亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法

文檔序號(hào):6630325閱讀:242來(lái)源:國(guó)知局
取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法
【專利摘要】本發(fā)明涉及一種取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,其中包括:取證軟件對(duì)自定義腳本進(jìn)行編譯處理,并得到取證分析對(duì)象;取證軟件根據(jù)編譯處理后的自定義腳本對(duì)采集到的電子數(shù)據(jù)進(jìn)行歸一化處理,并得到對(duì)應(yīng)的電子數(shù)據(jù)樹(shù);取證軟件將取證分析對(duì)象與電子數(shù)據(jù)樹(shù)進(jìn)行關(guān)聯(lián)分析,并獲得取證分析結(jié)果。采用本發(fā)明的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,通過(guò)自定義腳本解除取證分析邏輯和取證分析軟件的綁定,使取證軟件的軟件框架較為開(kāi)放,使取證軟件在運(yùn)行過(guò)程中不受到應(yīng)用軟件的限制,針對(duì)不同軟件可加載不同的自定義腳本,取證方法靈活多變,提高取證效率,加快分析過(guò)程,具有更廣泛的應(yīng)用范圍。
【專利說(shuō)明】取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)分析領(lǐng)域,尤其涉及電子數(shù)據(jù)取證分析領(lǐng)域,具體是指一種取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法。

【背景技術(shù)】
[0002]隨著計(jì)算機(jī)犯罪個(gè)案數(shù)字不斷上升和犯罪手段的數(shù)字化,搜集電子證據(jù)的工作成為提供重要線索及破案的關(guān)鍵?;謴?fù)已被破壞的計(jì)算機(jī)數(shù)據(jù)及提供相關(guān)的電子資料證據(jù)就是電子取證,然而移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展以及傳統(tǒng)網(wǎng)絡(luò)應(yīng)用往移動(dòng)互聯(lián)網(wǎng)上迅速轉(zhuǎn)移,電子數(shù)據(jù)取證將面臨著對(duì)更多類型應(yīng)用程序的使用痕跡分析。傳統(tǒng)的電子數(shù)據(jù)取證軟件主要是將提前由取證專家提出對(duì)應(yīng)應(yīng)用程序的取證分析技術(shù)和方案,然后由電子數(shù)據(jù)取證軟件研發(fā)廠商將取證過(guò)程以軟件形式進(jìn)行開(kāi)發(fā)研制出來(lái)。如圖1所示,為傳統(tǒng)取證分析示意圖,這種方案面臨了如下兩個(gè)問(wèn)題難以解決:
[0003]1、電子數(shù)據(jù)取證軟件支持的應(yīng)用程序有限,一旦超出所支持的應(yīng)用程序范圍,則無(wú)法提供取證手段支持。
[0004]2、由于每個(gè)軟件都是相對(duì)獨(dú)立的開(kāi)發(fā),軟件架構(gòu)較為封閉,用戶自定義編輯困難,無(wú)法共享取證專家的取證思路,也無(wú)法將多個(gè)取證思路結(jié)合應(yīng)用。


【發(fā)明內(nèi)容】

[0005]本發(fā)明的目的是克服了上述現(xiàn)有技術(shù)的缺點(diǎn),提供了一種通過(guò)加載自定義腳本實(shí)現(xiàn)數(shù)據(jù)提取和數(shù)據(jù)分析,擴(kuò)大取證軟件應(yīng)用范圍,軟件架構(gòu)相對(duì)靈活多變的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法。
[0006]為了實(shí)現(xiàn)上述目的,本發(fā)明的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法具有如下構(gòu)成:
[0007]該取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,其主要特點(diǎn)是,所述的方法包括以下步驟:
[0008](I)取證軟件對(duì)自定義腳本進(jìn)行編譯處理,并得到取證分析對(duì)象;
[0009](2)所述的取證軟件根據(jù)編譯處理后的自定義腳本對(duì)采集到的電子數(shù)據(jù)進(jìn)行歸一化處理,并得到對(duì)應(yīng)的電子數(shù)據(jù)樹(shù);
[0010](3)所述的取證軟件將所述的取證分析對(duì)象與所述的電子數(shù)據(jù)樹(shù)進(jìn)行關(guān)聯(lián)分析,并獲得取證分析結(jié)果。
[0011]進(jìn)一步地,所述的取證軟件根據(jù)編譯處理后的自定義腳本對(duì)采集到的電子數(shù)據(jù)進(jìn)行歸一化處理,包括以下步驟:
[0012](2.1)所述的取證軟件對(duì)所述的電子數(shù)據(jù)進(jìn)行歸類與合并,并對(duì)所述的電子數(shù)據(jù)進(jìn)行特征信息采集;
[0013](2.2)所述的取證軟件根據(jù)采集到的特征信息建立索引接口。
[0014]更進(jìn)一步地,所述的步驟(2.1)之前,還包括以下步驟:
[0015](2.0)所述的取證軟件根據(jù)自身的分析類得到數(shù)據(jù)獲取模板和數(shù)據(jù)獲取要求。
[0016]更進(jìn)一步地,所述的取證軟件對(duì)所述的電子數(shù)據(jù)進(jìn)行歸類與合并,具體為:
[0017]所述的取證軟件根據(jù)所述的數(shù)據(jù)獲取模板和數(shù)據(jù)獲取要求對(duì)所述的電子數(shù)據(jù)進(jìn)行歸類與合并。
[0018]其中,所述的特征信息包括文件是否加密信息、文件后綴信息、創(chuàng)建信息、修改信息、訪問(wèn)日期信息、文件類型信息和文件全路徑信息。
[0019]更進(jìn)一步地,所述的取證軟件將所述的取證分析對(duì)象與所述的電子數(shù)據(jù)樹(shù)進(jìn)行關(guān)聯(lián)分析,包括以下步驟:
[0020](3.1)所述的取證軟件通過(guò)索引接口查找所述的電子數(shù)據(jù)樹(shù)中與所述的取證分析對(duì)象對(duì)應(yīng)的電子數(shù)據(jù)文件;
[0021](3.2)所述的取證軟件對(duì)查找到的電子數(shù)據(jù)文件進(jìn)行分析處理。
[0022]更進(jìn)一步地,所述的步驟(3.1)和(3.2)之間,還包括以下步驟:
[0023](3.1.1)所述的取證軟件根據(jù)所述的電子數(shù)據(jù)文件的文件路徑或目錄路徑判斷是否對(duì)該電子數(shù)據(jù)文件進(jìn)行分析處理,如果是,則繼續(xù)步驟(3.2),否則返回步驟(3.1)。
[0024]更進(jìn)一步地,所述的獲得取證分析結(jié)果,包括以下步驟:
[0025](3.3)所述的取證軟件根據(jù)自身的分析類得到數(shù)據(jù)輸出格式化模板;
[0026](3.4)所述的取證軟件根據(jù)所述的數(shù)據(jù)輸出格式化模板對(duì)分析處理結(jié)果進(jìn)行格式化,得到所述的取證分析結(jié)果。
[0027]采用了本發(fā)明的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,通過(guò)自定義腳本解除取證分析邏輯和取證分析軟件的綁定,使取證軟件的軟件框架較為開(kāi)放,取證分析人員可以自行編輯自定義腳本的內(nèi)容,并在取證軟件中加載該自定義腳本,將取證分析人員的取證思路與取證軟件的運(yùn)行相結(jié)合,使取證軟件在運(yùn)行過(guò)程中不受到應(yīng)用軟件的限制,應(yīng)用范圍更加廣泛,且針對(duì)不同軟件可加載不同的自定義腳本,取證方法靈活多變,提高取證效率,加快分析過(guò)程,同時(shí),還可以建立共享的自定義腳本庫(kù),共享新的取證思路和取證手段,更加有利于自定義腳本的開(kāi)發(fā),具有更廣泛的應(yīng)用范圍。

【專利附圖】

【附圖說(shuō)明】
[0028]圖1為本發(fā)明的傳統(tǒng)取證分析示意圖。
[0029]圖2為本發(fā)明的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法的流程圖。
[0030]圖3為本發(fā)明在實(shí)際應(yīng)用中的結(jié)構(gòu)框圖。
[0031]圖4為本發(fā)明的腳本引擎的工作流程圖。
[0032]圖5為本發(fā)明的“分析類”的工作流程圖。

【具體實(shí)施方式】
[0033]為了能夠更清楚地描述本發(fā)明的技術(shù)內(nèi)容,下面結(jié)合具體實(shí)施例來(lái)進(jìn)行進(jìn)一步的描述。
[0034]在一種實(shí)施方式中,如圖2所示,本發(fā)明的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法包括以下步驟:
[0035](I)取證軟件對(duì)自定義腳本進(jìn)行編譯處理,并得到取證分析對(duì)象;
[0036](2)所述的取證軟件根據(jù)編譯處理后的自定義腳本對(duì)采集到的電子數(shù)據(jù)進(jìn)行歸一化處理,并得到對(duì)應(yīng)的電子數(shù)據(jù)樹(shù);
[0037](3)所述的取證軟件將所述的取證分析對(duì)象與所述的電子數(shù)據(jù)樹(shù)進(jìn)行關(guān)聯(lián)分析,并獲得取證分析結(jié)果。
[0038]在一種優(yōu)選的實(shí)施方式中,所述的取證軟件根據(jù)編譯處理后的自定義腳本對(duì)采集到的電子數(shù)據(jù)進(jìn)行歸一化處理,包括以下步驟:
[0039](2.1)所述的取證軟件對(duì)所述的電子數(shù)據(jù)進(jìn)行歸類與合并,并對(duì)所述的電子數(shù)據(jù)進(jìn)行特征信息采集;
[0040](2.2)所述的取證軟件根據(jù)采集到的特征信息建立索引接口。
[0041]在一種更優(yōu)選的實(shí)施方式中,所述的步驟(2.1)之前,還包括以下步驟:
[0042](2.0)所述的取證軟件根據(jù)自身的分析類得到數(shù)據(jù)獲取模板和數(shù)據(jù)獲取要求。
[0043]在一種更優(yōu)選的實(shí)施方式中,所述的取證軟件對(duì)所述的電子數(shù)據(jù)進(jìn)行歸類與合并,具體為:
[0044]所述的取證軟件根據(jù)所述的數(shù)據(jù)獲取模板和數(shù)據(jù)獲取要求對(duì)所述的電子數(shù)據(jù)進(jìn)行歸類與合并。
[0045]其中,所述的特征信息包括文件是否加密信息、文件后綴信息、創(chuàng)建信息、修改信息、訪問(wèn)日期信息、文件類型信息和文件全路徑信息。
[0046]在一種更優(yōu)選的實(shí)施方式中,所述的取證軟件將所述的取證分析對(duì)象與所述的電子數(shù)據(jù)樹(shù)進(jìn)行關(guān)聯(lián)分析,包括以下步驟:
[0047](3.1)所述的取證軟件通過(guò)索引接口查找所述的電子數(shù)據(jù)樹(shù)中與所述的取證分析對(duì)象對(duì)應(yīng)的電子數(shù)據(jù)文件;
[0048](3.2)所述的取證軟件對(duì)查找到的電子數(shù)據(jù)文件進(jìn)行分析處理。
[0049]在一種更優(yōu)選的實(shí)施方式中,所述的步驟(3.1)和(3.2)之間,還包括以下步驟:
[0050](3.1.1)所述的取證軟件根據(jù)所述的電子數(shù)據(jù)文件的文件路徑或目錄路徑判斷是否對(duì)該電子數(shù)據(jù)文件進(jìn)行分析處理,如果是,則繼續(xù)步驟(3.2),否則返回步驟(3.1)。
[0051]在一種更優(yōu)選的實(shí)施方式中,所述的獲得取證分析結(jié)果,包括以下步驟:
[0052](3.3)所述的取證軟件根據(jù)自身的分析類得到數(shù)據(jù)輸出格式化模板;
[0053](3.4)所述的取證軟件根據(jù)所述的數(shù)據(jù)輸出格式化模板對(duì)分析處理結(jié)果進(jìn)行格式化,得到所述的取證分析結(jié)果。
[0054]請(qǐng)參閱圖3至5所示,在實(shí)際應(yīng)用中,本發(fā)明的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法主要基于以下幾點(diǎn)進(jìn)行改進(jìn):
[0055]a.將取證分析過(guò)程形式化為“獲取數(shù)據(jù)”,“刪除恢復(fù)”,“取證分析”,“生成報(bào)告”四個(gè)主要方面,并以抽象接口的形式,將這四個(gè)部分進(jìn)行隔離,即這四個(gè)部分彼此之間不存在直接的依賴關(guān)系。
[0056]b.將多個(gè)案件的原始電子數(shù)據(jù)進(jìn)行統(tǒng)一的歸一化處理,抽象為單一的樹(shù)形文件系統(tǒng)形式,所有電子數(shù)據(jù)都可以通過(guò)從樹(shù)根節(jié)點(diǎn)到葉子節(jié)點(diǎn)的路徑來(lái)進(jìn)行訪問(wèn),對(duì)于一個(gè)案件而言,可以向該案件添加windows系統(tǒng)的磁盤(pán),Iinux系統(tǒng)的磁盤(pán),以及Mac系統(tǒng)的磁盤(pán),而這三種類型的操作系統(tǒng)使用的文件系統(tǒng)都存在一定的區(qū)別?!皻w一化處理”是將這三種類型操作系統(tǒng)所使用例如ntfs、fat、fatl6、ext系列、hfs、hfs+等文件系統(tǒng)以一種統(tǒng)一的方式進(jìn)行描述。這種統(tǒng)一的描述方法形如“ {案件資源id} \文件或目錄路徑”的方式,其中,案件資源id代表了資源的標(biāo)識(shí)信息。例如,對(duì)于一個(gè)windows系統(tǒng)的磁盤(pán),可能具有3個(gè)分區(qū),則每一個(gè)分區(qū)都用一個(gè)案件資源id來(lái)代表。
[0057]此外,在將多個(gè)案件的原始電子數(shù)據(jù)的資源文件合并到單一的電子數(shù)據(jù)樹(shù)時(shí),還需要對(duì)每個(gè)原始電子數(shù)據(jù)的資源文件進(jìn)行特征信息抽取,主要包括文件是否加密、文件后綴、創(chuàng)建、修改、訪問(wèn)日期、文件類型、文件全路徑等多種信息。將這些信息形成電子數(shù)據(jù)的元信息,并建立倒排索引,便于在海量的案件資源中進(jìn)行快速的歸檔和檢索。
[0058]另外,電子數(shù)據(jù)資源樹(shù)對(duì)其他模塊提供統(tǒng)一的訪問(wèn)接口,調(diào)用者輸入特定的模式信息,例如輸入(\(? 0\d{2} [)-] ? \d{8}),可以查詢到所有包含電話號(hào)碼信息的文件。相比較其他案件資源管理系統(tǒng),本發(fā)明的優(yōu)勢(shì)之一就是可以支持自定義的檢索模式,而不僅僅是進(jìn)行簡(jiǎn)單的字符串匹配搜索
[0059]c.“取證分析”模塊抽象為一個(gè)分析類,即“分析類”是一個(gè)取證分析過(guò)程的模板,所有分析相關(guān)的任務(wù)都可以繼承自該分析類,并且這個(gè)分析類可以由取證分析軟件在運(yùn)行時(shí)動(dòng)態(tài)的進(jìn)行編譯,并加入到運(yùn)行環(huán)境中來(lái),因此,取證分析人員的取證分析行為就和取證分析軟件進(jìn)行了分離,具體的取證分析行為可以由取證分析人員以腳本的形式在取證分析軟件中進(jìn)行實(shí)時(shí)的修改和補(bǔ)充。
[0060]“分析類”提供了最為基礎(chǔ)的取證分析流程,如圖5所示,為“分析類”和用戶編寫(xiě)的自定義腳本之間的關(guān)聯(lián)關(guān)系。用戶根據(jù)自身實(shí)際取證的要求,編輯數(shù)據(jù)提取和數(shù)據(jù)分析方法進(jìn)行數(shù)據(jù)處理,相比其他的取證分析手段,本方法將“數(shù)據(jù)提取”、“數(shù)據(jù)分析”的過(guò)程抽取出來(lái)腳本化,可以由用戶自己來(lái)實(shí)現(xiàn)這兩個(gè)過(guò)程,同時(shí),提供了固化的“數(shù)據(jù)分析方法”,由用戶根據(jù)其取證分析手段進(jìn)行組合使用。
[0061]d.本方法將用戶取證過(guò)程和案件資源進(jìn)行了深度的隔離,用戶的取證手段可以通過(guò)加載自定義腳本的形式來(lái)實(shí)現(xiàn)。也就是說(shuō)用戶可以自己編寫(xiě)取證分析代碼,通過(guò)對(duì)用戶編寫(xiě)的取證分析代碼進(jìn)行編譯處理,再與案件資源進(jìn)行關(guān)聯(lián)分析?!瓣P(guān)聯(lián)分析”主要是是包括兩個(gè)部分,“關(guān)聯(lián)”和“分析”。其中,“關(guān)聯(lián)”部分的功能指的是哪些文件或目錄可以通過(guò)腳本來(lái)處理,是由腳本自身代碼決定的;“分析”部分的功能是由腳本來(lái)完成的。用戶編寫(xiě)不同功能的腳本,這些腳本經(jīng)過(guò)編譯具備了對(duì)文件內(nèi)容進(jìn)行分析處理的能力,案件資源系統(tǒng)對(duì)歸一化的電子數(shù)據(jù)樹(shù)采取深度遍歷的方式進(jìn)行遍歷,每次遍歷到一個(gè)文件或者文件夾時(shí),都會(huì)調(diào)用腳本中必須實(shí)現(xiàn)的“關(guān)聯(lián)方法”,這個(gè)“關(guān)聯(lián)方法”通過(guò)對(duì)傳遞給它的文件路徑或目錄路徑進(jìn)行識(shí)別,判斷是否可以對(duì)這個(gè)文件或目錄進(jìn)行分析。
[0062]相比較其他的取證分析手段,最大的優(yōu)勢(shì)在于取證手段靈活,但是,需要用戶掌握較高的代碼編寫(xiě)技能,所以,提供取證分析腳本庫(kù),該腳本庫(kù)可以由用戶自主上傳自己編寫(xiě)的取證分析腳本,或者下載其他取證分析人員已上傳的腳本數(shù)據(jù),實(shí)現(xiàn)現(xiàn)有資源的共享。
[0063]e.通過(guò)提供腳本引擎,在運(yùn)行時(shí)加載取證分析人員編寫(xiě)的腳本,來(lái)實(shí)現(xiàn)取證分析邏輯和電子數(shù)據(jù)的關(guān)聯(lián)關(guān)系解耦合,腳本引擎的主要工作流程如圖4所示,主要包括自定義腳本數(shù)據(jù)加載、自定義腳本編譯、從自定義腳本中初始化取證分析對(duì)象、傳遞形式化的樹(shù)形文件系統(tǒng)給取證分析對(duì)象,最后是執(zhí)行取證分析對(duì)象的運(yùn)行函數(shù)獲取取證分析結(jié)果。
[0064]采用了本發(fā)明的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,通過(guò)自定義腳本解除取證分析邏輯和取證分析軟件的綁定,使取證軟件的軟件框架較為開(kāi)放,取證分析人員可以自行編輯自定義腳本的內(nèi)容,并在取證軟件中加載該自定義腳本,將取證分析人員的取證思路與取證軟件的運(yùn)行相結(jié)合,使取證軟件在運(yùn)行過(guò)程中不受到應(yīng)用軟件的限制,應(yīng)用范圍更加廣泛,且針對(duì)不同軟件可加載不同的自定義腳本,取證方法靈活多變,支持自定義的檢索模式,提高取證效率,加快分析過(guò)程,同時(shí),還可以建立共享的自定義腳本庫(kù),共享新的取證思路和取證手段,更加有利于自定義腳本的開(kāi)發(fā),具有更廣泛的應(yīng)用范圍。
[0065]在此說(shuō)明書(shū)中,本發(fā)明已參照其特定的實(shí)施例作了描述。但是,很顯然仍可以作出各種修改和變換而不背離本發(fā)明的精神和范圍。因此,說(shuō)明書(shū)和附圖應(yīng)被認(rèn)為是說(shuō)明性的而非限制性的。
【權(quán)利要求】
1.一種取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,其特征在于,所述的方法包括以下步驟: (1)取證軟件對(duì)自定義腳本進(jìn)行編譯處理,并得到取證分析對(duì)象; (2)所述的取證軟件根據(jù)編譯處理后的自定義腳本對(duì)采集到的電子數(shù)據(jù)進(jìn)行歸一化處理,并得到對(duì)應(yīng)的電子數(shù)據(jù)樹(shù); (3)所述的取證軟件將所述的取證分析對(duì)象與所述的電子數(shù)據(jù)樹(shù)進(jìn)行關(guān)聯(lián)分析,并獲得取證分析結(jié)果。
2.根據(jù)權(quán)利要求1所述的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,其特征在于,所述的取證軟件根據(jù)編譯處理后的自定義腳本對(duì)采集到的電子數(shù)據(jù)進(jìn)行歸一化處理,包括以下步驟: (2.1)所述的取證軟件對(duì)所述的電子數(shù)據(jù)進(jìn)行歸類與合并,并對(duì)所述的電子數(shù)據(jù)進(jìn)行特征信息采集; (2.2)所述的取證軟件根據(jù)采集到的特征信息建立索引接口。
3.根據(jù)權(quán)利要求2所述的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,其特征在于,所述的步驟(2.1)之前,還包括以下步驟: (2.0)所述的取證軟件根據(jù)自身的分析類得到數(shù)據(jù)獲取模板和數(shù)據(jù)獲取要求。
4.根據(jù)權(quán)利要求3所述的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,其特征在于,所述的取證軟件對(duì)所述的電子數(shù)據(jù)進(jìn)行歸類與合并,具體為: 所述的取證軟件根據(jù)所述的數(shù)據(jù)獲取模板和數(shù)據(jù)獲取要求對(duì)所述的電子數(shù)據(jù)進(jìn)行歸類與合并。
5.根據(jù)權(quán)利要求4所述的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,其特征在于,所述的特征信息包括文件是否加密信息、文件后綴信息、創(chuàng)建信息、修改信息、訪問(wèn)日期信息、文件類型信息和文件全路徑信息。
6.根據(jù)權(quán)利要求3至5中任一項(xiàng)所述的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,其特征在于,所述的取證軟件將所述的取證分析對(duì)象與所述的電子數(shù)據(jù)樹(shù)進(jìn)行關(guān)聯(lián)分析,包括以下步驟: (3.1)所述的取證軟件通過(guò)索引接口查找所述的電子數(shù)據(jù)樹(shù)中與所述的取證分析對(duì)象對(duì)應(yīng)的電子數(shù)據(jù)文件; (3.2)所述的取證軟件對(duì)查找到的電子數(shù)據(jù)文件進(jìn)行分析處理。
7.根據(jù)權(quán)利要求6所述的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,其特征在于,所述的步驟(3.1)和(3.2)之間,還包括以下步驟: (3.1.1)所述的取證軟件根據(jù)所述的電子數(shù)據(jù)文件的文件路徑或目錄路徑判斷是否對(duì)該電子數(shù)據(jù)文件進(jìn)行分析處理,如果是,則繼續(xù)步驟(3.2),否則返回步驟(3.1)。
8.根據(jù)權(quán)利要求6所述的取證軟件中基于自定義腳本實(shí)現(xiàn)電子數(shù)據(jù)取證分析的方法,其特征在于,所述的獲得取證分析結(jié)果,包括以下步驟: (3.3)所述的取證軟件根據(jù)自身的分析類得到數(shù)據(jù)輸出格式化模板; (3.4)所述的取證軟件根據(jù)所述的數(shù)據(jù)輸出格式化模板對(duì)分析處理結(jié)果進(jìn)行格式化,得到所述的取證分析結(jié)果。
【文檔編號(hào)】G06F17/30GK104360837SQ201410546906
【公開(kāi)日】2015年2月18日 申請(qǐng)日期:2014年10月16日 優(yōu)先權(quán)日:2014年10月16日
【發(fā)明者】吳松洋, 金波, 熊雄, 劉善軍, 何俊峰 申請(qǐng)人:公安部第三研究所
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1