專利名稱：一種針對計算機文件進行時間線分析的方法
技術領域：
本發(fā)明涉及到計算機取證領域，特別涉及到一種針對文件時間、數(shù)據(jù)記錄時間進行分析的方法。
背景技術：
計算機取證(Computer i^orensics、計算機取證技術、計算機鑒識、計算機法醫(yī)學) 是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據(jù)，并據(jù)此提起訴訟。也就是針對計算機入侵與犯罪，進行證據(jù)獲取、保存、分析和出示。計算機證據(jù)指在計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言，計算機取證是一個對案件相關的計算機系統(tǒng)進行掃描和分析，以對計算機中現(xiàn)場數(shù)據(jù)進行重建的過程?？衫斫鉃椤皬挠嬎銠C上提取證據(jù)”即獲取、保存、分析、出示、提供的證據(jù)必須可信。計算機取證(Computer Forensics)在打擊計算機和網(wǎng)絡犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據(jù)提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網(wǎng)絡入侵、盜用知識產(chǎn)權和網(wǎng)絡欺騙等。文件中的屬性保存有創(chuàng)建時間、修改時間，最后訪問時間，注冊表中的鍵保存有創(chuàng)建時間、即時通信保存有聊天記錄時間等。在某段時間內，可能會發(fā)生一個文件的創(chuàng)建、兩個人的聊天內容，一個新的鍵產(chǎn)生，這些變化很可能互有關聯(lián)性，但目前市場上并沒有相關軟件能描述這些變化，以及針對這些變化帶來的影響。綜上所述，針對現(xiàn)有技術的缺陷，特別需要一種針對計算機中文件和數(shù)據(jù)記錄進行時間線分析的方法，以解決現(xiàn)有技術的不足。

發(fā)明內容
本發(fā)明的目的是提供一種針對計算機中文件和數(shù)據(jù)記錄進行時間線分析的方法， 針對系統(tǒng)中所有文件的創(chuàng)建時間、修正時間、最后訪問時間，注冊表鍵的創(chuàng)建時間，郵件的發(fā)送時間、服務器接收時間、保存到本地時間，上網(wǎng)日志的最后訪問時間，操作系統(tǒng)和應用日志時間，即時通訊記錄時間，文件下載項的創(chuàng)建時間、接收時間、完成時間進行排序，通過圖表及摘要的方式進行顯示，從而實現(xiàn)本發(fā)明的目的。本發(fā)明所解決的技術問題可以采用以下技術方案來實現(xiàn)—種針對計算機中文件和數(shù)據(jù)記錄進行時間線分析的方法，其特征在于，所述方法包括如下步驟1)通過解析具體的文件系統(tǒng)得到相應的文件記錄數(shù)據(jù)；2)確定每種記錄類型所在文件的具體格式，解析出該記錄，得到文件相關的時間 fn息；3)解析注冊表記錄，得到注冊表項的時間信息；4)解析郵件數(shù)據(jù)，得到郵件的發(fā)送時間、服務器接收時間、保存到本地時間信息；
5)解析上網(wǎng)日志記錄，得到上網(wǎng)日志的訪問時間信息；6)解析即時通訊日志記錄，得到即時通訊記錄的時間信息；7)解析操作系統(tǒng)和應用日志數(shù)據(jù)，得到日志的時間信息；8)解析各類下載軟件的下載項記錄，得到下載項創(chuàng)建時間、接收時間信息；9)將上述記錄的指針，連同時間類型一起組成數(shù)據(jù)對，加入到一個列表中，按時間值進行排序；10)計算列表中數(shù)據(jù)對的數(shù)量，并將記錄顯示到界面中；在本發(fā)明的一個實施例中，所述方法能指定時間段，對相應的時間段數(shù)據(jù)和記錄進行顯示。在本發(fā)明的一個實施例中，對各種記錄用不同的顏色進行分門別類的顯示。在本發(fā)明的一個實施例中，在解析一種新的記錄或加載一個磁盤時，重新根據(jù)統(tǒng)一的數(shù)據(jù)對，進行時間排序。 在本發(fā)明的一個實施例中，可以對數(shù)據(jù)對按照其數(shù)據(jù)特性進行過濾。
具體實施例方式為了使本發(fā)明實現(xiàn)的技術手段、創(chuàng)作特征、達成目的與功效易于明白了解，下面結合具體圖示，進一步闡述本發(fā)明。本發(fā)明主要針對在給定的某段時間內，針對系統(tǒng)中所有文件的創(chuàng)建時間、修正時間、最后訪問時間，注冊表鍵的創(chuàng)建時間，郵件的發(fā)送時間、服務器接收時間、保存到本地時間，上網(wǎng)日志的最后訪問時間，操作系統(tǒng)和應用日志時間，即時通訊記錄時間，文件下載項的創(chuàng)建時間、接收時間、完成時間進行排序，通過圖表及摘要的方式進行顯示。針對七種類型的記錄(包括文件/文件夾、上網(wǎng)日志、郵件記錄、即時通訊、注冊表、系統(tǒng)日志、下載記錄)，設置相應的時間類型枚舉變量如下
4enum TimeType
{
FILE—CREATE FILE—MODIFY FILE—ACCESS REGISTRY—TIME EVENTLOG—TM MAIL—SENT MAIL—RECEIVE MAIL—SAVE IM—TIME DOWN—CREATE DOWN—RECEIVE DOWN—FINISH WEB—FIRST
WEB—SECOND }；這些時間類型便于對列表進行過濾，元素時間與時間類型的獲取。所有記錄本身與其時間組成的數(shù)據(jù)對存放于列表中。對于多次加載磁盤與多次做應用分析的情形，給出了相應的對策由于多次操作， 可能造成列表中的元素有重復的現(xiàn)象，為此利用std::Set剔除相同的元素，再將其置入列表中。對于文件/目錄類型的記錄，從所給的根結點處往下遍歷，將所有的結點(包括文件夾)與其對應的時間類型置入列表中。對于應用分析類型的記錄，也是從所給根結點處往下遍歷，插入的結點應滿足如下條件
權利要求
1.一種針對計算機文件和記錄數(shù)據(jù)進行時間線分析的方法，其特征在于，所述方法包括如下步驟1)通過解析具體的文件系統(tǒng)得到相應的文件記錄數(shù)據(jù)；2)確定每種記錄類型所在文件的具體格式，解析出該記錄，得到文件相關的時間信息；3)解析注冊表記錄，得到注冊表項的時間信息；4)解析郵件數(shù)據(jù)，得到郵件的發(fā)送時間、服務器接收時間、保存到本地時間信息；5)解析上網(wǎng)日志記錄，得到上網(wǎng)日志的訪問時間信息；6)解析即時通訊日志記錄，得到即時通訊記錄的時間信息；7)解析操作系統(tǒng)和應用日志數(shù)據(jù)，得到日志的時間信息；8)解析各類下載軟件的下載項記錄，得到下載項創(chuàng)建時間、接收時間信息；9)將上述記錄的指針，連同時間類型一起組成數(shù)據(jù)對，加入到一個列表中，按時間值進行排序；10)計算列表中數(shù)據(jù)對的數(shù)量，并將記錄顯示到界面中；
2.如權利要求所述的一種針對計算機文件和記錄數(shù)據(jù)進行時間線分析的方法，其特征在于，所述方法能指定時間段，對相應的時間段數(shù)據(jù)和記錄進行過濾和顯示。
3.如權利要求所述的一種針對計算機文件和記錄數(shù)據(jù)進行時間線分析的方法，其特征在于，對各種記錄用不同的顏色進行分門別類的顯示。
4.如權利要求所述的一種針對計算機文件和記錄數(shù)據(jù)進行時間線分析的方法，其特征在于，在解析一種新的記錄或加載一個磁盤時，重新根據(jù)統(tǒng)一的數(shù)據(jù)對，進行時間排序。
5.如權利要求所述的一種針對計算機文件和記錄數(shù)據(jù)進行時間線分析的方法，其特征在于，所述方法能對數(shù)據(jù)對按照其數(shù)據(jù)特性進行過濾。
全文摘要
本發(fā)明公開了一種針對計算機文件和記錄數(shù)據(jù)進行時間線分析的方法，針對系統(tǒng)中所有文件的創(chuàng)建時間、修改時間、最后訪問時間，注冊表鍵的創(chuàng)建時間，郵件的發(fā)送時間、服務器接收時間、保存到本地時間，上網(wǎng)日志的最后訪問時間，系統(tǒng)和應用日志時間，即時通訊記錄時間，文件下載項的創(chuàng)建時間、接收時間、完成時間進行排序，通過圖表及摘要的方式進行顯示。
文檔編號G06F17/30GK102289485SQ20111022306
公開日2011年12月21日 申請日期2011年8月4日 優(yōu)先權日2011年8月4日
發(fā)明者湯偉, 陸道宏 申請人:盤石軟件(上海)有限公司