一种面向物联网设备的用户数据深层取证分析方法及系统

1.本发明涉及物联网设备取证分析领域，尤其涉及一种面向物联网设备的用户数据深层取证分析方法及系统。


背景技术：

2.数字取证(digital forensics)是将科学调查技术应用于打击数字犯罪的一门学问。早在20世纪70年代，执法机构中的数字取证先驱者开始将取证技术应用于计算机和高科技设备。此后，数字取证在打击涉黄、涉暴、涉恐势力方面发挥着越来越重要的作用。例如，近年来世界各国利用大量数字证据查处了多个在线犯罪团伙；在信息化数字化战争中，军队经常通过分析敌方的笔记本电脑和手机提取情报。
3.目前，现有的数字取证技术和工具多是面向计算机和手机设计的，仍缺少面向物联网设备的数字取证技术和工具。作为物联网系统的神经末梢，海量智能设备是连接现实世界和数字世界的关键节点，承担着数据精准采集和边缘计算等重要任务。为了维护正常的设备功能、提高服务质量以及实现许多其他目标，摄像头、路由器、机顶盒等各类智能终端设备在运行过程中会收集各类用户信息，例如用户画像、第三方账户、用户浏览历史等。随着物联网技术的发展，各类物联网设备收集和存储的用户信息越来越多样和丰富。这些存储在物联网设备中的用户数据也是取证调查的重要依据。例如，网络摄像头拍摄和记录的音视频内容可以成为刑侦调查的重要线索；路由器中存储的用户连接无线网络历史可以辅助验证用户是否在特定时间出现在特定地点。广泛分布、持续采集数据的物联网设备可以为数字取证提供更为全面的信息。因此，面向物联网设备的数字取证技术和工具是十分重要的。
4.目前面向物联网系统中用户数据的研究工作多是集中于分析用户数据泄漏风险。为了对各个领域中部署的物联网设备进行监督，缓解物联网系统带来的日益增长的隐私安全问题，研究人员提出了各种评估和检测工具。当前，物联网系统隐私评估技术主要分为静态分析和动态分析两种。静态分析主要以物联网设备固件作为分析对象，对固件进行解析,进一步使用静态程序分析技术检测用户数据传递路径。动态分析则是通过对真实运行设备或模拟仿真系统进行测试从而发现用户数据传输路径。尽管这些研究工作在物联网设备漏洞检测和数据隐私保护方面取得了一定的成果，但现有技术的主要目的是发现物联网系统中用户数据的传播路径，无法用于检测和提取设备中存储的用户数据，仍难有效地满足面向物联网设备的数字取证需求。
5.目前对物联网设备用户数据的数字取证研究还面临着许多挑战：
6.(1)物联网设备涵盖的种类非常多，智能终端设备固件的开发缺乏统一的标准。各个设备生产厂商的固件高度定制化，这为通用的智能终端设备的用户数据取证分析带来了很大的困难。
7.(2)一旦用户擦除了存储在设备中数据，对这部分数据的检测和发现具有一定的技术难度。
8.(3)在不知道密码和登录入口的情况下很难直接获得智能设备固件。
9.物联网设备可以为数字取证提供更为全面的信息，然而目前缺少面向物联网设备的数字取证技术和工具，研制相关分析方法和分析系统是重要和必要的。


技术实现要素：

10.针对现有方法无法高效检测物联网设备中存储的用户数据的问题，本发明提供了一种面向物联网设备的用户数据深层取证分析方法及系统，具体技术方案如下：
11.本发明的第一个方面，提供了一种面向物联网设备的用户数据深层取证分析方法，包括以下步骤：
12.(1)插电启动待进行用户数据分析的物联网设备；
13.(2)扫描设备端口信息，包括端口号、开放状态和端口对应的服务信息；
14.(3)根据扫描得到的端口号和服务信息，将处于开放状态的端口进行分类，包括用户端口、调试端口和应用端口；通过动态方式从不同类型的端口中获取用户数据；
15.(4)从物联网设备中拆卸出芯片，通过物理引脚连接芯片，提取芯片内flash中的信息，得到二进制固件；以及，对能够通过调试端口登录终端的设备，在命令行中输入交互式指令，从软件层面提取二进制固件；
16.(5)用固件分析工具逆向二进制固件，从中提取用户数据分区，解析成可读的文件格式，通过关键词匹配查找用户数据；
17.(6)结合步骤(3)中通过动态方式获得的用户数据和步骤(5)中通过静态方式获得的用户数据，形成用户数据分析报告。
18.进一步的，步骤(3)中所述的动态方式具体为：
19.对于用户端口，通过网络请求命令模拟发送各种请求，接受响应的数据包并解析其中的用户数据；
20.对于调试端口，连接常用的ssh和telnet端口，在有防护的情况下，采用弱口令暴力破解并登录终端，直接在命令行输入命令，通过关键词匹配查找用户数据存在的区域，并从中获取用户数据；
21.对于应用端口，通过初始种子关键词生成测试数据包并发送到应用端口，根据端口的反馈调整测试数据包，在应用端口的所有响应数据中检测用户数据。
22.进一步的，对于用户端口，获取用户数据的方法为：
23.利用web目录扫描工具，找到物联网设备的web界面的url；
24.通过网络请求命令与url交互，获得设备的响应；
25.通过关键词查找方式，从响应数据包中获得用户数据。
26.进一步的，所述的步骤(5)包括：
27.(5.1)通过幻数定位到物联网设备的文件系统；
28.(5.2)经过固件分析工具提取jffs2文件系统；
29.(5.3)解压jffs2文件系统，以物理存储单元为基础检索整个文件系统；提取每个物理存储单元的存储内容，无论是否被标记为valid；通过关键词匹配技术定位用户数据。
30.进一步的，所述的端口号包括端口22、端口80、端口23。
31.进一步的，步骤(2)中的扫描方式包括网络扫描和嗅探工具扫描。
32.本发明的第二个方面，提供了一种面向物联网设备的用户数据深层取证分析系统，用于实现上述的面向物联网设备的用户数据深层取证分析方法；所述的取证分析系统包括：
33.供电模块，其用于为启动物联网设备提供电源；
34.端口扫描模块，其用于扫描设备端口信息，包括端口号、开放状态和端口对应的服务信息；
35.端口分析模块，其用于根据扫描得到的端口号和服务信息，将处于开放状态的端口进行分类，包括用户端口、调试端口和应用端口；通过动态方式从不同类型的端口中获取用户数据；
36.固件提取模块，其用于对能够通过调试端口登录终端的设备，在命令行中输入交互式指令，从软件层面提取二进制固件；以及用于从物联网设备的芯片中提取flash中的信息，得到二进制固件；
37.固件逆向和分析模块，其用于逆向二进制固件，从中提取用户数据分区，解析成可读的文件格式，通过关键词匹配查找用户数据；
38.报告生成模块，其用于结合端口分析模块获得的用户数据与固件逆向和分析模块获得的用户数据，生成用户数据分析报告。
39.与现有技术相比，本发明的有益效果为：
40.本发明给出了一种面向物联网设备的用户数据深层取证分析方法及系统，提出了基于软硬件结合的物联网设备数据安全分析技术，为解决面向物联网设备的数字取证问题建立了系统的实现框架，具有实用性；本发明给出了一种深浅层结合的固件逆向分析方法，为闭源的物联网固件逆向分析提供了一种有效的方法，为物联网设备用户数据取证分析提供了基础；本发明提出了一种定制化的固件提取工具，能够提取在软件层面被删除但仍存在物理存储单元中的数据，给用户数据的深层取证挖掘提供了新思路。
附图说明
41.图1为基于物联网设备的用户数据安全取证分析系统的整体结构示意图；
42.图2为基于物联网设备的用户数据安全取证分析方法的流程示意图；
43.图3为多分类的端口扫描和分析技术示意图；
44.图4为软硬件结合的固件提取技术示意图；
45.图5为深层次的固件逆向和分析技术示意图。
具体实施方式
46.下面结合附图和实施例对本发明作进一步详细描述，需要指出的是，以下所述实施例旨在便于对本发明的理解，而对其不起任何限定作用。
47.如图1所示，本发明提出的一种面向物联网设备的用户数据深层取证分析系统，主要分成动态数据分析和静态数据分析两个部分，共包括三个模块：端口扫描和分析模块、固件提取模块、固件逆向和分析模块。该分析系统适用于监督和取证目的。
48.整个取证分析系统的工作流程如图2所示，包括以下步骤：
49.(1)启动物联网设备，保持设备功能运转正常；本发明适用于各种物联网设备，包
括路由器、智能音箱、智能摄像头等；
50.(2)通过网络扫描和嗅探工具扫描设备端口信息，包括端口号、开放状态和端口对应的服务信息；例如，可采用nmap工具；
51.(3)根据工具扫描得到的端口号和服务信息，结合常用端口号进行分类，根据功能分为用户端口(主要用于用户自定义配置设备)、调试端口(厂商预置为了后续开发和调试)和应用端口(设备内应用与外界交互通道)；
52.(4)对不同类别的端口采取不同的动态分析方法；
53.本实施例中，对于用户端口，通过网络请求命令模拟发送各种请求，尝试各种可能的请求类型和playload，接受响应的数据包并解析其中的用户数据；
54.对于调试端口，尝试连接常用的ssh和telnet端口，在有防护的情况下，采用弱口令暴力破解并登录终端，直接在命令行输入命令，通过关键词匹配(例如address，password,username等)查找用户数据可能存在的区域，然后在上下文寻找用户数据；
55.对应用端口，本发明设计了一种基于突变的方法与端口交互，通过初始种子关键词生成大量的测试数据包，发送到应用端口，根据端口的反馈调整后续输入，在应用端口的所有响应数据中检测用户数据。
56.(5)通过物理引脚连接芯片，通过flash编程器提取芯片内flash中的信息，得到二进制的固件信息；以及，对能够通过调试端口登录终端的设备，在命令行中输入交互式指令，从软件层面提取二进制的固件信息。(6)用固件分析工具逆向二进制固件，从中提取用户数据分区，解析成可读的文件格式，通过关键词匹配查找用户数据；
57.本实施例中，步骤(6)的核心是发掘固件中的深层次数据，根据固件的重写机制，部分表面被删除的数据很大可能在物理上仍存在于存储单元中。本发明开发了一种针对所有存储单元的固件解析工具，能够深层次全方位地挖掘所有存储在物理单元中的数据，并从中探测隐藏的用户数据。
58.综上，最终结合动静态分析的结果形成用户数据取证分析报告。
59.以下通过各个模块分别进行说明。
60.1.多分类的端口扫描和分析模块
61.对于正常运行的物联网设备，本发明通过现有工具网络扫描和嗅探工具对设备开放的端口状况进行扫描并根据端口类型对各个端口可能泄露的用户数据进行测试，具体流程如图3，过程如下：
62.(1)通过网络扫描和嗅探工具对设备进行扫描，发现所有开放的端口，结合端口号和工具扫描得到的服务信息，对端口进行分类，比如端口22常用于ssh，端口80常用于web服务，telnet服务常用23号端口，根据不同的用途将这些端口划分为3类：包括用户端口、调试端口和应用端口；
63.(2)根据端口类型，尝试通过端口触发设备的响应，通过响应数据获得用户数据；
64.(2-1)对于用户端口，最常用的是web界面，通过动态交互的方式获取用户数据；首先利用web目录扫描工具找到web界面的url，比如disearch；然后通过web请求命令，比如curl，与url交互，获得设备的响应，最后通过关键词查找(比如paawd，email，mac)可以从响应数据包中获得用户数据。
65.(2-2)对于调试端口，常用的包括telnet和ssh；通过ssh，telnet命令直接连接网
络嗅探工具探测出的设备ip，对于没有设置安全验证的设备，直接登入设备的终端界面。对于设置了验证过程(比如密钥登录)的设备，尝试弱口令暴力破解，比如123456，admin等常用的用户名密码，结合网上现有的库进行尝试。
66.成功进入终端后，在命令行中通过关键词匹配(比如password，username)定位用户数据所在的文件。部分设备会对这些数据进行简单的加密，比如存储base64加密后的密钥，系统尝试多种常用加密算法的解密过程对这些数据进行解析，从中提取用户数据。
67.(3-3)对于应用端口，在智能设备中存在各种应用程序，需要通过各自的端口与其他设备通信，用来提供各种服务，比如打印机通过ipp端口来接收用户主机发送的打印请求。
68.采用基于突变的测试方法，以常用关键词数据集的关键字作为初始种子生成一系列输入，比如honggfuzz的关键字作为初始种子；并调整为合适的网络数据包格式；将这些输入发送到应用端口，接收应用端口反馈的响应数据，检索存在的用户数据用户数据。
69.2.软硬件结合的固件提取模块
70.该模块主要从软硬件两个方面从设备中提取固件，如图4所示。
71.(1)在端口扫描和分析的基础上，对能够通过调试端口登录终端的设备，在命令行中输入交互式指令，从软件层面提取固件。
72.(2)从设备中拆卸出芯片，通过探头、电烙铁、吸锡器等装备物理连接芯片的特定引脚至计算机；然后在计算机安装相应的flash程序，直接读取芯片flash中的内容，并且以二进制形式保存。
73.相比于软件提取的方法，硬件提取的固件能够保留更多数据，用于后续深层次的取证分析。
74.3.深层次的固件逆向和分析模块
75.在该模块中，通过解析工具，利用固件重写机制中对脏数据的处理，从软件不可见的存储单元中提取本应该被删除的数据，具体过程如图5所示。
76.(1)通过幻数(又称魔数，magic number)定位到物联网设备的文件系统，其中往往存放物联网设备的用户数据；例如，通过固件分析工具，比如binwalk，扫描固件，能够智能地发现目标文件中包含的所有可识别的文件类型。
77.(2)经过固件分析工具提取jffs2文件系统，可以获得文件系统压缩包，里面储存的用户数据都处于压缩状态；例如，通过文件系统的magic number识别相应的区域，比如，在物联网设备中，最广泛使用的文件系统为jffs2，可以通过magic number 0x1985进行识别；
78.(3)解压文件系统，解压之后，以物理存储单元为基础检索整个文件系统；提取每个物理存储单元的存储内容，包括被标记为invalid的区域；通过关键词匹配技术定位用户数据。
79.传统的采用jefferson工具提取jffs2文件系统中的文件，但只能获取重置前的表层数据，不能提取在逻辑上已经删除但在物理上仍存在的深层次数据。因此，本发明在进行数据提取时，需要扫描整个文件系统，发现所有存储单元，提取每个单元的存储内容，无论是否被标记为valid。本发明利用了设备为了延长存储单元的使用寿命，并不会直接檫除删除的数据，而是将数据标记为invalid这一特殊的重写机制，通过识别所有的存储单元(包
括标记为invalid的)，然后检测其中的深层用户数据，实现了用户数据的深层挖掘。
80.上述三个模块可构成面向物联网设备的用户数据深层取证分析系统，以上所描述的实施例仅仅是示意性的，其中的组成模块可以是或者也可以不是物理上分开的。另外，在本发明中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。以上模块中的程序在执行时均由处理器进行处理。
81.在本发明的一项就具体实施中，所述的多分类的端口扫描和分析模块还可以分为：
82.端口扫描模块，其用于扫描设备端口信息，包括端口号、开放状态和端口对应的服务信息；
83.端口分析模块，其用于根据扫描得到的端口号和服务信息，将处于开放状态的端口进行分类，包括用户端口、调试端口和应用端口；通过动态方式从不同类型的端口中获取用户数据；
84.在本发明的一项就具体实施中，还可以包括：
85.供电模块，其用于为启动物联网设备提供电源；
86.报告生成模块，其用于结合端口分析模块获得的用户数据与固件逆向和分析模块获得的用户数据，生成用户数据分析报告。
87.以上所述的实施例对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的具体实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。