的内聚内存区域，这使得人工识别内部的相关信息相当困难。

因此，为了高效、可靠地识别和提取这些信息，需要一个与进程相同或至少相似的堆视图：关于数据的位置、在特定位置存储的数据类型以及特定数据部分占用的内存量。否则，研究者只能将堆作为一个大内存区域使用，所有信息都位于其中，没有任何已知的结构。

发明内容

本发明的目的是辅助取证分析人员利用Linux系统中用户空间进程堆内部含有的信息。

本发明的实现包括以下步骤。

第一步，通过硬件接口或软件获取计算机物理内存的转储文件；

第二步，将内存转储文件载入Rekall取证框架并查找与之匹配的操作系统版本和配置文件。根据配置文件确定系统版本内核，识别内存转储文件的内存布局，定位task结构体；

第三步，通过task结构体遍历VMA结构，获取glibc库在内存中的位置，提取glibc库中main-arena的位置；

第四步，根据内存对象vtype描述信息中字段偏移定位glibc堆的相关数据结构并提取堆的初始化信息。

第五步，根据提取到的堆初始化信息进一步提取堆块信息。

作为本发明的进一步改进，所述的第一步，判断目标系统是否为虚拟机，是否处于运行状态以及是否拥有目标系统的操作权限，决定通过软件运行的方式还是硬件接口方式生成转储文件。

作为本发明的进一步改进，所述的第二步，根据操作系统的主要版本号、次要版本号，导入相应配置文件，使用内存取证框架内置的扫描技术扫描转储文件的物理地址空间，识别地址空间硬编码，定位内核空间中task结构体的位置体。