一種計(jì)算機(jī)取證裝置及取證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種取證系統(tǒng)�����,尤其涉及一種計(jì)算機(jī)取證裝置及取證方法。
【背景技術(shù)】
[0002]現(xiàn)階段實(shí)時(shí)計(jì)算機(jī)取證的手段主要包括兩種���,第一種是通過(guò)硬盤拷貝進(jìn)行取證�����,主要的產(chǎn)品有Logicube公司的計(jì)算機(jī)取證產(chǎn)品Dossier、Quest_2,達(dá)思萬(wàn)能數(shù)據(jù)恢復(fù)系統(tǒng)(DST Almighty Data Recovery System,簡(jiǎn)稱D-ARS)等��;第二種是采用入侵植入軟件的方式進(jìn)行取證��,類似于病毒對(duì)計(jì)算機(jī)的運(yùn)行痕跡進(jìn)行保存����。硬盤拷貝取證系統(tǒng)需要被取證對(duì)象的配合,能動(dòng)性不強(qiáng)���,軟件取證方式會(huì)影響計(jì)算機(jī)進(jìn)程�����,容易被檢測(cè)查殺�。
[0003]因此,現(xiàn)有技術(shù)存在缺陷�。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,本發(fā)明提供一種計(jì)算機(jī)取證裝置及取證方法���,能主動(dòng)�����、實(shí)時(shí)的實(shí)現(xiàn)對(duì)計(jì)算機(jī)內(nèi)存實(shí)現(xiàn)取證���,解決現(xiàn)有技術(shù)中取證存在的問(wèn)題。
[0005]為實(shí)現(xiàn)上述目的���,本發(fā)明提供的技術(shù)方案是:一種計(jì)算機(jī)取證裝置��,包括:讀寫(xiě)模塊:用于讀寫(xiě)計(jì)算機(jī)的內(nèi)存數(shù)據(jù)�����;處理模塊:用于對(duì)讀寫(xiě)到的數(shù)據(jù)進(jìn)行相關(guān)處理��;比對(duì)模塊:用于對(duì)處理過(guò)的數(shù)據(jù)進(jìn)行比對(duì)判斷�����;修改模塊:用于對(duì)經(jīng)過(guò)判斷的數(shù)據(jù)進(jìn)行修改�����。
[0006]依照本發(fā)明的一個(gè)方面����,所述處理模塊包括格式轉(zhuǎn)換部,用于將讀取到的內(nèi)存數(shù)據(jù)進(jìn)行格式轉(zhuǎn)換�����,以便于其他模塊對(duì)其進(jìn)行比對(duì)修改��。
[0007]依照本發(fā)明的一個(gè)方面���,所述計(jì)算機(jī)取證系統(tǒng)還包括用于傳輸相關(guān)指令和數(shù)據(jù)的傳輸模塊以及用于發(fā)送指令的指令模塊。
[0008]依照本發(fā)明的一個(gè)方面���,所述讀寫(xiě)模塊��、傳輸模塊設(shè)置為1394接口�。
[0009]依照本發(fā)明的一個(gè)方面�,所述1394接口通過(guò)PCI或PC1-E接口與計(jì)算機(jī)相連接�����。
[0010]依照本發(fā)明的一個(gè)方面���,所述處理模塊、比對(duì)模塊��、修改模塊以及指令模塊設(shè)置為FPGA主控芯片�。
[0011]依照本發(fā)明的一個(gè)方面,一種計(jì)算機(jī)取證方法���,所述取證方法包括以下步驟:
[0012]讀取計(jì)算機(jī)內(nèi)存數(shù)據(jù)���;
[0013]對(duì)內(nèi)存數(shù)據(jù)進(jìn)行分析和比對(duì);
[0014]判斷讀取到的內(nèi)存數(shù)據(jù)是否為關(guān)鍵數(shù)據(jù)�����;
[0015]判斷是關(guān)鍵數(shù)據(jù)����,修改關(guān)鍵位并啟動(dòng)1394接口,將修改后數(shù)據(jù)寫(xiě)入計(jì)算機(jī)內(nèi)存,完成內(nèi)存的修改���,實(shí)現(xiàn)硬件取證代碼的植入��。
[0016]依照本發(fā)明的一個(gè)方面����,所述1394接口通過(guò)PCI或PC1-E接口實(shí)現(xiàn)對(duì)計(jì)算機(jī)內(nèi)存數(shù)據(jù)的讀取����。
[0017]依照本發(fā)明的一個(gè)方面,所述對(duì)內(nèi)存數(shù)據(jù)進(jìn)行分析和比對(duì)是通過(guò)FPGA實(shí)現(xiàn)的���,其對(duì)數(shù)據(jù)的分析是實(shí)時(shí)的�。
[0018]依照本發(fā)明的一個(gè)方面�,所述FPGA對(duì)內(nèi)存的實(shí)時(shí)分析的結(jié)果�,能及時(shí)通過(guò)FPGA產(chǎn)生相應(yīng)的內(nèi)存修改數(shù)據(jù),對(duì)一些計(jì)算機(jī)的非法操作進(jìn)行禁止或中斷�。
[0019]本發(fā)明的有益效果是:
[0020]不需要被取證對(duì)象的配合,能夠自動(dòng)取證���。能夠保存歷史數(shù)據(jù)�����,防止被取證對(duì)象對(duì)證據(jù)的刪除等處理����。實(shí)時(shí)性高,能夠在計(jì)算機(jī)運(yùn)行的時(shí)候?qū)崟r(shí)取證�����,而不是事后取證��。
【附圖說(shuō)明】
[0021]圖1是本發(fā)明一種計(jì)算機(jī)取證裝置及取證方法中取證過(guò)程的流程圖����;
[0022]圖2是本發(fā)明中一種計(jì)算機(jī)取證裝置及取證方法中1394接口的工作流程圖。
【具體實(shí)施方式】
[0023]下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述�����,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例�����?�;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍�����。
[0024]一種計(jì)算機(jī)取證裝置�����,包括:讀寫(xiě)模塊:用于讀寫(xiě)計(jì)算機(jī)的內(nèi)存數(shù)據(jù)�����;處理模塊:用于對(duì)讀寫(xiě)到的數(shù)據(jù)進(jìn)行相關(guān)處理��;比對(duì)模塊:用于對(duì)處理過(guò)的數(shù)據(jù)進(jìn)行比對(duì)判斷���;修改模塊:用于對(duì)經(jīng)過(guò)判斷的數(shù)據(jù)進(jìn)行修改����。所述處理模塊包括格式轉(zhuǎn)換部����,用于將讀取到的內(nèi)存數(shù)據(jù)進(jìn)行格式轉(zhuǎn)換,以便于其他模塊對(duì)其進(jìn)行比對(duì)修改���。所述計(jì)算機(jī)取證系統(tǒng)包括用于傳輸相關(guān)指令和數(shù)據(jù)的傳輸模塊����,所述計(jì)算機(jī)取證系統(tǒng)還包括指令模塊���,該模塊將相應(yīng)的讀寫(xiě)指令發(fā)送給讀寫(xiě)模塊��,將相應(yīng)的傳輸指令發(fā)送給傳輸模塊�����。
[0025]所述讀寫(xiě)模塊���、傳輸模塊設(shè)置為1394接口�,所述1394接口通過(guò)PCI或PC1-E接口與計(jì)算機(jī)相連接��。由于1394總線的高速性和其獨(dú)立于主機(jī)的操作能力����,較之USB、RS232�、RS485等總線有明顯優(yōu)勢(shì),所以本系統(tǒng)采用1394總線方式作為硬件入侵的總線方式����。1394接口不需要電腦控制,也不需要HUB���,僅利用網(wǎng)橋即可實(shí)現(xiàn)互聯(lián)���,并且理論上可以達(dá)到無(wú)限級(jí)聯(lián);其傳輸速率最高可達(dá)lGb/s以上�。由于計(jì)算機(jī)特別是臺(tái)式機(jī)一般沒(méi)有1394接口,所以將1394接口通過(guò)PCI接口與計(jì)算機(jī)相連接���。通過(guò)1394接口讀取計(jì)算機(jī)的內(nèi)存��,并對(duì)內(nèi)存進(jìn)行分析��、比對(duì)�����,找到需要修改的關(guān)鍵信息��,修改后寫(xiě)入內(nèi)存中����,從而實(shí)現(xiàn)硬件取證�。
[0026]所述處理模塊、比對(duì)模塊���、修改模塊以及指令模塊設(shè)置為FPGA主控芯片�?����?删幊踢壿嬯嚵蠪PGA器件對(duì)讀取的內(nèi)存數(shù)據(jù)進(jìn)行實(shí)時(shí)的分析�����,能夠?qū)崟r(shí)發(fā)現(xiàn)和取證計(jì)算機(jī)的內(nèi)存數(shù)據(jù);FPGA器件具有速度快�、并行處理能力強(qiáng)、分析能力強(qiáng)��、可靠性高的優(yōu)點(diǎn)�����,在對(duì)1394協(xié)議進(jìn)行控制的同時(shí)����,能夠快速、實(shí)時(shí)實(shí)現(xiàn)所讀取的內(nèi)存數(shù)據(jù)的分析���。
[0027]一種計(jì)算機(jī)取證方法����,所述取證方法包括以下過(guò)程:
[0028]步驟S1:讀取計(jì)算機(jī)內(nèi)存數(shù)據(jù)�����;
[0029]所述1394接口通過(guò)PCI或PC1-E接口實(shí)現(xiàn)對(duì)計(jì)算機(jī)內(nèi)存數(shù)據(jù)的讀取。由于計(jì)算機(jī)特別是臺(tái)式機(jī)一般沒(méi)有1394接口���,所以將1394接口通過(guò)PCI接口與計(jì)算機(jī)相連接�。
[0030]步驟S2:對(duì)內(nèi)存數(shù)據(jù)進(jìn)行分析和比對(duì)����;
[0031]所述對(duì)內(nèi)存數(shù)據(jù)進(jìn)行分析和比對(duì)是通過(guò)FPGA實(shí)現(xiàn)的���,其對(duì)數(shù)據(jù)的分析是實(shí)時(shí)的��。采用現(xiàn)場(chǎng)可編程邏輯陣列FPGA器件對(duì)讀取的內(nèi)存數(shù)據(jù)進(jìn)行實(shí)時(shí)的分析���,能夠?qū)崟r(shí)發(fā)現(xiàn)和取證計(jì)算機(jī)的內(nèi)存數(shù)據(jù);FPGA器件具有速度快���、并行處理能力強(qiáng)��、分析能力強(qiáng)�、可靠性高的優(yōu)點(diǎn)�����,在對(duì)1394協(xié)議進(jìn)行控制的同時(shí)���,能夠快速�����、實(shí)時(shí)實(shí)現(xiàn)所讀取的內(nèi)存數(shù)據(jù)的分析�。
[0032]步驟S3:判斷讀取到的內(nèi)存數(shù)據(jù)是否為關(guān)鍵數(shù)據(jù);
[0033]所述對(duì)內(nèi)存數(shù)據(jù)進(jìn)行分析和比對(duì)是通過(guò)FPGA實(shí)現(xiàn)的���,其對(duì)數(shù)據(jù)的分析是實(shí)時(shí)的��。能夠通過(guò)