[发明专利]用于日志取证分析的方法、装置及计算机可读介质

说明书

提供了日志取证分析的方法、装置及计算机可读介质。方法包括：读取日志存储文件，日志存储文件用于存储日志文件并且包括具有各种大小的多个数据块，其中读取日志存储文件以获得日志存储文件的大小和初始化偏移位置，初始化偏移位置代表日志存储文件的起始位置；从初始化偏移位置读取日志存储文件中初始化偏移位置处的数据块的数据块类型和数据块大小；根据数据块的头部信息判断数据块是否是压缩的数据块；如果数据块是压缩的数据块，将数据块读取到缓存；读取缓存以获取进行解压缩需要的内存大小并申请解压缩缓存；对缓存进行解压缩来将数据保存到解压缩缓存；和对保存到解压缩缓存中的数据进行解析以获取日志存储文件中的日志记录。

技术领域

本公开涉及用于日志取证分析的方法、装置及计算机可读介质。更具体地，本文提供一种macOS统一日志取证分析方法和装置，主要涉及信息安全和电子数据取证领域。

背景技术

随着社会和科技的进步，电子产品和网络应用变得越来越普及，人们对用户体验和信息安全的要求也越来越高。如今肆意泛滥的病毒大多是针对windows操作系统的，苹果公司的操作系统人机交互界面设计友好而且更加安全，所以越来越多用户选择使用苹果公司的新产品，针对苹果公司产品取证的需求也随之增多。

众所周知，系统日志文件中记录着很多系统运行和用户操作留下的痕迹信息，通过对日志的分析和痕迹提取，可以为调查取证提供很多关键的信息。在2016年9月份苹果公司发布了macOS 10.12操作系统，宣布从该版本开始引入新的日志格式替换传统的文本日志。新的日志格式官方命名“Unified Log”，直译为“统一日志”。统一日志是苹果公司全平台通用的日志格式，iOS 10.0、macOS 10.12、tvOS 10.0、watchOS 3.0及更新的系统都采用这种新的日志格式，它包含USB设备使用记录、云连接设备、邮件同步、网络连接、外部设备使用记录、系统备份等大量系统痕迹和用户痕迹，对电子数据取证具有重要意义。

发明内容

目前，只能通过直接启动或动态仿真数据源所在的操作系统，然后登录对应的账户，再运行系统自带的日志查看工具或软件查看日志记录。这种方法必须成功启动目标源操作系统，如果系统遭破坏无法启动则无法提取日志记录，且操作过程中容易污染数据源，破坏证据的只读性。另外，这些日志查看工具和软件普遍没有对日志记录进行分类，所以想要提取有价值的信息犹如大海捞针，而且无法自动生成取证鉴定报告，给电子数据取证工作带来很大不便。

针对上述方案的不足，结合具体应用的特点，本发明提供了一种可用于macOS统一日志的取证分析方法和装置，支持离线取证，不通过苹果操作系统内部机制，无需启动目标数据源所在的操作系统，而通过第三方取证软件即可对苹果系统设备上的统一日志的日志格式进行离线解析，自动取证提取有价值的信息，同时也满足对证据源只读操作的需求。

根据一个方面，提供了一种用于日志取证分析的方法，包括：读取日志存储文件，所述日志存储文件用于存储日志文件并且包括具有各种大小的多个数据块，其中读取所述日志存储文件以获得所述日志存储文件的大小和初始化偏移位置，所述初始化偏移位置代表所述日志存储文件的起始位置；从所述初始化偏移位置读取所述日志存储文件中所述初始化偏移位置处的数据块的数据块类型和数据块大小；根据所述数据块的头部信息来判断所述数据块是否是压缩的数据块；如果所述数据块是压缩的数据块，则将所述数据块读取到缓存；读取所述缓存以获取进行解压缩需要的内存大小并申请解压缩缓存；利用解压缩算法对所述缓存进行解压缩来将数据保存到所述解压缩缓存；以及对保存到所述解压缩缓存中的数据进行解析以获取所述日志存储文件中的日志记录。