返回
智能路由器大数据取证研究

智能路由器大数据取证研究

ID:47233260

大小:705.91 KB

页数:11页

时间:2019-07-17

智能路由器大数据取证研究_第1页
智能路由器大数据取证研究_第2页
智能路由器大数据取证研究_第3页
智能路由器大数据取证研究_第4页
智能路由器大数据取证研究_第5页
资源描述:

《智能路由器大数据取证研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实用文档智能路由器数据取证研究1、引言随着近年来移动互联网的迅猛发展,移动上网终端数量已经超过个人电脑,正在成为人们接入互联网的主要方式。最直观的改变是移动互联网使互联网的接入终端形态发生变化,互联网业务及信息也正逐步从以个人电脑为中心向以手机等移动终端为中心转变。随之而来的是各类路由器的不断普及,在一些大的城市里各类路由设备已覆盖了城市的各个角落。这为我们公安机关办理相关案件提供了新的思路,如何能在案发现场,通过提取周边相关路由设备内的信息,为案件提供有力的线索,成为摆在我们面前的一个崭新的课题。以下我们将以小米路由器为例,介绍一下相关的

2、取证步骤及原理。智能路由器通常是指具有独立操作系统,可以由用户进行智能化管理的路由器。自2013年起,以小米路由器为代表的智能路由器逐渐成为用户的主流选择,也成为电子取证工作中一项新的挑战。智能路由器作为犯罪现场环境一个组成部分,其内部存储的用户数据可能为办案人员提供重要线索,是未来电子物证检验工作中必不可少的一个环节。本文将从智能路由器的取证目标和取证方法入手,以小米路由器的取证为例介绍如何对智能路由器进行取证。2、智能路由器系统介绍传统路由器是指以提供基本的网络功能为主的路由器产品,按照使用场景可分为家用路由器、企业路由器,按照传输方式

3、又可分为无线路由器、有线路由器,比较知名的厂商有TPLink、Dlink、华为等。传统路由器的操作系统主要有两类,一是由芯片厂商提供的开发套件SDK,二是实时操作系统,包含由美国风河公司开发的VxWorks操作系统,RedHat提供的eCos操作系统等,这两类操作系统是目前传统路由器市场的主流产品。有别与传统路由器,智能路由器提供了丰富的应用功能扩展,内置离线下载、内网检测、视频加速等功能,用户可以根据需求下载扩展应用(图1)。国内常见的厂商包括极路由、小米路由器等。智能路由器系统大多由开源系统发展而来,包括OpenWRT、Tomato、D

4、D-WRT等几款操作系统。国内的智能路由器系统也大都由OpenWrt二次开发而成。文案大全实用文档图1应用功能扩展1、智能路由器取证3.1界面取证路由器取证首先可以通过浏览器进入路由器的后台管理界面,在输入登录密码后,能获取到一些直观的基础的信息,比如连接到该路由器的设备信息,路由器运行的日志记录等。下图是某路由器的日志信息,显示设备上发生的事件和活动日志。日志信息记录了路由器与终端设备之间的交互,终端设备使用MAC地址(Medium/MediaAccessControl地址,用来表示互联网上每一个站点的标识符,采用十六进制数表示,共六个字

5、节(48位))标识。文案大全实用文档图2路由器日志下图是小米路由器的后台界面,设备管理界面显示了曾经连接到该路由器的终端设备名称,以及产生的流量统计。文案大全实用文档图3路由器管理信息在路由器的Wi-Fi设置界面,可以查看路由器的Wi-Fi名称和密码,如下图所示。图4路由器WiFi设置小米路由器出厂时预装的系统是普通用户使用的稳定版,用户可以通过一些操作,将系统更新至开发者版本。刷入开发者系统版本的小米路由器,在系统状态中可以下载路由器的运行日志。文案大全实用文档图5路由器日志下载下载后将会得到一个以时间命名的压缩包,解压后获得以下文件:图

6、6日志文件“trafficd.log”记录了连接过的终端设备的名称、MAC地址、IP地址等信息,如下图所示:文案大全实用文档图7设备连接记录“messages”日志文件记录路由器在运行过程中的大部分事件,分析该文件也将获得连接至该路由器的终端设备的MAC地址以及连接时间。图8日志事件3.1镜像分析智能路由器,如小米路由器,配置有一块存储介质,用以安装路由系统和保存数据。取证手段与普通的计算机取证类似,可通过只读设备首先对其进行镜像,然后通过分析该存储介质,往往能获得更多信息。下文以小米路由器为例,介绍一般取证手段和思路。拆除小米路由器的底壳

7、,能轻易地取出一块硬盘,与普通的笔记本硬盘相同。由于路由器系统使用的Linux内核,硬盘分区格式为ext4,无法直接挂载在Window系统下进行数据浏览,可对硬盘制作镜像,使用专用的镜像浏览工具来打开镜像文件,并查看文件和数据。文案大全实用文档图9小米路由硬盘加载镜像后,清晰地浏览到该路由器的文件系统,从中获取到关键信息。图10镜像文件文案大全实用文档3.1.1连接记录定位到文件/etc/xqDb,这是一个sqllite数据库文件,使用专用的sqllite浏览工具打开该文件,在表“DEVICE_INFO”中,记录了曾经连接至该路由器的终端设

8、备的MAC地址和设备名称。图11记录数据库3.1.2日志在分区3,/usr/log目录下,存放了大量的messages日志文件,从镜像中我们可以发现,直接从路由器的管理界面下载的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。