專利名稱:網(wǎng)絡(luò)漏洞取證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及計算機(jī)的安全取證���,特別涉及一種對上網(wǎng)信息進(jìn)行安全取證的計
算機(jī)安全取證裝置�。
背景技術(shù):
漏洞是在硬件��、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷�,從而可以使 攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)���。例如�,在IntelPentium芯片中存在的邏輯 錯誤���,在Sendmail早期版本中的編程錯誤,在NFS協(xié)議中認(rèn)證方式上的弱點(diǎn)����,在Unix系統(tǒng) 管理員設(shè)置匿名Ftp服務(wù)時配置不當(dāng)?shù)膯栴}都可能被攻擊者使用����,威脅到系統(tǒng)的安全����。因 而這些都可以認(rèn)為是系統(tǒng)中存在的安全漏洞。 漏洞會影響軟硬件設(shè)備,包括作系統(tǒng)本身及其支撐軟件�,網(wǎng)絡(luò)客戶和服務(wù)器軟件����, 網(wǎng)絡(luò)路由器和安全防火墻等��。換而言之��,在這些不同的軟硬件設(shè)備中都可能存在不同的安 全漏洞問題���。在不同種類的軟、硬件設(shè)備�,同種設(shè)備的不同版本之間,由不同設(shè)備構(gòu)成的不 同系統(tǒng)之間��,以及同種系統(tǒng)在不同的設(shè)置條件下����,都會存在各自不同的安全漏洞問題���。 為此����,人們開發(fā)了漏洞掃描器或安全評估軟件等漏洞掃描工具�����,以便及時發(fā)現(xiàn)漏 洞的存在����,從而提示用戶安裝漏洞補(bǔ)丁 �。 但是目前的漏洞掃描工具僅能夠進(jìn)行簡單的文字描述��,很難使普通用戶真正意識 到計算機(jī)存在嚴(yán)重的安全性問題。
發(fā)明內(nèi)容本實(shí)用新型的目的是提供一種能夠及時發(fā)現(xiàn)漏洞并能夠引起用戶重視漏洞危害 的網(wǎng)絡(luò)漏洞取證系統(tǒng)�。 本實(shí)用新型的上述目的是這樣實(shí)現(xiàn)的����,一種網(wǎng)絡(luò)漏洞取證系統(tǒng)�,包括 局域網(wǎng)���; 通過所述局域網(wǎng)互聯(lián)的多個待查計算機(jī)�����;以及 通過所述局域網(wǎng)互聯(lián)的漏洞取證計算機(jī)���。 其中��,所述漏洞取證計算機(jī)是裝有漏洞取證裝置的計算機(jī)。 在一個實(shí)施例中�����,所述漏洞取證裝置包括 連接計算機(jī)CPU的在線檢查模塊,用于經(jīng)由CPU對局域網(wǎng)內(nèi)的所有待查計算機(jī)進(jìn) 行實(shí)時漏洞掃描�,查找具有漏洞的目標(biāo)計算機(jī)��; 連接計算機(jī)CPU的漏洞攻擊模塊�����,用于經(jīng)由CPU對所述目標(biāo)計算機(jī)進(jìn)行攻擊�����,取得 對目標(biāo)計算機(jī)的權(quán)限控制; 連接計算機(jī)CPU的文件搜索及下載模塊����,用于依據(jù)所獲取的控制權(quán)限�����,經(jīng)由所述 CPU搜索并下載目標(biāo)計算機(jī)中的相應(yīng)文件;以及 分別連接所述在線檢查模塊、漏洞攻擊模塊和文件搜索及下載模塊輸出的報表生 成模塊���,用于生成對應(yīng)于所述漏洞掃描��、權(quán)限控制以及文件下載的結(jié)果的報表。[0017] 在另一個實(shí)施例中��,所述漏洞取證裝置包括連接計算機(jī)CPU的在線檢查模塊����,用 于經(jīng)由CPU對局域網(wǎng)內(nèi)的所有計算機(jī)進(jìn)行實(shí)時漏洞掃描�,查找具有漏洞的目標(biāo)計算機(jī)�����;連
接計算機(jī)CPU的漏洞攻擊模塊��,用于經(jīng)由CPU對所述目標(biāo)計算機(jī)進(jìn)行攻擊�����,取得對目標(biāo)計算 機(jī)的權(quán)限控制;連接計算機(jī)CPU的文件搜索及下載模塊��,用于依據(jù)所獲取的控制權(quán)限,經(jīng)由 所述CPU搜索并下載目標(biāo)計算機(jī)中的相應(yīng)文件�����;以及連接計算機(jī)CPU的報表生成模塊��,用于 依據(jù)經(jīng)由所述CPU供給的所述在線檢查模塊、漏洞攻擊模塊和文件搜索及下載模塊的漏洞 掃描���、權(quán)限控制以及文件下載的結(jié)果��,生成相應(yīng)報表��。 其中����,所述在線檢查模塊包括設(shè)置多個待查計算機(jī)IP地址的地址設(shè)置單元;以 及按照所設(shè)定的地址對多個待查計算機(jī)進(jìn)行掃描的掃描單元���。 其中���,對所述目標(biāo)計算機(jī)進(jìn)行漏洞攻擊的所述漏洞攻擊模塊包括破解目標(biāo)計算 機(jī)密碼的密碼破解單元�����;以及獲取目標(biāo)計算機(jī)權(quán)限的權(quán)限獲取單元����。 其中�,對所述目標(biāo)計算機(jī)執(zhí)行文件搜索及下載的所述文件搜索及下載模塊包括 搜索目標(biāo)計算機(jī)文件的文件搜索單元;以及下載已搜索到的目標(biāo)計算機(jī)文件的文件下載單 元�。 其中,所述漏洞取證計算機(jī)具有連接所述CPU的限制在線檢查模塊掃描權(quán)限的密 鑰模塊。 本實(shí)用新型具有以下技術(shù)效果 1�����、掃描速度快�����,效率高,完全適應(yīng)大�����、中型網(wǎng)絡(luò)的掃描任務(wù)��,可直接針對B類地址 段進(jìn)行掃描�����。 2����、對存在漏洞的計算機(jī)��,可以利用漏洞直接進(jìn)入���,方便對涉密信息的進(jìn)一步檢查。 3��、通過模擬黑客攻擊��,進(jìn)入漏洞主機(jī)并可下載文件�����,取證有力���。
以下結(jié)合附圖對本實(shí)用新型進(jìn)行詳細(xì)說明��。
圖1是本實(shí)用新型的網(wǎng)絡(luò)漏洞取證系統(tǒng)的示意圖; 圖2是圖1所示的漏洞取證計算機(jī)的第一實(shí)施例原理圖�����; 圖3是圖1所示的漏洞取證計算機(jī)的第二實(shí)施例原理圖���; 圖4是圖1所示的漏洞取證計算機(jī)的第三實(shí)施例原理圖�; 圖5是本實(shí)用新型的在線檢查模塊的原理圖�����; 圖6是本實(shí)用新型的漏洞攻擊模塊的原理圖����; 圖7是本實(shí)用新型的文件搜索及下載模塊的原理圖����。
具體實(shí)施方式圖l顯示了本實(shí)用新型的網(wǎng)絡(luò)漏洞取證系統(tǒng)的配置����,如圖l所示���,本實(shí)用新型的網(wǎng) 絡(luò)漏洞取證系統(tǒng)包括局域網(wǎng)3 ;通過所述局域網(wǎng)3互聯(lián)的多個計算機(jī)終端2 ;以及通過所 述局域網(wǎng)互聯(lián)的漏洞取證計算機(jī)1����。 本實(shí)用新型的局域網(wǎng)3可以是以太網(wǎng)����,計算機(jī)終端2可以是臺式計算機(jī)�����,也可以是 便攜計算機(jī)����。漏洞取證計算機(jī)1則是裝有漏洞取證裝置11的計算機(jī)。 漏洞取證計算機(jī)1用來對網(wǎng)絡(luò)中的所有其他計算機(jī)進(jìn)行漏洞檢查, 一旦發(fā)現(xiàn)具有漏洞的目標(biāo)計算機(jī)��,則首先破解該目標(biāo)計算機(jī)的密碼,接著獲得該目標(biāo)計算機(jī)的權(quán)限控制��, 然后利用所獲得的權(quán)限搜索該目標(biāo)計算機(jī)的文件并下載該文件�,由此得到關(guān)于目標(biāo)計算機(jī) 存在漏洞以及該漏洞導(dǎo)致文件可以被竊取的報表�����,從而引起該目標(biāo)計算機(jī)用戶的漏洞的足 夠重視,以便用戶及時下載漏洞補(bǔ)丁��。 圖2顯示了本實(shí)用新型的漏洞取證計算機(jī)1的第一實(shí)施例���,如圖2所示,該漏洞取 證計算機(jī)1包括漏洞取證裝置11�����、 CPU 12��、輸入裝置13�����、輸出裝置14和存儲器15���,其中漏 洞取證裝置ll包括 連接計算機(jī)CPU 12的在線檢查模塊110,用于經(jīng)由CPU 12對局域網(wǎng)內(nèi)的所有計算 機(jī)進(jìn)行實(shí)時漏洞掃描,查找具有漏洞的目標(biāo)計算機(jī)��; 連接計算機(jī)CPU 12的漏洞攻擊模塊111�����,用于經(jīng)由CPU 12對所述目標(biāo)計算機(jī)進(jìn)行 攻擊,取得對目標(biāo)計算機(jī)的權(quán)限控制����; 連接計算機(jī)CPU 12的文件搜索及下載模塊112���,用于依據(jù)所獲取的控制權(quán)限����,經(jīng) 由所述CPU 12搜索并下載目標(biāo)計算機(jī)中的相應(yīng)文件;以及 分別連接所述在線檢查模塊110���、漏洞攻擊模塊111和文件搜索及下載模塊112輸 出的報表生成模塊113��,用于生成對應(yīng)于所述漏洞掃描�����、權(quán)限控制以及文件下載的結(jié)果的報表����。 其中,報表生成模塊113經(jīng)由CPU 12向輸出裝置14輸出報表�����。 圖3顯示了本實(shí)用新型的漏洞取證計算機(jī)1的第二實(shí)施例���,如圖3所示�����,該實(shí)施例 的漏洞取證計算機(jī)1包括漏洞取證計算機(jī)11���、 CPU 12��、輸出裝置13����、輸出裝置14和存儲器 15,其中漏洞取證裝置11包括 連接計算機(jī)CPU 12的在線檢查模塊110,用于經(jīng)由CPU 12對局域網(wǎng)內(nèi)的所有計算 機(jī)進(jìn)行實(shí)時漏洞掃描����,查找具有漏洞的目標(biāo)計算機(jī); 連接計算機(jī)CPU 12的漏洞攻擊模塊111����,用于經(jīng)由CPU 12對所述目標(biāo)計算機(jī)進(jìn)行 攻擊����,取得對目標(biāo)計算機(jī)的權(quán)限控制; 連接計算機(jī)CPU 12的文件搜索及下載模塊112�,用于依據(jù)所獲取的控制權(quán)限�����,經(jīng) 由所述CPU 12搜索并下載目標(biāo)計算機(jī)中的相應(yīng)文件;以及 連接計算機(jī)CPU 12的報表生成模塊113���,用于依據(jù)經(jīng)由所述CPU 2供給的所述在 線檢查模塊110����、漏洞攻擊模塊111和文件搜索及下載模塊112的漏洞掃描�����、權(quán)限控制以及 文件下載的結(jié)果����,生成相應(yīng)報表�。 第二實(shí)施例與第一實(shí)施例的區(qū)別僅僅在于模塊110 113都經(jīng)由總線連接CPU 12����,以及報表生成模塊113經(jīng)由CPU 12供應(yīng)模塊110 112輸出的結(jié)果,并依據(jù)這些結(jié)果 生成相應(yīng)報表�。 圖4顯示了本實(shí)用新型的漏洞取證計算機(jī)1的第三實(shí)施例,如圖4所示�,該實(shí)施例 的漏洞取證計算機(jī)1包括漏洞取證裝置11、CPU 12���、輸出裝置13、輸出裝置14���、存儲器15和 密鑰模塊16�����,其中密鑰模塊經(jīng)由總線連接CPU 12,用于限制在線檢查模塊110的掃描計算 機(jī)的權(quán)限��。該實(shí)施例的漏洞取證裝置11的結(jié)構(gòu)可以與上述第一實(shí)施例或第二實(shí)施例相同�����。 圖5至圖7分別顯示了上述第一至第三實(shí)施例的在線檢查模塊110���、漏洞攻擊模塊 111和文件搜索及下載模塊112的細(xì)節(jié)�����。 如圖5所示��,在線檢查模塊110包括設(shè)置多個待查計算機(jī)IP地址的地址設(shè)置單元1101 ;以及按照所設(shè)定的地址對多個待查計算機(jī)2進(jìn)行掃描的掃描單元1102。 在線檢查模塊110執(zhí)行漏洞掃描操作����,它依據(jù)地址設(shè)置單元1101設(shè)置的待查的計
算機(jī)IP地址及漏洞列表(包含MS06040遠(yuǎn)程漏洞�、PNP遠(yuǎn)程漏洞等)開啟多個線程探測待
查的計算機(jī)2��,掃描其存在的安全漏洞����,并根據(jù)返回的信息確定其存在的漏洞種類及漏洞個
數(shù)���。根據(jù)掃描的結(jié)果自動選擇進(jìn)入計算機(jī)的方法���;在掃描過程中自動識別9X/ME和NT/2000
操作系統(tǒng)��,并根據(jù)不同的操作系統(tǒng)采取相應(yīng)的掃描策略���。 如果發(fā)現(xiàn)對方主機(jī)存在系統(tǒng)漏洞,則自動根據(jù)系統(tǒng)自身所記載的漏洞記錄進(jìn)行匹 配�,判斷該漏洞為何種漏洞����,然后根據(jù)不同的漏洞采取相應(yīng)的策略���,通過特殊的手段連接上 該漏洞主機(jī)�����。 如圖6所示���,對目標(biāo)計算機(jī)進(jìn)行漏洞攻擊的漏洞攻擊模塊111包括破解目標(biāo)計算
機(jī)密碼的密碼破解單元1111 ;以及獲取目標(biāo)計算機(jī)權(quán)限的權(quán)限獲取單元1112�。 密碼破解單元1111通過模擬黑客攻擊,運(yùn)用多線程技術(shù)測試目標(biāo)主機(jī)端口 ����,進(jìn)行
攻擊測試����,誘使其緩沖區(qū)溢出或破解口令�����,從而由權(quán)限獲取單元1112獲得系統(tǒng)權(quán)限��,以便
能夠進(jìn)入漏洞主機(jī)并下載文件取證���。 如圖7所示,對所述目標(biāo)計算機(jī)執(zhí)行文件搜索及下載的文件搜索及下載模塊112 包括搜索目標(biāo)計算機(jī)文件的文件搜索單元1121 ;以及下載已搜索到的目標(biāo)計算機(jī)文件的 文件下載單元1122�。 文件搜索單元1121采用基于Windows系統(tǒng)的文件搜索技術(shù),支持檢索瀏覽漏洞主 機(jī)上的文件目錄��,搜索文件�����。 一旦搜索到指定的文件�����,就由文件下載單元1122進(jìn)行下載�����。 本實(shí)用新型首先檢查出存在漏洞的計算機(jī)��,然后根據(jù)不同漏洞采取不同的方法攻 擊漏洞計算機(jī)�,取得相應(yīng)權(quán)限��,獲取用戶資料,使用戶切實(shí)感受到漏洞的危害性���,及時安裝 漏洞補(bǔ)丁,提高計算機(jī)安全性���。 本實(shí)用新型具有以下優(yōu)點(diǎn) 1、掃描速度快�����,效率高,完全適應(yīng)大���、中型網(wǎng)絡(luò)的掃描任務(wù)�,可直接針對B類地址 段進(jìn)行掃描����。 2、對存在漏洞的計算機(jī)���,可以利用漏洞直接進(jìn)入�����,方便對涉密信息的進(jìn)一步檢查�。 3�、通過模擬黑客攻擊����,進(jìn)入漏洞主機(jī)并可下載文件���,取證有力�����。 盡管上文對本實(shí)用新型進(jìn)行了詳細(xì)說明�����,但是本實(shí)用新型不限于此���,本技術(shù)領(lǐng)域
技術(shù)人員可以根據(jù)本實(shí)用新型的原理進(jìn)行各種修改�。因此�,凡按照本實(shí)用新型原理所作的
修改�,都應(yīng)當(dāng)理解為落入本實(shí)用新型的保護(hù)范圍�。
權(quán)利要求一種網(wǎng)絡(luò)漏洞取證系統(tǒng)�,其特征在于包括局域網(wǎng)(3)���;通過所述局域網(wǎng)(3)互聯(lián)的多個待查計算機(jī)(2)�����;以及通過所述局域網(wǎng)互聯(lián)的漏洞取證計算機(jī)(1)�����。
2. 根據(jù)權(quán)利要求l所述的網(wǎng)絡(luò)漏洞取證系統(tǒng),其特征在于所述漏洞取證計算機(jī)(1)是 裝有漏洞取證裝置(11)的計算機(jī)��。
3. 根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)漏洞取證系統(tǒng),其特征在于所述漏洞取證裝置(11)包括連接計算機(jī)CPU(12)的在線檢查模塊(110)���,用于經(jīng)由CPU(12)對局域網(wǎng)內(nèi)的所有待查 計算機(jī)進(jìn)行實(shí)時漏洞掃描�,查找具有漏洞的目標(biāo)計算機(jī)�;連接計算機(jī)CPU(12)的漏洞攻擊模塊(111),用于經(jīng)由CPU(12)對所述目標(biāo)計算機(jī)進(jìn)行 攻擊�,取得對目標(biāo)計算機(jī)的權(quán)限控制;連接計算機(jī)CPU(12)的文件搜索及下載模塊(112)����,用于依據(jù)所獲取的控制權(quán)限���,經(jīng)由 所述CPU(12)搜索并下載目標(biāo)計算機(jī)中的相應(yīng)文件;以及分別連接所述在線檢查模塊(110)�����、漏洞攻擊模塊(111)和文件搜索及下載模塊(112) 輸出的報表生成模塊(113),用于生成對應(yīng)于所述漏洞掃描��、權(quán)限控制以及文件下載的結(jié)果 的報表��。
4. 根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)漏洞取證系統(tǒng)��,其特征在于所述漏洞取證裝置(11)包括連接計算機(jī)CPU(12)的在線檢查模塊(110),用于經(jīng)由CPU(12)對局域網(wǎng)內(nèi)的所有計算 機(jī)進(jìn)行實(shí)時漏洞掃描��,查找具有漏洞的目標(biāo)計算機(jī)�;連接計算機(jī)CPU(12)的漏洞攻擊模塊(111)�����,用于經(jīng)由CPU(12)對所述目標(biāo)計算機(jī)進(jìn)行 攻擊����,取得對目標(biāo)計算機(jī)的權(quán)限控制����;連接計算機(jī)CPU(12)的文件搜索及下載模塊(112)�����,用于依據(jù)所獲取的控制權(quán)限��,經(jīng)由 所述CPU(12)搜索并下載目標(biāo)計算機(jī)中的相應(yīng)文件��;以及連接計算機(jī)CPU(12)的報表生成模塊(113)����,用于依據(jù)經(jīng)由所述CPU(2)供給的所述在 線檢查模塊(110)、漏洞攻擊模塊(111)和文件搜索及下載模塊(112)的漏洞掃描��、權(quán)限控 制以及文件下載的結(jié)果�,生成相應(yīng)報表。
5. 根據(jù)權(quán)利要求3或4所述的網(wǎng)絡(luò)漏洞取證系統(tǒng)�,其特征在于所述在線檢查模塊 (110)包括設(shè)置多個待查計算機(jī)IP地址的地址設(shè)置單元(1101);以及按照所設(shè)定的地址對多個待查計算機(jī)(2)進(jìn)行掃描的掃描單元(1102)��。
6. 根據(jù)權(quán)利要求3或4所述的網(wǎng)絡(luò)漏洞取證系統(tǒng)����,其特征在于對所述目標(biāo)計算機(jī)進(jìn)行 漏洞攻擊的所述漏洞攻擊模塊(111)包括破解目標(biāo)計算機(jī)密碼的密碼破解單元(1111);以及 獲取目標(biāo)計算機(jī)權(quán)限的權(quán)限獲取單元(1112)�。
7. 根據(jù)權(quán)利要求3或4所述的網(wǎng)絡(luò)漏洞取證系統(tǒng),其特征在于對所述目標(biāo)計算機(jī)執(zhí)行 文件搜索及下載的所述文件搜索及下載模塊(112)包括搜索目標(biāo)計算機(jī)文件的文件搜索單元(1121);以及下載已搜索到的目標(biāo)計算機(jī)文件的文件下載單元(1122)�。
8.根據(jù)權(quán)利要求3或4所述的網(wǎng)絡(luò)漏洞取證系統(tǒng),其特征在于還包括連接所述 CPU(12)的限制在線檢查模塊(110)掃描權(quán)限的密鑰模塊(16)���。
專利摘要本實(shí)用新型是一種網(wǎng)絡(luò)漏洞取證系統(tǒng)����,包括局域網(wǎng)�����;通過所述局域網(wǎng)互聯(lián)的多個待查計算機(jī);以及通過所述局域網(wǎng)互聯(lián)的漏洞取證計算機(jī)��。其中所述漏洞取證計算機(jī)是裝有漏洞取證裝置的計算機(jī)���。本實(shí)用新型首先檢查出存在漏洞的計算機(jī),然后根據(jù)不同漏洞采取不同的方法攻擊漏洞計算機(jī)�,取得相應(yīng)權(quán)限,獲取用戶資料����,使用戶切實(shí)感受到漏洞的危害性,及時安裝漏洞補(bǔ)丁��,提高計算機(jī)安全性��。
文檔編號H04L29/06GK201491024SQ200920222400
公開日2010年5月26日 申請日期2009年9月7日 優(yōu)先權(quán)日2009年9月7日
發(fā)明者于晴, 王海洋 申請人:北京鼎普科技股份有限公司