（计算机应用技术专业论文）计算机取证物理内存镜像获取技术的研究与实现.pdf

山东轻工业学院硕士学位论文 摘要 随着信息技术的发展，计算机与网络成为社会政治、经济、文化生活的重要 组成部分，而与此相关的各种计算机犯罪现象也日益突出。计算机取证技术成为 打击计算机犯罪的重要手段，是目前计算机界和法学界共同研究、关注的重点。 本文介绍了计算机取证技术的现状和发展情况，比较了现有的计算机取证模 式，分析了离线取证模式的不足，指出了在线取证模式研究的必要性。物理内存 取证是在线取证的重要环节，也是当今的研究热点。本文旨在研究物理内存取证 中的物理内存镜像获取技术。现有技术是在用户态打开k d e v i c e w h y s i c a l m e m o r y 内核对象来访问物理内存，然而在w m d o w s2 0 0 3 及v i s t a 等版本下，用户态访问此 内核对象受到限制，只有通过内核态才能访问。因此，需要通过驱动程序的方法。 本文开发的基于内核驱动的物理内存镜像获取工具，可以解决d d 等当前取证工 具在w m d o w s 高端版本下使用受限的问题。 研究物理内存，首先要了解w i n d o w s 操作系统内存管理机制。w i n d o w s 操作 系统采用请求分页的虚拟存储管理技术，通过在虚拟地址空间的页与物理地址空 间的页之间建立映射，实现虚拟地址到物理地址的变换。地址变换过程由内存管 理单元( 删) 自动完成，但是对取证过程中的数据比对分析，需要手工完成地 址变换过程。以往的研究对地址变换的描述都是基于x 8 6 体系模型，与当前大量 使用的采用物理地址扩展( p a e ) 模式的x p 系统并不完全吻合。本文结合w i n d o w s x ps p 2 版本提出地址变换公式。同时，由于一直以来大量的相关文献都依赖微 软所颁布的技术资料，仅以虚拟地址空间的观点来解释虚拟地址转换的过程，无 法解释任意进程的虚拟地址，如何映射到物理地址空间中。本文使用进程和物理 内存的观点来研究地址变换，清晰的说明了任意进程的虚拟地址空间如何在物理 地址空间中定位。 本文结合w i n d o w s 系统结构，阐述了内核驱动程序访问物理内存的基本原 理，依照驱动程序基本框架，开发了内核驱动程序和用户态调用程序，来获取物 理内存镜像，并提供了程序的核心代码。然后，对实验结果进行了分析评价。 虚拟内存文件镜像的获取，也是物理内存镜像获取的重要方面。目前还没有 相关的软件。由于下p a g e f i l e s y s 是隐藏文件，需要在磁盘上准确定位该文件。 本文详细阐述了磁盘的文件系统原理，分别针对n t f s 和f a t 3 2 两种文件系统， 设计出获取该文件的实现方法。 关键词：计算机取证；物理内存镜像；内核驱动：文件系统：虚拟内存 山东轻工业学院硕士学位论文 a bs t r a c t w i t ht h ed e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , c o m p u t e ra n dn e t w o r ka 托 p l a y i n gam o r ea n dm o r ei m p o r t a n tr o l ei ns o c i a l ，p o l i t i c a l ，e c o n o m ya n dc u l t u r a l a r e a s ，c o m p u t e rc r i m e si nd i g i t a lw o r l da 他b e c o m i n gs e r i o u si s s u e sc o n s e q u e n t l y c o m p u t e rf o r e n s i c si sa ne s s e n t i a la p p r o a c ht oc h a r g i n gc o m p u t e rc r i m e sa n dh a s b e c o m et h ec o m m o nc o n c e r no fs t u d yi nt h ec o m p u t e rs c i e n c ea n dl a wf i e l d t h et h e s i si n t r o d u c e st h ec u r r e n ts t a t ea n di t sd e v e l o p m e n to nc o m p u t e rf o r e n s i c s i t c o m p a r e st h ec u r r e n tc o m p u t e rf o r e n s i c sm o d e ，a n a l y s e st h ed e f i c i e n c yo ft h e o f f l i n em o d ea n di n d i c a t e s t h en e c e s s i t yo fr e s e a r c h i n go n l i n em o d e p h y s i c a l m e m o r yf o r e n s i c si st h ei m p o r t a n tp a r to ft h eo n l i n ef o r e n s i c sa n da l s ot h ec u r r e n t r e s e a r c hh o t s p o t 1 1 舱t h e s i sa i m sa tr e s e a r c h i n gt h ea c q u i s i t i o no fp h y s i c a lm e m o r y i m a g ei np h y s i c a lm e m o r yf o r e n s i c s t h ec u r r e n tm e t h o d sv i s i tp h y s i c a lm e m o r yb y o p e n i n gp h y s i c a i m e m o r yk e r n e lo b j e c ti nu s e r m o d e h o w e v e r , i ti sp r o h i b i t e dt o 啊s i t k e r n e lo b j o c ti nu s e r m o d eu n d e rw i n d o w s2 0 0 3 ，v i s t a ，a n ds oo n i tc a nb ev i s i t e d o n l yb y k e r n e ld r i v e r s s o ，i ti sn e c e s s a r yt od e v e l o pd r i v e r s t h et o o l sf o ro b t a i n i n g p h y s i c a lm e m o r yi m a g eb a s e do nk e r n e ld r i v e rd e v e l o p e d i nt h i st h e s i sc a nr e s o l v et h e u n a v a i l a b i l i t yo ft h ec u r r e n tf o r e n s i ct o o l sa sd du n d e rw i n d o w sh i g h e re d i t i o n t or e s e a r c hp h y s i c a lm e m o r y , l e a r n i n ga b o u tt h ew i n d o w sm e m o r ym a n a g e m e n t m e c h a n i s mi sn e c e s s a r ya tf i r s t w i n d o w so p e r a t i n gs y s t e mu s i n gp a g e dv i r t u a l m e m o r ym a n a g e m e n tt e c h n o l o g y t h et r a n s l a t i o nf r o mv i r t u a la d d r e s st op h y s i c a l a d d r e s si sr e a l i z e db ye s t a b l i s h i n gp a g em a p p i n gf r o mv i r t u a la d d r e s sa p a c et o p h y s i c a l a d d r e s sa p a c e t h et r a n s l a t i o ni s i m p l e m e n t e db y 眦，h o w e v e r , t r a n s l a t i n gm a n u a l l yi sn e e d e df o rc o m p a r i n ga n da n a l y z i n gt h ee x p e r i m e n t a ld a t a t h ep a s td e s c r i p t i o no fa d d r e s st r a n s l a t i o nb a s e do nx 8 6s y s t e mm o d e i ti sd i f f e r e n t f r o mt h ep o p u l a rx ps y s t e mw i t hp a e t h et h e s i so f f e r sa d d r e s st r a n s l a t i o nf o r m u l a w i t hw i n d o w sx ps p 2e d i t i o n m e a n w h i l e ，s i n c ep l e n t yo fr e l a t i v ed o c u m e n t sr e l y i n g o nt h et e c h n i c a ld a t ai s s u e db ym i c r o s o f tf o rs e v e r a ly e a r s ，i ti sh a r dt oe x p l a i nh o w t h ev i r t u a la d d r e s so fa n yp r o c e s sm a p p i n gt op h y s i c a la d d r e s ss p a c e j u s tb yt h ev i e w o fv i r t u a la d d r e s ss p a c e t h ea d d r e s st r a n s l a t i o ni sr e s e a r c h e db yt h ev i e wo f p r o c e s s a n dp h y s i c a lm e m o r yi nt h i st h e s i s i ti sc l e a r l ys h o w nt h a th o wt ol o c a l i z et h ev i r t u a l a d d r e s ss p a c eo fa n y p r o c e s si nt h ep h y s i c a la d d r e s ss p a c e w i lw i n d o w ss y s t e ms t r u c t u r e ，t t l ct h e s i si n d i c a t e st h eb a s i cp r i n c i p l eo f v i s i t i n gp h y s i c a lm e m o r yb yk e r n e ld r i v e r s b a s e do nt h ed e v e l o p i n gf l a m ef o rd r i v e r s ， k e r n e ld r i v e r sa n du s e rp r o g r a mf o ra c q u i r i n gp h y s i c a lm e m o r yi m a g ea r ed e v e l o p e d t oo b t a i np h y s i c a lm e m o r yi m a g ea n dt h en u c l e a rc o d e sa r eo f f e r e d t h e n , t h e e x p e r i m e n tr e s u l t sa r ea n a l y z e d t h ea c q u i s i t i o no fv i r t u a lm e m o r yf i l ei m a g ei sa l s oi m p o r t a n tp a r to fa c q u i s i t i o n o fp h y s i c a lm e m o r yi m a g e c u r r e n t l y , t h e r ei sn or e l a t i v es o f t w a r e b e c a u s et h e p a g e f i l e s y su n d e rx p i sc o n c e a l e df i l e ，i ti sn e c e s s a r yt ol o c a t et h i sf i l eo nd i s k d i s k f i l es y s t e mi se x p a t i a t e di nd e t a i la n dm o d u l e su s i n gd i f f e r e n tm e t h o d sf o rn t f sa n d f a t 3 2f i l es y s t e ma r ed e s i g n e d k e yw o r d s ：c o m p u t e rf o r e n s i c s ；p h y s i c a lm e m o r yi m a g e ；k e r n e ld r i v e r s ；f i l es y s t e m ； v i r t u em e m o r y 学位论文独创性声明 本人声明，所呈交的学位论文系在导师指导下本人独立完成的研究成果。文 中引用他人的成果，均已做出明确标注或得到许可。论文内容未包含法律意义上 已属于他人的任何形式的研究成果，也不包含本人已用于其他学位申请的论文或 成果，与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示谢意。 论文作者签名：二盛! 丝日期：兰! 1 2 年_ j 厶月二王日 学位论文知识产权权属声明 本人在导师指导下所完成的论文及相关的职务作品，知识产权归属山东轻工 业学院。山东轻工业学院享有以任何方式发表、复制、公开阅览、借阅以及申请 专利等权利，同意学校保留并向国家有关部门或机构送交论文的复印件和电子 版，本人离校后发表或使用学位论文或与该论文直接相关的学术论文或成果时， 署名单位仍然为山东轻工业学院。 论文作者签名：二醢丝 导师签名：篮堕 日期：丝盟年上月丑日 日期：一盟年j 月2 日 山东轻工业学院硕士学位论文 1 1 研究背景 第l 章绪论 当今，人类社会已经步入信息化时代。计算机技术的迅速发展，以及网络的 广泛使用，使计算机成为国家的重要基础设施和社会生活不可或缺的组成部分。 行政司法、经济金融、医疗卫生、国防军工、能源通信、教育就业以及娱乐休闲 等各个领域，都依赖计算机的数据计算和网络提供的信息传播，其与信息技术的 关系日益密切。 然而，计算机技术的发展，如同其它科学技术一样，在极大提高了社会生产 力、给人们带来诸多便利的同时，计算机犯罪也已严重地渗透到社会生活的各个 层面。自上世纪六十年代计算机犯罪出现以来，受其侵害的领域越来越广泛，其 危害程度也越来越深远。从最早的修改计算机信息、利用计算机病毒破坏计算机 系统软硬件设备等侵害计算机系统安全的行为，发展到利用木马进行金融盗窃、 银行诈骗、窃取个人隐私，甚至直接利用互联网进行色情传播、煽动民族分裂、 散步反动言论等损害个人利益和危害国家安全的程度。美国因计算机犯罪造成的 年损失达几十亿、甚至上百亿美元，英、德的年损失也达几十亿美元。我国从 1 9 8 6 年开始出现计算机犯罪，九十年代间案件就以每年3 0 的速度递增，近些 年更是呈在各行业中滋生蔓延的趋势川。计算机犯罪就是与时代共同发展的 高技术犯罪，已成为世界各国共同面临的重大社会问题。 司法的滞后性是计算机犯罪m3 8 豫朔日益猖獗的一个重要原因。为了维 护社会稳定和谐，保障人们的财产和隐私安全，促进信息技术的良好发展，打击 计算机犯罪，提高司法机关的对抗能力，具有重要的现实意义。其中的关键技术 之一就是计算机取证技术4 捌。 1 2 国内外相关研究评述 1 2 1 国外研究现状 在国外，如美国等科技比较发达的国家，打击计算机犯罪已经有了二十多年 的历史。自1 9 8 4 年开始，美国f b i 实验室就开始着手研究计算机取证，随后， f b i 成立了计算机分析响应组( c a r t ) 2 1 ，专门进行计算机证据的分析。很快， 其它国家也纷纷效仿其功能和组织结构，建立起相应执法机构。由此，计算机取 第1 章绪论 证的研究逐步兴起。 进入九十年代，计算机取证的研究进一步发展。美国联邦犯罪调查实验室的 专家们创立了“数字取证科学工作组( s w g d e ) 一，提出了“计算机潜在证据( 1 a t e n t e v i d e n c eo nac o m p u t e r ) 的概念。1 9 9 1 年，计算机专家国际联盟( i n t e r n a t i o n a l a s s o c i a t i o no fc o m p u t e rs p e c i a l i s t s i a c i s ) 在美国俄勒冈州波特兰市举行的第一 次培训会中正式提出了计算机取证( c o m p u t e rf o r e n s i c s ) 的概念u 1 。随后，新的 概念、定义、标准、工作组、研究团队不断出现，美国司法机关也已经建立起自 己的计算机取证实验室。计算机取证的理论、方法、技术已经基本确立。 随着司法工作的进一步开展，对实用的计算机取证工具的需求越来越强烈。 于是，市场上涌现了适用于各种用途的取证工具。比较著名的有以下几种产品， 如美国g u i d a n c e 软件公司开发的e n c a s e ，可在w i n d o w s 、l i n u x 和m a c o s 等多种平台上运行，能够将j 下在运行的系统的全部运行环境及数据提取出来，生 成一个镜像文件，再对该文件进行分析，以发现犯罪证据【5 1 ；美国计算机取证公 司开发的d i b s ，使用独特的数据镜像查证和鉴定技术对数据进行镜像，确保数 据的绝对安全性和完整性；由英国v o g o n 公司开发基于p c 、m a 和u n i x 等系统 的数据收集和分析系统f l i g h ts e r v e r ，它可以将计算机犯罪现场中的计算机磁盘 逐个扇区( 包括坏扇区) 进行拷贝、复制，并生成一个物理镜像文件，然后对该镜 像文件进行分析，从而帮助办案人员发现证据【4 l 。 然而，在此后一段时间罩，由于计算机取证工具的利益驱动，使大量的研究 开发工作转向技术开发，取证理论的研究相对滞后。这样，就不能适应日益提高 的计算机犯罪水平，导致了开发的产品有效性降低。于是许多专家开始对取证 中的基本问题，如取证程序和取证标准等，进行研究，提出了许多抽象的计算机 取证模型，由美国空军研究院、美国信息战督导防御局共同资助的计算机取证 组织一一数字取证研究组( d i g i t a lf o r e n s i c sr e s e a r c hw o r k s h o p ，d f r w ) 提出的初 步的计算机取证科学基本框架，是一个比较合理的过程模型，使科技界可以对数 字取证基本理论和基本方法进一步的发展和完善【3 l 。 纵观计算机取证的历史可以发现，它随着计算机犯罪水平的提高而不断发 展，凝聚了大量科研人员的智慧。其发展过程经历了从理论到实践，再回归到理 论的过程。2 0 0 0 年以后，虽然取证基础理论日趋完备，然而面对层出不穷的新 问题，取证理论也在不断面临着新挑战。 1 2 2 国内研究现状 在国内，计算机取证工作的研究起步较晚，始于上世纪九十年代，开始主要 针对反黑客和系统入侵以及在司法实践中涉及到的电子邮件、程序代码等比较简 2 山东轻工业学院硕士学位论文 单且容易获取的电子证据。同时，由于人们在计算机犯罪案件诉讼上的意识还相 对薄弱，相关的法律法规还不够完善。 进入2 0 0 0 年后，国家相关部门高度重视计算机取证工作，在8 6 3 课题、十 一五重点项目中，都对计算机取证进行立项研究，国内高校和科研机构也分别承 担了相应课题进行攻关。研发并投入使用的产品有诸如中科院高能物理所计算中 心研制的“取证机一，可以侦探黑客的入侵手段，并提交为法庭所采信的分析报 告；厦门美雅博科技有限公司主持开发的计算机证据侦察箱。具有证据的提取、 破解、分析和恢复等功能。 关于计算机取证的会议也定期召开。如2 0 0 4 年1 1 月在北京人民警察学院召 开了首届全国计算机取证技术研讨会。2 0 0 5 年6 月，在北京市物证技术学会、 中国电子学会计算机取证专家委员会的全力支持下，两学会以玎c f a t2 0 0 5 中国 计算机取证技术峰会一为标识成功举办了首届峰会。2 0 0 6 年6 月，由中国电子 学会计算机取证专家委员会、中国防卫科技学院、北京市物证技术学会共同发起 并成功主办了c c f c 中国计算机取证技术峰会( 2 0 0 6 年会) 1 4 1 。这标志着我国的 计算机取证研究进入了一个全新的阶段。 总体说来，国内对于计算机取证的研究尚属起步阶段，在某些领域还是空白， 理论也不够成熟，技术大多来自于国外，不能很好的满足国内打击计算机犯罪的 需求。因此，必须自主开发适合我国国情的计算机取证工具，使日益增加的计算 机犯罪得到遏制，才能保护人们的合法权益不受侵害【6 】。国内开展计算机取证的 研究工作具有很大的意义。 3 第2 章计算机取证概述 第2 章计算机取证概述 2 i 计算机取证的相关概念 关于计算机取证的概念，国内外学者专家给出了很丰富的定义和说法。现列 举一些有代表性的概念： 取证专家r e i t hc l i n tm a r k 认为：计算机取证( c o m p u t e rf o r e n s i c s ) 可以认 为是“从计算机中收集和发现证据的技术和工具 。计算机取证的资深人士j u d d r o b b i n s 先生对此给出了如下定义：计算机取证不过是将计算机调查和分析技术 应用于对潜在的、有法律效力的证据的确定与获取。计算机紧急事件响应组和取 证咨询公司n e wt c c h n o l o g i c s 将其扩展为：计算机取证包括了对以磁介质编码信 息方式存储的计算机证据的保护、确认、提取和归档。孙波在其博士论文u 1 中 总结为：计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算 机软硬件技术，使用科学原则及方法在犯罪侦察过程中，按照符合法律规范的方 式，进行发现、识别、保存、重构、分析和提交计算机证据的过程。 归纳起来，作者认为：计算机取证是利用硬件或软件等计算机技术或工具， 按照合法程序，对计算机犯罪证据进行保护、提取、分析和解释的过程。 2 2 取证类型 计算机取证工作包括证据获取和证据分析两个方面【2 锄】。本文只对证据获取 技术进行研究。需要获取的证据以电子数据【2 0 4 1 】的形式存在，包括以下内容， 如图2 i 所示： 图2 1 取证内容 4 山东轻工业学院硕士学位论文 其中，主要包括两大部分内容，一是对磁盘相关数据的取证，称为离线取证 模式f 2 1 - 2 2 l ；一是对物理内存数据的取证，称为在线取证模式【2 8 】。 2 2 1 离线取证 离线取证模式是指对目标计算机系统运用各种技术手段对磁盘或其它存储 介质的数据进行提取、分析【2 3 2 4 2 5 1 ，在取证研究的早期阶段，也就是上世纪九十 年代中后期广泛采用，比如著名的e n c a s e 产品。 虽然磁盘取证提供了文件系统数据，但其有许多不足： 首先，镜像磁盘的时间随着磁盘容量的增大同比增长，造成的结果是当时间 成为取证中需要考虑的重要因素的时候，镜像大规模磁盘难以实施：第二，磁盘 镜像要求挂起系统，如果对于需要保障连续运行的系统，被中断的代价是昂贵的。 7 1 而且，很多的易失数据像当前运行的和已经终止的进程信息，打开的t c p d p 端口，活动连接，内存映射文件，诸如网页地址、密码、正在编辑的文件嘲等缓 存信息将会丢失。这些信息驻留在r a m 中，磁盘取证不可能访问到它们。更重要 的是，随着犯罪手段的提高，木马和病毒相关技术大肆泛滥，内核级别的病毒越 来越多。这些内核级别的病毒或木马有可能为运行于用户态的取证工具提供虚假 信息。如基于r o o t l d t s 的l k m ，仅仅被加载到内存中，并不修改任何磁盘中的文 件和目录信息。c o d er e d 蠕虫也是如此，这个恶意程序代码并不是以文件形式 存储，而是插入内存运行四1 。于是设法读取物理内存中的信息并进行分析成为 需要解决的关键问题。由于内存中的数据会随着系统的掉电而丢失，因此这就需 要在线取证，也称动态活数据取证。 2 2 2 在线取证 从2 0 0 5 年起，人们开始关注物理内存的获取和分析。2 0 0 5 年夏，d i 百t a j f o r e n s i cr e s e a r c hw o r k s h o p ( d f r w s ) 发布了一份名为“m e m o r ya n a l y s i s c h a l l e n g e 的有奖竞赛文件1 1 0 1 ) 引起了对物理内存镜像这一领域的讨论、研究 及相关工具的开发。这份文件提供了两个w i n d o w s2 0 0 0 的物理内存镜像样本，然 后向研究者提出了一系列关于恶意软件和非法活动的问题。如“该系统中隐藏的 进程是什么，它们是怎么被隐藏的? “从物理内存镜像中还可以获取哪些关于 入侵的证据? e 1 0 等等。c h r i sb e t z 和g e o r g eg a r n e r 以及r o b e r t j a nm o r a 给出 了详细的解答，并最终获得优胜。b e t z 在研究报告中称，他认识到简单的在内存 镜像文件中搜索字符串和其它标识符不但非常耗时，而且对提高我们的分析能力 作用很小。与其花费大量时间研究镜像文件本身，还不如考虑是否可以开发一种 更加智能的工具来分析此镜像文件。使用k d ( k e r n e ld e b u g g e r ) 和l i v e k d - i - 具，他调 试了w i n d o w s2 0 0 0s p 4 的内核。使用所调试和分析的同一台目标机的物理内存 的结果，他开发了一个程序来分析w i n d o w s2 0 0 0 物理内存镜像，确定关键的内核 第2 章计算机取证概述 结构。他开发的这个工具可以用来帮助分析w i n d o w s2 0 0 0 物理内存镜像。使用这 个工具和一个十六进制编辑器，他对所给的样本进行了分析n 。b e t z 的贡献在于 开发了重建进程链并提取进程信息的工具n 。b e t z 所开发的工具m e m p a r s e r 1 0 于次年发布。g e o r g eg a r n e r 以及r o b e r t j a nm o r a 在报告中称，他们使用k n t l i s t 工具，从活动进程链p s a c t i v e p r o c e s s l i s f l 顸序对比所给的镜像样本和从一台状态 良好并且和所给镜像同版本的机器上获取的镜像样本的进程信息，然后生成对比 结果的日志文件1 ”。他们的贡献在于开发了k n t l i s t t 具，保存完整性检查和审 计记录，解释了内存中的重要内核结构n 。 这份文件被公认为开辟了物理内存分析的新纪元，随后，此项研究逐渐发展。 a n d r e a ss c h u s t e r 在他的博客上开始用英文发布部分研究成果，也公布了各种 w i n d o w s 版本的e p r o c e s s 和e t h r e a d 结构，包括2 0 0 0 和x p 的。m a r i u s z b u r d a c h 对内存分析做出了一系列重要贡献，在b l a c k h a tf e d e r a l2 0 0 6 年会上， 他做t f i n d i n gd i g i t a le v i d e n c ei np h y s i c a lm e m o r y1 8 1 的报告，指出了反数据取证 的方法，普通的如数据隐藏、数据破坏，高级的r o o t l d t s 如r j l r 和s h a d o ww a l k e r 可以欺骗取证工具。总结了硬件和软件取证方法各自的有点和不足，阐述了l i n u x 和w i n d o w s 重要的内核结构，提出了通过分析进程重要结构，从物理内存中恢复 文件内容以及检测隐藏对象等技术。他的论文d i g 眦f o r e n s i c so ft h ep h y s i c a l m e m o r y t l 3 】，提供了分析物理内存镜像的方法，即从内存中提取有用的信息，如： 正在执行的和已经终止的进程的详细信息，然后分析重要的进程结构。另外，文 中提供的技术还可以分析用户态的隐藏进程，如用f u n c t i o nh o o k i n g 和d k o m 方法 隐藏的进程。这篇论文被认为是内存分析技术在正确方向上迈出的重要一步。然 而，他的分析是结合l u n i x 系统做出的，虽然提到了同样适合w i i i d o w s 系统，但 并没有对此做具体分析。 2 3 取证工具 正如其它科学一样，计算机取证利用特殊的工具来获取研究对象的有意义的 信息。有两种获取物理内存镜像的方法：基于硬件的和基于软件的方法。 2 3 1 基于软件的获取工具 获取物理内存镜像的常用方法是使用专用的软件工具包。软件运行后加载到 内存，进行数据获取。 ( 1 ) d dd d 是一个广泛使用的获取物理内存镜像的工具，它是一个l i n u x 下 的工具程序，通过 d e v i c e p h y s i c a lm e m o r y o b j e c t 访问物理内存，w i n d o w s 版本 的d d f l q g a r n e r “4 1 所开发。d d 依赖内核镜像功能，创建出特定的镜像结构，因 此，输出文件对于许多工具，例如w i n d o w sk e r n e ld e b u g g e r ，是可读的。其优点 6 山东轻工业学院硕士学位论文 是：运行程序不需要重启系统，也没有对服务的任何损坏。不足在于：镜像文件 与r a m 相同大小，物理内存对象在w m d o w ss e r v e r2 0 0 3s p l 下不可访问1 7 1 e ( 2 ) w i n d o w sc r a s hd u m pu a t i t yc r a s hd u m p 由于系统的不稳定性而产生。当 c r a s hd u m p 产生的时候，系统状态被冻结，物理内存和交换区的内容被拷贝到磁 盘。c r a s hd u m p 文件包括r a m 的内容和额外的调试信息。输出文件是d m p 格式， 只适用于微软的调试工具。其优点是：通过c r a s hd u m p 获取的文件是r a m 的原封 不动的拷贝。不足在于：这个格式是用来满足调试目的而不是取证目的。而且， 只有迷你镜像版本是可用的，完整的镜像不可用1 7 1 。 基于软件方案的主要不足是破坏了计算机取证证据收集过程的主要要求， 即：任何一个用户态或者内核态的数据获取工具都会改变目标系统的状态。当运 行我们加载到内存的取证工具时，它就会创建至少一个进程，有可能覆盖证据。 也就是说，通过创建新进程，操作系统的内存管理系统在内存中分配空间，可能 覆盖内存中或者交换区中的原有数据。 2 3 2 基于硬件的获取工具 在一种理想的状态下，我们可以避开操作系统，而将全部物理内存的数据镜 像到另外的存储设备中。可以挂起c p u 而通过d m a 方式传递数据。这需要使用 专用的硬件打开通信端口来复制物理内存的内容。有两种主要的实现技术： ( 1 ) t r i b b l c 这个方案使用专用的p c i 卡，p c i 卡需要在事件发生前预先安装。 这样，系统的状态在搜寻数字证据时是保存完好的。其优点是：使用简单，对系 统没有影响。不足在于：预先安装是最主要的障碍；而且，对物理内存未经授权 的访问很容易通过p c i 卡而获得。另外，也很容易被d o s 等攻击7 1 。 ( 2 ) f i r e w i r eb u s 也称i e e e1 3 9 4b u s 。其优点是：i e e e1 3 9 4b u s 在当前的系 统中是比较通用的端口。不足在于：对于一些系统配置，f i r e w i r eb u s 会产生上 部内存区( u p p e rm e m o r y a r e a ) 的问题订1 。 总体说来，基于硬件获取技术的优点是可以不经过操作系统从而避免对目标 机写数据的风险。既然基于硬件的技术需要实现安装取证卡，对大多数机器来讲 是不现实的。同时由于使用d m a 技术，使系统容易被入侵攻击。相比而言，软 件的取证方法还是比较有优势，我们可以设法控制其对内存的该变量，从而将对 内存的影响降低甚至忽略。 2 4 本文的主要工作 本文的主要工作将是研究w i n d o w s 系统下的物理内存镜像获取技术。首先研 究w i n d o w s 系统的地址空间结构和内存管理方式，进而找出使用驱动程序在获得 较高系统权限的情况下镜像物理内存的方法，并按照驱动程序开发框架开发驱动 7 第2 章计算机取证概述 程序，结合上层系统调用完成镜像工作。该技术在国内尚属领先，可以依此思想 针对手机等其它系统开发相应的取证工具。 2 5 本章小结 本章阐述了计算机取证的概念，提出计算机取证模式主要可分为离线取证模 式和在线取证模式，并对两种模式的特点进行了分析，为把握计算机取证研究的 j f 确发展方向建立了一定的基础。之后介绍了在线取证使用的工具，并比较了各 自的优点和不足。最后介绍了本文的主要研究工作。 8 山东轻工业学院硕士学位论文 第3 章w i n d o w s 内存地址空间映射关系的研究 在w i n d o w s 环境下对物理内存取证，就要把当前时刻的物理内存信息镜像 出来，然后，对此物理内存镜像进行分析，查找出可疑的或隐藏的进程信息。要 操作内存，必须深刻理解w m d o w s 的内存管理机制。w m d o w s 环境下，内存管 理是基于页目录和页表的方式，进程从各自的虚拟地址空间映射到共同的物理地 址空间。 首先要搞清进程的虚拟地址空间分布。每个进程有4 ( 3 的虚拟地址空间，如 此大的空间怎样划分；进程对此空间的使用是否遵循某种规范；如果同时运行多 个进程，虚拟空间是否有重叠等等，这些都是需要研究的问题。 其次，进程的虚拟地址由c p u 的m m u 部件自动映射到物理内存中去，研 究物理内存，必须了解虚拟地址空间和物理地址空间的对应关系。一直以来，大 量的相关文献对虚拟地址空间的转换，都依赖微软所颁布的文件，以虚拟地址空 间的观点来解释虚拟地址转换的过程。如系统空间由所有进程共享，而任何时刻 的用户空间都只能显示一份。一旦遵循这种思考模式，将落入单一虚拟地址空间 的陷阱，这样的描述，无法说明任意进程的虚拟地址，如何映射到物理地址空间 中。因此本文使用进程和物理内存的观点来研究地址变换，清晰的说明了任意进 程的虚拟地址空间如何在物理地址空间中定位。 3 1 进程虚拟地址空间概述 地址空间是指处理器可以访问的或为进程保留的一系列物理或虚拟地址。在 w i n d o w s 系统中，每个进程都被分配一个地址空间。对于3 2 位进程来说，2 的 3 2 次幂大小是4 ( 3 。3 2 位指针可以指向从0 x 0 0 0 0 0 0 0 0 - o x f f f f 唧的任何一个 值，即4 ，2 9 4 ，9 6 7 ，2 9 6 个值中的一个值。每个进程都拥有4 ( 3 的地址空间，而 w i n d o w s 系统会并发许多进程，那么整个地址空间将是巨大的。即使只有一个进 程，那么实际的内存往往也不到1 g ，仍然不能满足进程的需要。因此，这个4 ( 3 的地址空间是虚拟地址空间，也就是说由w i n d o w s 分配，但不依赖于具体硬件。 每个进程拥有的4 g 虚拟地址空间是私有的，里面包括本进程所需要的各种系统 资源。进程中的线程只能访问本进程的地址空间。 进程的4 g 虚拟地址空间经过地址变换，映射到物理内存上。这样，每个进 程的地址空间内可以使用相同的虚拟地址，它们经过地址变换后，映射到不同的 物理地址上。实际上，每个进程的内部数据结构如页目录、页表等，都是使用相 9 第3 章f f i n d o w s 内存地址空间映射关系的研究 同的虚拟地址。这样，方便了高层的使用。这些相同的虚拟地址经过地址变换， 映射到不同物理地址上，这是由操作系统完成的，对高层透明。当然，要深入了 解w i n d o w s 操作系统，还需要掌握此地址变换过程，本文将在随后论述。 在w i n d o w s 系统中，一个进程的4 g 空间被分为两个主要部分，低2 g 是用 户空间( a p p l i c a t i o ns p a c e ) ，从o x 0 0 0 0 0 0 0 0 0 x 7 f f f f f f f ，高2 g 是系统空间( s y s t e m s p a c e ) ，从o x 8 0 0 0 0 0 0 0 0 x f f f f f f f f 。如图3 1 所示。 ； u n i q u ep e r p r o c e s s a c c e s s i b l el n u s r o r k e r n = = lm o d e 阡f f f f f f - i p rp r o c e s s 。 a c c e s s i b l e o n l yi n ， k e m e lm o d e 钳夕、 s y s t e mw i d e ， a c c e s s i b l e o n l yi nk e r n e l m o d e f 坪f f 嬷t a d dr e s ss p a c e s h 一 i ，e x e c ；k e r n e l ； i 也，d r i v e r s ，p 蟛 j 吐l 列嘲一。k e r n e t 一i 鼻。：m o 抽s t a c k s ； 羹r w i n 3 2 k s y 鬈； p r o m mp a g e - b 翻l es y s t e mc a c h e , * i p a g e dp o o l ln o n _ l ，t p a e dp o 醇 2g bp e r - p r o c e s s a d d r e s ss p a c eo fo n e p r o c e s si s n o td i r e c t l y r e e c h a b | ef r o m o t h e rp r o c e s s e s 2g bs 掇埝国蜘a q 一1 1 1 eo p e r a t i n gs y s t e mi s l o e d e dh e 噜a n da p p e a r si 1 1 e v e r yp r o c e s s 。8a d d h b e s p a c e t h e r e1 81 1 0p m c e s sf o r t h e o p c r a t i n gs y s t e m 。( t h o u g h t h e r ea r ep m c e s s e st h a td o t h i n g sf o r ：t h eo s 。 m o r eo rl e s si n 。b a c k g r o u n d ) 图3 1 虚拟地址空间分布 用户空间存放的是各进程的代码和私有的资料等，系统空间存放的是操作系 统的核心和驱动程序等。如果继续细分，每一块区域的作用大致如下： * 0 0 0 0 0 0 0 0 0 0 0 0 f f f f 保护区域。访问此区域会引发异常。被用于检测n u l l 指针。 * o o x x 0 0 0 0 通常，应用程序加载在这样的地址上。 * 7 0 0 0 0 0 0 0 7 8 0 0 0 0 0 0w m 3 2 子系统的库通常映射到这里。 * 7 f f b 0 0 0 0 7 f f d 3 f f f 代码页。 * 7 f f d e 0 0 0 7 f f d e f f f 用户模式的t h r e a de n v i r o n m e n tb l o c k 。 * t f f d f 0 0 0 7 f f d f