一种面向物联网设备的用户数据深层取证分析方法及系统

技术特征：
1.一种面向物联网设备的用户数据深层取证分析方法，其特征在于，包括以下步骤：(1)插电启动待进行用户数据分析的物联网设备；(2)扫描设备端口信息，包括端口号、开放状态和端口对应的服务信息；(3)根据扫描得到的端口号和服务信息，将处于开放状态的端口进行分类，包括用户端口、调试端口和应用端口；通过动态方式从不同类型的端口中获取用户数据；(4)从物联网设备中拆卸出芯片，通过物理引脚连接芯片，提取芯片内flash中的信息，得到二进制固件；以及，对能够通过调试端口登录终端的设备，在命令行中输入交互式指令，从软件层面提取二进制固件；(5)用固件分析工具逆向二进制固件，从中提取用户数据分区，解析成可读的文件格式，通过关键词匹配查找用户数据；(6)结合步骤(3)中通过动态方式获得的用户数据和步骤(5)中通过静态方式获得的用户数据，形成用户数据分析报告。2.根据权利要求1所述的面向物联网设备的用户数据深层取证分析方法，其特征在于，步骤(3)中所述的动态方式具体为：对于用户端口，通过网络请求命令模拟发送各种请求，接受响应的数据包并解析其中的用户数据；对于调试端口，连接常用的ssh和telnet端口，在有防护的情况下，采用弱口令暴力破解并登录终端，直接在命令行输入命令，通过关键词匹配查找用户数据存在的区域，并从中获取用户数据；对于应用端口，通过初始种子关键词生成测试数据包并发送到应用端口，根据端口的反馈调整测试数据包，在应用端口的所有响应数据中检测用户数据。3.根据权利要求2所述的面向物联网设备的用户数据深层取证分析方法，其特征在于，对于用户端口，获取用户数据的方法为：利用web目录扫描工具，找到物联网设备的web界面的url；通过网络请求命令与url交互，获得设备的响应；通过关键词查找方式，从响应数据包中获得用户数据。4.根据权利要求1所述的面向物联网设备的用户数据深层取证分析方法，其特征在于，所述的步骤(5)包括：(5.1)通过幻数定位到物联网设备的文件系统；(5.2)经过固件分析工具提取jffs2文件系统；(5.3)解压jffs2文件系统，以物理存储单元为基础检索整个文件系统；提取每个物理存储单元的存储内容，无论是否被标记为valid；通过关键词匹配技术定位用户数据。5.根据权利要求1所述的面向物联网设备的用户数据深层取证分析方法，其特征在于，所述的端口号包括端口22、端口80、端口23。6.根据权利要求1所述的面向物联网设备的用户数据深层取证分析方法，其特征在于，步骤(2)中的扫描方式包括网络扫描和嗅探工具扫描。7.一种面向物联网设备的用户数据深层取证分析系统，其特征在于，用于实现权利要求1所述的面向物联网设备的用户数据深层取证分析方法；所述的取证分析系统包括：供电模块，其用于为启动物联网设备提供电源；
端口扫描模块，其用于扫描设备端口信息，包括端口号、开放状态和端口对应的服务信息；端口分析模块，其用于根据扫描得到的端口号和服务信息，将处于开放状态的端口进行分类，包括用户端口、调试端口和应用端口；通过动态方式从不同类型的端口中获取用户数据；固件提取模块，其用于对能够通过调试端口登录终端的设备，在命令行中输入交互式指令，从软件层面提取二进制固件；以及用于从物联网设备的芯片中提取flash中的信息，得到二进制固件；固件逆向和分析模块，其用于逆向二进制固件，从中提取用户数据分区，解析成可读的文件格式，通过关键词匹配查找用户数据；报告生成模块，其用于结合端口分析模块获得的用户数据与固件逆向和分析模块获得的用户数据，生成用户数据分析报告。

技术总结
本发明公开了一种面向物联网设备的用户数据深层取证分析方法及系统，属于物联网设备取证分析领域。包括：插电启动设备；扫描设备端口信息，并将处于开放状态的端口进行分类；通过动态方式从不同类型的端口中获取用户数据；通过物理引脚连接设备芯片，提取芯片内flash中的信息，得到二进制固件；以及，对能够通过调试端口登录的设备，在命令行中输入交互式指令，从软件层面提取二进制固件；逆向二进制固件，提取用户数据分区，解析成可读的文件格式，通过关键词匹配查找用户数据；形成取证分析报告。本发明从两个维度对设备中存在的用户数据进行挖掘，巧妙利用固件数据重写的原理，全方位、深层次提取用户数据残留，为取证提供新的技术手段。技术手段。技术手段。


技术研发人员：纪守领 刘沛宇 付丽嫆 夏思怡 张旭鸿 陈文智 邓水光 王文海
受保护的技术使用者：浙江大学
技术研发日：2022.04.28
技术公布日：2022/8/9