一种基于物理内存分析的远程取证系统

摘要

本发明提供一种基于物理内存分析的远程取证系统，其特征在于，包括：客户端：镜像客户端的物理内存，并存储到本地，并对镜像文件做hash值计算，然后调用物理内存分析行程序分析此镜像文件，将分析结果和镜像文件一起发送到服务端；服务端：侦听客户端，若有客户端连接请求，则发送客户端固定字符串，主要收集客户端的物理内存镜像文件和对应的镜像文件分析结果，服务端采取多线程，能同时收集若干个客户端的物理内存镜像文件和内存分析结果信息，并将内存分析结果存储到数据库；另一方面，与远程控制端建立连接，主要是向远程控制端发送客户端的日志信息，根据远程控制端的检索条件，从数据库中查找符合条件的检索信息。

主权项

一种基于物理内存分析的远程取证系统，其特征在于，包括：客户端：镜像客户端的物理内存，并存储到本地，并对镜像文件做hash值计算，然后调用物理内存分析命令行程序分析此镜像文件，将分析结果和镜像文件一起发送到服务端；服务端：侦听客户端，若有客户端连接请求，服务端连接确认，连接成功，服务端收到客户端发来的开始发送信息的标示字符串，则开始接收客户端信息，主要收集客户端的物理内存镜像文件和对应的镜像文件分析结果，服务端采取多线程，能同时收集若干个客户端的物理内存镜像文件和内存分析结果信息，并将内存分析结果存储到hadoop hive数据库；另一方面，与远程控制端建立连接，主要是向远程控制端发送客户端的日志信息，根据远程控制端的检索条件，从hadoop hive数据库中查找符合条件的检索信息，发送到远程控制端进行展示；远程控制端：主要管理服务端，通过远程管理服务来获取客户端的信息，并对客户端的日志信息进行展示，还有检索的功能，用户根据关键词可以获取到客户端的内存镜像分析结果，并提供导出功能，把检索结果和内存分析结果导出，便于取证人员进一步分析；所述客户端包括：客户端通讯模块：建立与服务端之间的通讯，进行文件的传输；客户端日志文件模块：通过调用EventLog.exe命令行程序，获取客户端主机的系统日志、安全日志、应用程序日志；客户端物理内存镜像模块：调用MemDump驱动程序，镜像客户端主机的物理内存，流程，加载驱动，创建服务、打开服务、加载驱动，镜像物理内存、卸载驱动；客户端物理内存分析模块：打开镜像的物理内存文件，分析出关键的客户端主机基本信息、注册表信息、邮箱账户、即时通讯账户信息、BIOS密码、硬盘加密密码和网络提交表单、网络信息、 系统日志信息、登录信息、进程信息、驱动信息、hook信息并暂时存储到本地；客户端传输模块：传输物理内存文件、物理内存分析结果文件、系统日志文件；客户端存储模块：将要传输的物理内存文件、物理内存分析结果、系统日志文件暂时存储到本地。