本發(fā)明涉及虛擬取證，具體為一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證方法及系統(tǒng)。

背景技術(shù)：

1、隨著云服務(wù)器技術(shù)大力發(fā)展，目前很多服務(wù)器都部署到云平臺(tái)上。目前市面上的大部分取證技術(shù)需要在取證之前提前獲取云平臺(tái)賬號(hào)、密碼等相關(guān)憑證信息，并妥善保存。在需要進(jìn)行取證時(shí)，可以使用這些憑證信息登錄云控制臺(tái)，以便開(kāi)啟指定虛擬防火墻對(duì)應(yīng)的端口號(hào)，保證網(wǎng)絡(luò)監(jiān)聽(tīng)程序正常啟用并流量正常接收；又或者是手動(dòng)拷貝指定程序到目標(biāo)服務(wù)器上，固定完畢后，再手動(dòng)通過(guò)相關(guān)工具拷貝證據(jù)到本地；也有一些技術(shù)選擇通過(guò)代理方式(包含云廠商提供的api接口)，將目標(biāo)服務(wù)器數(shù)據(jù)主動(dòng)推送到代理服務(wù)器，由代理服務(wù)器再將數(shù)據(jù)推送給取證設(shè)備。

2、在云平臺(tái)取證過(guò)程中，發(fā)現(xiàn)當(dāng)對(duì)云平臺(tái)服務(wù)器進(jìn)行勘查時(shí)，如果需要手動(dòng)拷貝程序到云服務(wù)器上并啟動(dòng)相應(yīng)程序進(jìn)行端口監(jiān)聽(tīng)，可能會(huì)遇到云控制臺(tái)安全規(guī)則的限制，導(dǎo)致無(wú)法正常接收客戶(hù)端連接數(shù)據(jù)。此時(shí)，一線(xiàn)辦案人員可以嘗試獲取云控制臺(tái)網(wǎng)頁(yè)端登錄信息，從而開(kāi)啟指定虛擬防火墻對(duì)應(yīng)的端口號(hào)，保證網(wǎng)絡(luò)監(jiān)聽(tīng)程序正常啟用并流量正常接收。但是，在現(xiàn)場(chǎng)審判中獲取云控制臺(tái)賬號(hào)信息并不總是可行的，這會(huì)給取證帶來(lái)一定的技術(shù)難點(diǎn)。

3、在無(wú)法獲取云控制臺(tái)賬號(hào)信息的情況下，辦案人員只能通過(guò)手動(dòng)拷貝方式對(duì)核心數(shù)據(jù)進(jìn)行拷貝，可能會(huì)導(dǎo)致數(shù)據(jù)不全，辦案效率低等問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)以上不足，我們提出了一種繞過(guò)云平臺(tái)虛擬防火墻的快速取證方法，具有以下優(yōu)勢(shì):

2、1.自動(dòng)化將云服務(wù)器依賴(lài)程序推送:無(wú)需手動(dòng)拷貝程序到指定目標(biāo)服務(wù)器，且提取過(guò)程中無(wú)需人工干預(yù)。

3、2.無(wú)需借助第三方服務(wù)器(代理服務(wù)器)，直接取證設(shè)備到目標(biāo)服務(wù)器直連固定。

4、3.無(wú)需登錄到云控制臺(tái)開(kāi)啟指定的網(wǎng)絡(luò)安全規(guī)則，即可對(duì)云服務(wù)端的服務(wù)器進(jìn)行提取固定。

5、根據(jù)本發(fā)明的一方面，提出了一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證方法，包括以下步驟：

6、s1，獲取云服務(wù)器信息，與所述云服務(wù)器進(jìn)行網(wǎng)絡(luò)連通；

7、s2，取證設(shè)備端通過(guò)預(yù)制內(nèi)存掛載和磁盤(pán)文件掛載的方式掛載到所述云服務(wù)器上，創(chuàng)建內(nèi)存掛載模塊、掛載文件和占位標(biāo)記；

8、s3，所述取證設(shè)備端將模擬程序發(fā)送到所述云服務(wù)器上，所述模擬程序拷貝解壓所述云服務(wù)器運(yùn)行的目標(biāo)程序，并檢測(cè)所述占位標(biāo)記的狀態(tài)，根據(jù)所述占位標(biāo)記的狀態(tài)，提取所述目標(biāo)程序產(chǎn)生的目標(biāo)數(shù)據(jù)。

9、優(yōu)選的，s1中所述獲取云服務(wù)器信息，與所述云服務(wù)器進(jìn)行網(wǎng)絡(luò)連通，具體包括，獲取所述云服務(wù)器的服務(wù)器地址、登錄賬號(hào)、登錄端口，通過(guò)輸入所述云服務(wù)器的登錄密碼或配置所述云服務(wù)器的密鑰與所述云服務(wù)器進(jìn)行網(wǎng)絡(luò)連通。

10、優(yōu)選的，s3中，占位標(biāo)記所記錄實(shí)際占用內(nèi)存大小，基于所述占位標(biāo)記所記錄的實(shí)際占用內(nèi)存大小將所述占位標(biāo)記的狀態(tài)分為未寫(xiě)入數(shù)據(jù)狀態(tài)、待定數(shù)據(jù)讀取狀態(tài)和數(shù)據(jù)讀取完成狀態(tài)。

11、進(jìn)一步優(yōu)選的，所述內(nèi)存掛載模塊根據(jù)所述云服務(wù)器上業(yè)務(wù)模塊的不同進(jìn)行不同索引標(biāo)記，包括網(wǎng)絡(luò)實(shí)時(shí)模塊索引標(biāo)記、系統(tǒng)信息模塊索引標(biāo)記、網(wǎng)絡(luò)模塊索引標(biāo)記、網(wǎng)站模塊索引標(biāo)記、文件下載模塊索引標(biāo)記、鏡像制作模塊索引標(biāo)記、二次分析模塊索引標(biāo)記。

12、更進(jìn)一步優(yōu)選的，s3具體包括：

13、s31，所述模擬程序通過(guò)模擬復(fù)制將所述云服務(wù)器運(yùn)行的程序自動(dòng)拷貝到目標(biāo)服務(wù)器，并解壓到指定位置；

14、s32，所述云服務(wù)端啟動(dòng)所述目標(biāo)程序后，所述模擬程序到所述指定位置讀取所述目標(biāo)數(shù)據(jù)，并將所述目標(biāo)數(shù)據(jù)返回到所述內(nèi)存掛載模塊，更新對(duì)應(yīng)的占位標(biāo)記，并根據(jù)所述索引標(biāo)記寫(xiě)入對(duì)應(yīng)的模塊中，然后加密并同步到所述掛載文件中；

15、s33，所述取證設(shè)備端對(duì)所述掛載文件中的目標(biāo)數(shù)據(jù)進(jìn)行解密，并讀取所述占位標(biāo)記的狀態(tài)，當(dāng)所述占位標(biāo)記的狀態(tài)為待定讀取數(shù)據(jù)，立即提取所述目標(biāo)數(shù)據(jù)。

16、更進(jìn)一步優(yōu)選的，s32中將所述目標(biāo)數(shù)據(jù)根據(jù)所述索引標(biāo)記寫(xiě)入對(duì)應(yīng)的模塊時(shí)，通過(guò)所述取證設(shè)備端的公鑰對(duì)所述目標(biāo)數(shù)據(jù)進(jìn)行加密，并計(jì)算對(duì)應(yīng)的哈希摘要值，得到原始哈希摘要值，將加密后的目標(biāo)數(shù)據(jù)和所述原始哈希摘要值同步到所述掛載文件中。

17、更進(jìn)一步優(yōu)選的，s33中所述取證設(shè)備端對(duì)所述掛載文件中的目標(biāo)數(shù)據(jù)進(jìn)行解密，具體包括，通過(guò)所述取證設(shè)備端的私鑰解密所述掛載文件中的目標(biāo)數(shù)據(jù)進(jìn)行解密，并再次計(jì)算所述目標(biāo)數(shù)據(jù)的哈希摘要值與所述原始哈希摘要值進(jìn)行對(duì)比，確認(rèn)所述目標(biāo)數(shù)據(jù)的完整性。

18、根據(jù)本發(fā)明的一方面，提出了一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證系統(tǒng)，包括以下模塊：

19、網(wǎng)絡(luò)連通模塊：獲取云服務(wù)器信息，與所述云服務(wù)器進(jìn)行網(wǎng)絡(luò)連通；

20、掛載模塊：取證設(shè)備端通過(guò)預(yù)制內(nèi)存掛載和磁盤(pán)文件掛載的方式掛載到所述云服務(wù)器上，創(chuàng)建內(nèi)存掛載模塊、掛載文件和占位標(biāo)記；

21、模擬提取模塊：所述取證設(shè)備端將模擬程序發(fā)送到所述云服務(wù)器上，所述模擬程序拷貝解壓所述云服務(wù)器運(yùn)行的目標(biāo)程序，并檢測(cè)所述占位標(biāo)記的狀態(tài)，根據(jù)所述占位標(biāo)記的狀態(tài)，提取所述目標(biāo)程序產(chǎn)生的目標(biāo)數(shù)據(jù)。

22、根據(jù)本發(fā)明的一方面，提出了一種計(jì)算機(jī)程序產(chǎn)品，其上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序在被處理器執(zhí)行時(shí)實(shí)施如第一方面任一項(xiàng)所述的方法。

23、本發(fā)明通過(guò)如上完整步驟操作，用戶(hù)在提取固定過(guò)程中完全實(shí)現(xiàn)繞過(guò)端口限制實(shí)現(xiàn)自動(dòng)化的網(wǎng)絡(luò)數(shù)據(jù)固定。解決云端目標(biāo)服務(wù)器采用手動(dòng)拷貝+開(kāi)啟指定端口問(wèn)題。

24、本發(fā)明的有益之處在于：

25、基于預(yù)制內(nèi)存掛載及文件掛載的方法，為無(wú)法直接通過(guò)基礎(chǔ)網(wǎng)絡(luò)通訊的目標(biāo)服務(wù)器構(gòu)建出一條自定義格式的加密數(shù)據(jù)中轉(zhuǎn)通道，取證設(shè)備及云服務(wù)器上取證服務(wù)進(jìn)程共同維護(hù)操作。通過(guò)預(yù)制內(nèi)存實(shí)現(xiàn)云端采集數(shù)據(jù)的緩存，通過(guò)內(nèi)存占位符標(biāo)記，方便快速索引采集數(shù)據(jù)，并同步加密寫(xiě)入到掛載文件中。取證設(shè)備端通過(guò)實(shí)時(shí)讀取掛載本地文件數(shù)據(jù)，解密文件內(nèi)容數(shù)據(jù)，獲取到遠(yuǎn)程目標(biāo)機(jī)采集數(shù)據(jù)，也會(huì)利用掛載文件通道設(shè)定指令，聯(lián)動(dòng)云服務(wù)器上取證服務(wù)進(jìn)程工作。以此定制出基于文件掛載的數(shù)據(jù)傳輸通道，實(shí)現(xiàn)繞過(guò)防火墻隔離的高效取證。

26、其次采用模擬技術(shù)實(shí)現(xiàn)用戶(hù)行為，實(shí)現(xiàn)自動(dòng)拷貝進(jìn)程、自動(dòng)啟動(dòng)進(jìn)程、自動(dòng)觸發(fā)事件等行為實(shí)現(xiàn)一鍵式部署提取，實(shí)現(xiàn)全流程的自動(dòng)化。通過(guò)如上繞過(guò)網(wǎng)絡(luò)端口限制技術(shù)方案，解決云平臺(tái)下無(wú)法直接提取數(shù)據(jù)問(wèn)題。

27、最后通過(guò)結(jié)合加密算法和哈希摘要值、占位標(biāo)記的狀態(tài)確保取證過(guò)程中所獲取的目標(biāo)數(shù)據(jù)的安全性和完整性。

技術(shù)特征：

1.一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證方法，其特征在于，包括以下步驟：

2.根據(jù)權(quán)利要求1所述的一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證方法，其特征在于，s1中所述獲取云服務(wù)器信息，與所述云服務(wù)器進(jìn)行網(wǎng)絡(luò)連通，具體包括，獲取所述云服務(wù)器的服務(wù)器地址、登錄賬號(hào)、登錄端口，通過(guò)輸入所述云服務(wù)器的登錄密碼或配置所述云服務(wù)器的密鑰與所述云服務(wù)器進(jìn)行網(wǎng)絡(luò)連通。

3.根據(jù)權(quán)利要求1所述的一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證方法，其特征在于，s2中，所述占位標(biāo)記記錄實(shí)際占用內(nèi)存大小，基于所述占位標(biāo)記記錄的實(shí)際占用內(nèi)存大小將所述占位標(biāo)記的狀態(tài)分為未寫(xiě)入數(shù)據(jù)狀態(tài)、待定數(shù)據(jù)讀取狀態(tài)和數(shù)據(jù)讀取完成狀態(tài)。

4.根據(jù)權(quán)利要求3所述的一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證方法，其特征在于，所述內(nèi)存掛載模塊根據(jù)所述云服務(wù)器上業(yè)務(wù)模塊的不同進(jìn)行不同索引標(biāo)記，包括網(wǎng)絡(luò)實(shí)時(shí)模塊索引標(biāo)記、系統(tǒng)信息模塊索引標(biāo)記、網(wǎng)絡(luò)模塊索引標(biāo)記、網(wǎng)站模塊索引標(biāo)記、文件下載模塊索引標(biāo)記、鏡像制作模塊索引標(biāo)記、二次分析模塊索引標(biāo)記。

5.根據(jù)權(quán)利要求4所述的一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證方法，其特征在于，s3具體包括，

6.根據(jù)權(quán)利要求5所述的一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證方法，其特征在于，s32中將所述目標(biāo)數(shù)據(jù)根據(jù)所述索引標(biāo)記寫(xiě)入對(duì)應(yīng)的模塊時(shí)，通過(guò)所述取證設(shè)備端的公鑰對(duì)所述目標(biāo)數(shù)據(jù)進(jìn)行加密，并計(jì)算對(duì)應(yīng)的哈希摘要值，得到原始哈希摘要值，將加密后的目標(biāo)數(shù)據(jù)和所述原始哈希摘要值同步到所述掛載文件中。

7.根據(jù)權(quán)利要求6所述的一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證方法，其特征在于，s33中所述取證設(shè)備端對(duì)所述掛載文件中的目標(biāo)數(shù)據(jù)進(jìn)行解密，具體包括，通過(guò)所述取證設(shè)備端的私鑰解密所述掛載文件中的目標(biāo)數(shù)據(jù)進(jìn)行解密，并再次計(jì)算所述目標(biāo)數(shù)據(jù)的哈希摘要值與所述原始哈希摘要值進(jìn)行對(duì)比，確認(rèn)所述目標(biāo)數(shù)據(jù)的完整性。

8.一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證系統(tǒng)，其特征在于，包括以下模塊：

9.一種計(jì)算機(jī)程序產(chǎn)品，其上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序在被處理器執(zhí)行時(shí)實(shí)施如權(quán)利要求1-7中任一項(xiàng)所述的方法。

10.一種計(jì)算系統(tǒng)，包括處理器和存儲(chǔ)器，所述處理器被配置為執(zhí)行如權(quán)利要求1-7中任一項(xiàng)所述的方法。

技術(shù)總結(jié)
公開(kāi)了一種繞過(guò)云平臺(tái)虛擬防火墻的模擬取證方法及系統(tǒng)，該方法包括以下步驟：S1，獲取云服務(wù)器信息，與所述云服務(wù)器進(jìn)行網(wǎng)絡(luò)連通；S2，取證設(shè)備端通過(guò)預(yù)制內(nèi)存掛載和磁盤(pán)文件掛載的方式掛載到所述云服務(wù)器上，創(chuàng)建內(nèi)存掛載模塊、掛載文件和占位標(biāo)記；S3，所述取證設(shè)備端將模擬程序發(fā)送到所述云服務(wù)器上，所述模擬程序拷貝解壓所述云服務(wù)器運(yùn)行的目標(biāo)程序，并檢測(cè)所述占位標(biāo)記的狀態(tài)，根據(jù)所述占位標(biāo)記的狀態(tài)，提取所述目標(biāo)程序產(chǎn)生的目標(biāo)數(shù)據(jù)。

技術(shù)研發(fā)人員：林志瑋,孫政偉,曾梅月,李向林
受保護(hù)的技術(shù)使用者：廈門(mén)市美亞柏科信息安全研究所有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/4/24