[发明专利]一种XenServer系统物理内存分析方法及系统

说明书

本公开提供了一种XenServer系统物理内存分析方法及系统，本公开通过二进制代码重构实现操作系统版本判定、内核符号表获取以及虚拟地址向物理地址转换，能够有效进行XenServer系统的物理内存分析。

技术领域

本公开属于物理内存分析技术领域，涉及一种XenServer系统物理内存分析方法及系统。

背景技术

本部分的陈述仅仅是提供了与本公开相关的背景技术信息，不必然构成在先技术。

内存取证技术在当今数字取证分析中发挥着越来越重要的作用，通过内存分析可以获取到正在运行的进程信息、已加载的内核模块信息、打开的网络连接信息、登录用户、打开的文件、加密密钥以及驻留在内存中的恶意代码等信息。目前，内存取证是数字取证调查和事件响应处理中的标准组件。

内存取证技术最早出现在美国空军特别调查办公室Kornblum于2002年发表的《Preservation of Fragile Digital Evidence by First Responders》主题报告中，在此报告中提出需要调查易失性内存信息以全面而准确地获取网络攻击和网络犯罪证据。DFRWS(Digital Forensic Research Workshop)于2005和2006年发起的内存取证分析挑战赛，推进了物理内存分析技术的发展。从此，物理内存分析和获取成为计算机取证的研究热点，各种物理内存取证技术和方法相继出现。

但据发明人了解，尚未发现针对XenServer系统物理主机系统的内存分析技术。XenServer是思杰公司(Citrix)推出的一款完整服务器虚拟化系统，其内存布局较为复杂，用普通的Linux系统分析方法，地址转换问题面临挑战。Xen堆占用了机器物理地址空间的部分空间，部分宿主机的线性地址和对应的物理地址之间存在差值，如在System.map中获取到的swapper_pg_dir的值无法通过减去0xc0000000获取到swapper_pg_dir的物理地址。这些地址转换问题给XenServer系统下物理主机的内存分析带来困难。

发明内容

本公开为了解决上述问题，提出了一种XenServer系统物理内存分析方法及系统，本公开通过二进制代码重构实现操作系统版本判定、内核符号表获取以及虚拟地址向物理地址转换，能够有效进行XenServer系统的物理内存分析。

根据一些实施例，本公开采用如下技术方案：

一种XenServer系统物理内存分析方法，包括以下步骤：

(1)使用硬件物理内存获取工具获取宿主机全部物理内存信息，存为内存镜像文件；

(2)在内存镜像文件中进行搜索，从中获取操作系统版本信息、源内核变量_stext和swapper_pg_dir的值；

(3)在内存镜像文件中搜索内核变量_stext的值，在搜索到的地址处往前追溯寻找内核变量_text的值，搜索到的内核变量_text的地址处即为内核变量kallsyms_addresses地址；

(4)在内存镜像文件中搜索内核变量kallsyms_addresses地址的后十六位，并在搜索到的地址前后寻找函数标志位，将标志位之间的内容进行反编译，对照函数定义和调用关系，获取内核变量kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table地址；

(5)对步骤(4)和步骤(3)获取到的内核变量kallsyms_addresses的值求差，获取差值；根据差值，将内核变量kallsyms_addresses、kallsyms_num_syms、kallsyms_names、kallsyms_token_index以及kallsyms_token_table的虚拟地址转换为物理地址，进一步地恢复系统的内核符号表；