智能路由器大数据取证研究Word文档下载推荐.docx
《智能路由器大数据取证研究Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《智能路由器大数据取证研究Word文档下载推荐.docx(10页珍藏版)》请在冰豆网上搜索。
智能路由器通常是指具有独立操作系统,可以由用户进展智能化管理的路由器。
自2013年起,以小米路由器为代表的智能路由器逐渐成为用户的主流选择,也成为电子取证工作中一项新的挑战。
智能路由器作为犯罪现场环境一个组成局部,其内部存储的用户数据可能为办案人员提供重要线索,是未来电子物证检验工作中必不可少的一个环节。
本文将从智能路由器的取证目标和取证方法入手,以小米路由器的取证为例介绍如何对智能路由器进展取证。
2、智能路由器系统介绍
传统路由器是指以提供根本的网络功能为主的路由器产品,按照使用场景可分为家用路由器、企业路由器,按照传输方式又可分为无线路由器、有线路由器,比拟知名的厂商有TPLink、Dlink、华为等。
传统路由器的操作系统主要有两类,一是由芯片厂商提供的开发套件SDK,二是实时操作系统,包含由美国风河公司开发的VxWorks操作系统,RedHat提供的eCos操作系统等,这两类操作系统是目前传统路由器市场的主流产品。
有别与传统路由器,智能路由器提供了丰富的应用功能扩展,内置离线下载、内网检测、视频加速等功能,用户可以根据需求下载扩展应用〔图1〕。
国内常见的厂商包括极路由、小米路由器等。
智能路由器系统大多由开源系统开展而来,包括OpenWRT、Tomato、DD-WRT等几款操作系统。
国内的智能路由器系统也大都由OpenWrt二次开发而成。
图1应用功能扩展
3、智能路由器取证
3.1界面取证
路由器取证首先可以通过浏览器进入路由器的后台管理界面,在输入登录密码后,能获取到一些直观的根底的信息,比如连接到该路由器的设备信息,路由器运行的日志记录等。
如下图是某路由器的日志信息,显示设备上发生的事件和活动日志。
日志信息记录了路由器与终端设备之间的交互,终端设备使用MAC地址〔Medium/MediaAccessControl地址,用来表示互联网上每一个站点的标识符,采用十六进制数表示,共六个字节〔48位〕〕标识。
图2路由器日志
如下图是小米路由器的后台界面,设备管理界面显示了曾经连接到该路由器的终端设备名称,以与产生的流量统计。
图3路由器管理信息
在路由器的Wi-Fi设置界面,可以查看路由器的Wi-Fi名称和密码,如如下图所示。
图4路由器WiFi设置
小米路由器出厂时预装的系统是普通用户使用的稳定版,用户可以通过一些操作,将系统更新至开发者版本。
刷入开发者系统版本的小米路由器,在系统状态中可以下载路由器的运行日志。
图5路由器日志下载
下载后将会得到一个以时间命名的压缩包,解压后获得以下文件:
图6日志文件
“trafficd.log〞记录了连接过的终端设备的名称、MAC地址、IP地址等信息,如如下图所示:
图7设备连接记录
“messages〞日志文件记录路由器在运行过程中的大局部事件,分析该文件也将获得连接至该路由器的终端设备的MAC地址以与连接时间。
图8日志事件
3.2镜像分析
智能路由器,如小米路由器,配置有一块存储介质,用以安装路由系统和保存数据。
取证手段与普通的计算机取证类似,可通过只读设备首先对其进展镜像,然后通过分析该存储介质,往往能获得更多信息。
下文以小米路由器为例,介绍一般取证手段和思路。
拆除小米路由器的底壳,能轻易地取出一块硬盘,与普通的笔记本硬盘一样。
由于路由器系统使用的Linux内核,硬盘分区格式为ext4,无法直接挂载在Window系统下进展数据浏览,可对硬盘制作镜像,使用专用的镜像浏览工具来打开镜像文件,并查看文件和数据。
图9小米路由硬盘
加载镜像后,清晰地浏览到该路由器的文件系统,从中获取到关键信息。
图10镜像文件
3.2.1连接记录
定位到文件/etc/xqDb,这是一个sqllite数据库文件,使用专用的sqllite浏览工具打开该文件,在表“DEVICE_INFO〞中,记录了曾经连接至该路由器的终端设备的MAC地址和设备名称。
图11记录数据库
3.2.2日志
在分区3,/usr/log目录下,存放了大量的messages日志文件,从镜像中我们可以发现,直接从路由器的管理界面下载的日志并不完整,只包含了近期的两份日志,而镜像中留存了更早之前的日志记录。
依据Linux日志管理系统的规如此,自动对日志进展截断〔或轮循〕、压缩以与删除旧的日志文件,在如下图中包含了最早的日志记录。
图12日志文件
图13文件记录内容
结合日志记录与“/etc/xqDb〞中的MAC地址,可以分析出某个终端设备的连接时间与断开时间,分别显示为:
startSceneByDeviceStatus:
mac=0c:
41:
3e:
cd:
5f:
00,connected=1
“connected=1〞表示终端设备0c:
00连接成功。
"
DeviceDisconnet:
0C:
3E:
CD:
5F:
00"
“DeviceDisconnet〞表示终端设备0C:
00断开连接。
3.2.3用户文件
在分区4/data目录下存放了用户文件,该文件夹是一个共享文件夹,连接至该路由器的设备,即可在网络路径中访问这些文件
图14用户数据文件
智能路由器通常包含有远程操纵下载的功能,能将文件下载保存在路由器自带的硬盘中,文件夹的下载记录也记录在相应文件中。
定位到文件/thunderDB/etm.db,使用sqllite浏览工具打开该文件,在“task_info〞表中记录了相关信息,包括:
“create_time〞-任务创建时间、“start_time〞-下载开始时间、“finish_time〞下载完成时间、“name〞-下载文件名、“path〞-文件保存路径,“url〞-下载地址。
图15下载记录文件
图16下载记录数据库
3.2.4WIFI密码信息
路由器将Wi-Fi信息存储在分区3“/etc/config/wireless〞文件中:
optionssid'
WIFI_NAME'
显示该路由器无线名称为“WIFI_NAME〞
optionkey'
ThisIsWifiPassword'
显示该路由器无线密码为“ThisIsWifiPassword〞
图17无线密码记录
4、完毕语
伴随着“物联网〞、“智能家居〞等概念的兴起,路由器特别是智能路由器逐渐成为生活网络中必不可少的局部,在电子取证中越来越被重视,同时路由器中记录的某些关键信息也能在取证中扮演重要的角色。
本文以常见的小米路由器作为案例深入分析和测试实验,从路由器后台管理平台和介质镜像文件等方面,粗浅地提出了一些智能路由器数据取证思路和方法,希望能对智能路由器数据检验提供一定帮助,同时也恳请同行给与批评指正。