本發(fā)明涉及網(wǎng)絡信息安全技術領域，尤其是涉及電子取證裝置和應用該裝置的電子取證方法。

背景技術：

電子取證是指利用計算機軟硬件技術，以符合法律規(guī)范的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據(jù)獲取、保存、分析和出示的過程。

現(xiàn)有的取證方法大都是基于純軟件的檢測方法。取證軟件通常通過掃描計算機磁盤，分析出其中的文件系統(tǒng)和存儲的文件和數(shù)據(jù)，為取證人員提供取證的參考和內容。純軟件取證方法優(yōu)點是成本低，但是給取證環(huán)境和結果的可靠性、公平性和一致性帶來不確定性因素。

技術實現(xiàn)要素：

有鑒于此，本發(fā)明的目的在于提供電子取證裝置和應用該裝置的電子取證方法，可以保證原始數(shù)據(jù)的有效性，從而提高了取證環(huán)境和取證結果的可靠性、公平性和一致性。

第一方面，本發(fā)明實施例提供了電子取證裝置，包括：高速硬盤克隆設備、取證硬盤、硬盤盒和取證設備；

所述高速硬盤克隆設備，與所述取證硬盤相連接，用于將待取證計算機系統(tǒng)里的硬盤數(shù)據(jù)克隆到所述取證硬盤上；

所述取證設備，通過所述硬盤盒與所述取證硬盤相連接，用于通過所述硬盤盒讀取所述取證硬盤，進行取證。

結合第一方面，本發(fā)明實施例提供了第一方面的第一種可能的實施方式，其中，還包括加密鎖設備，通過USB(Universal Serial Bus，通用串行總線)接口插入所述取證設備，用于對所述取證設備中的取證軟件進行解鎖。

結合第一方面，本發(fā)明實施例提供了第一方面的第二種可能的實施方式，其中，所述取證設備為筆記本電腦。

結合第一方面，本發(fā)明實施例提供了第一方面的第三種可能的實施方式，其中，所述高速硬盤克隆設備、所述取證硬盤、所述硬盤盒和所述取證設備整合在一個安全箱里。

第二方面，本發(fā)明實施例還提供應用電子取證裝置的電子取證方法，包括：

創(chuàng)建案例，并且將取證硬盤作為數(shù)據(jù)源添加到所述案例中；

對所述數(shù)據(jù)源進行分析，得到分析結果；

根據(jù)所述分析結果從所述數(shù)據(jù)源中提取相應的證據(jù)信息；

將所述證據(jù)信息生成電子取證報告。

結合第二方面，本發(fā)明實施例提供了第二方面的第一種可能的實施方式，其中，所述根據(jù)所述分析結果從所述數(shù)據(jù)源中提取相應的證據(jù)信息包括：

根據(jù)所述分析結果對所述數(shù)據(jù)源中相應的文件或數(shù)據(jù)進行標記；

將標記的文件或數(shù)據(jù)進行提取，得到所述證據(jù)信息。

結合第二方面的第一種可能的實施方式，本發(fā)明實施例提供了第二方面的第二種可能的實施方式，其中，所述數(shù)據(jù)源中相應的文件或數(shù)據(jù)包括至少一個以下信息：

可疑的文件或數(shù)據(jù)以及感興趣的文件或數(shù)據(jù)。

結合第二方面，本發(fā)明實施例提供了第二方面的第三種可能的實施方式，其中，所述對所述數(shù)據(jù)源進行分析，得到分析結果包括：

根據(jù)所述數(shù)據(jù)源的類型從攝取模塊中選取對應的分析模塊；

通過所述分析模塊對所述數(shù)據(jù)源進行分析，從而得到所述分析結果。

結合第二方面的第三種可能的實施方式，本發(fā)明實施例提供了第二方面的第四種可能的實施方式，其中，所述根據(jù)所述數(shù)據(jù)源的類型從攝取模塊中選取對應的分析模塊包括：

所述攝取模塊包括共用分析模塊和特殊分析模塊，其中，所述共用分析模塊和所述特殊分析模塊均為默認選項；

當添加所述數(shù)據(jù)源時，根據(jù)所述數(shù)據(jù)源的類型反選所述特殊分析模塊。

結合第二方面的第三種可能的實施方式，本發(fā)明實施例提供了第二方面的第五種可能的實施方式，其中，所述通過所述分析模塊對所述數(shù)據(jù)源進行分析，從而得到所述分析結果包括：

通過所述分析模塊對所述數(shù)據(jù)源里的文件進行掃描分析，從而得到所述分析模塊所要解析出的目標數(shù)據(jù)，并將所述目標數(shù)據(jù)保存在后臺數(shù)據(jù)庫中。

本發(fā)明提供了電子取證裝置和應用該裝置的電子取證方法，該裝置包括高速硬盤克隆設備、取證硬盤、硬盤盒和取證設備，高速硬盤克隆設備將待取證計算機系統(tǒng)里的硬盤數(shù)據(jù)克隆到取證硬盤上；取證設備通過硬盤盒讀取取證硬盤，進行取證。通過創(chuàng)建案例，將取證硬盤作為數(shù)據(jù)源添加到案例中；對數(shù)據(jù)源進行分析，得到分析結果；根據(jù)分析結果從數(shù)據(jù)源中提取相應的證據(jù)信息；將證據(jù)信息生成電子取證報告。本發(fā)明可以保證原始數(shù)據(jù)的有效性，從而提高了取證環(huán)境和取證結果的可靠性、公平性和一致性。

本發(fā)明的其他特征和優(yōu)點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點在說明書、權利要求書以及附圖中所特別指出的結構來實現(xiàn)和獲得。

為使本發(fā)明的上述目的、特征和優(yōu)點能更明顯易懂，下文特舉較佳實施例，并配合所附附圖，作詳細說明如下。

附圖說明

為了更清楚地說明本發(fā)明具體實施方式或現(xiàn)有技術中的技術方案，下面將對具體實施方式或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施方式，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例一提供的電子取證裝置的結構示意圖；

圖2為本發(fā)明實施例二提供的應用電子取證裝置的電子取證方法的流程圖；

圖3為本發(fā)明實施例二提供的應用電子取證裝置的電子取證方法的步驟S203的流程圖；

圖4為本發(fā)明實施例二提供的應用電子取證裝置的電子取證方法的步驟S202的流程圖；

圖5為本發(fā)明實施例二提供的攝取模塊的各個分析模塊的界面圖。

圖標：

10-高速硬盤克隆設備；20-取證硬盤；30-硬盤盒；40-取證設備。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結合附圖對本發(fā)明的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

目前現(xiàn)有的取證方法大都是基于純軟件的檢測方法。取證軟件通常通過掃描計算機磁盤，分析出其中的文件系統(tǒng)和存儲的文件和數(shù)據(jù)，為取證人員提供取證的參考和內容，給取證環(huán)境和結果的可靠性、公平性和一致性帶來不確定性因素，基于此，本發(fā)明實施例提供的電子取證裝置和應用該裝置的電子取證方法，可以保證原始數(shù)據(jù)的有效性，從而提高了取證環(huán)境和取證結果的可靠性、公平性和一致性。

為便于對本實施例進行理解，首先對本發(fā)明實施例所公開的電子取證裝置和應用該裝置的電子取證方法進行詳細介紹，

實施例一：

圖1為本發(fā)明實施例提供的電子取證裝置的結構示意圖。

參照圖1，電子取證裝置包括高速硬盤克隆設備10、取證硬盤20、硬盤盒30和取證設備40；

高速硬盤克隆設備10，與取證硬盤20相連接，用于將待取證計算機系統(tǒng)里的硬盤數(shù)據(jù)克隆到取證硬盤20上；

具體地，采用高速的硬盤克隆設備可以保證獲取數(shù)據(jù)的快捷性和有效性。

取證設備40，通過硬盤盒30與取證硬盤20相連接，用于通過硬盤盒30讀取取證硬盤20，進行取證。

具體地，將取證硬盤放在硬盤盒里，硬盤盒通過USB線連接取證設備，以使取證設備讀取取證硬盤。

根據(jù)本發(fā)明的示例性實施例，還包括加密鎖設備，通過USB接口插入取證設備40，用于對取證設備40中的取證軟件進行解鎖。

具體地，加密鎖又稱加密狗，是一種插在計算機并行口或者USB口上的軟硬件結合的加密產(chǎn)品，通過在軟件中設置多處軟件鎖，從而將加密鎖做為鑰匙來打開這些鎖；如果沒有插入加密鎖或加密鎖不對應，軟件將不能正常執(zhí)行，因此，只有插入與取證設備對應的加密鎖，才能使用取證設備中的取證軟件，從而對取證軟件進行保護，提高了取證設備的安全性。

根據(jù)本發(fā)明的示例性實施例，取證設備40為筆記本電腦。

根據(jù)本發(fā)明的示例性實施例，高速硬盤克隆設備10、取證硬盤20、硬盤盒30和取證設備40整合在一個安全箱里。

具體地，將電子取證裝置整合在一個安全箱里，可以提高取證環(huán)境的安全性，防止取證數(shù)據(jù)被篡改，保證了取證結果的可靠性和一致性。

實施例二：

圖2為本發(fā)明實施例二提供的應用電子取證裝置的電子取證方法的流程圖。

參照圖2，步驟S201，創(chuàng)建案例，并且將取證硬盤作為數(shù)據(jù)源添加到案例中；

具體地，一個案例是一個或多個數(shù)據(jù)源的集合。在對數(shù)據(jù)源進行分析之前，首先要創(chuàng)建案例，可以將一個或多個數(shù)據(jù)源添加到一個案例中。數(shù)據(jù)源包括磁盤鏡像和本地文件，其中，磁盤鏡像是硬盤或者存儲卡字節(jié)到字節(jié)的拷貝的一種文件(或者文件集合)。

步驟S202，對數(shù)據(jù)源進行分析，得到分析結果；

步驟S203，根據(jù)分析結果從數(shù)據(jù)源中提取相應的證據(jù)信息；

步驟S204，將證據(jù)信息生成電子取證報告。

具體地，如圖3所示，上述實施例二應用電子取證裝置的電子取證方法中，步驟S203可采取如下步驟實現(xiàn)，包括：

步驟S301，根據(jù)分析結果對數(shù)據(jù)源中相應的文件或數(shù)據(jù)進行標記；

步驟S302，將標記的文件或數(shù)據(jù)進行提取，得到證據(jù)信息。

這里，數(shù)據(jù)源中相應的文件或數(shù)據(jù)包括至少一個以下信息：

可疑的文件或數(shù)據(jù)以及感興趣的文件或數(shù)據(jù)。

進一步地，如圖4所示，上述實施例二應用電子取證裝置的電子取證方法中，步驟S202可采取如下步驟實現(xiàn)，包括：

步驟S401，根據(jù)數(shù)據(jù)源的類型從攝取模塊中選取對應的分析模塊；

具體地，攝取模塊中的分析模塊用來分析數(shù)據(jù)源中的數(shù)據(jù)，它們分析文件并且解析其中的內容，例如包含散列計算和查找，關鍵字查找和網(wǎng)絡產(chǎn)品提取。將數(shù)據(jù)源添加到案例中之后，需要配置攝取模塊，一旦配置完成，攝取模塊會在后臺運行，并且在發(fā)現(xiàn)相關信息的時候，提供實時的結果。這里，攝取模塊以插件的方式集成在取證軟件中。

步驟S402，通過分析模塊對數(shù)據(jù)源進行分析，從而得到分析結果。

根據(jù)本發(fā)明的示例性實施例，根據(jù)數(shù)據(jù)源的類型從攝取模塊中選取對應的分析模塊包括：

攝取模塊包括共用分析模塊和特殊分析模塊，其中，共用分析模塊和特殊分析模塊均為默認選項；

當添加數(shù)據(jù)源時，根據(jù)數(shù)據(jù)源的類型反選特殊分析模塊。

具體地，如圖5所示，攝取模塊包括以下分析模塊：最近的活動、散列查詢、文件類型識別、內嵌文件的提取器、Exif(EXchangeable Image file Format，可交換的圖像文件格式)解析器、關鍵字查找、電子郵件解析器、類型擴展名不匹配檢測器、E01驗證器、安卓分析器、關注文件標識器、PhotoRec分割器和虛擬機提取器。

這里，上述分析模塊在添加數(shù)據(jù)源時都是默認勾選的，其中，E01驗證器、安卓分析器和虛擬機提取器這三個分析模塊為特殊分析模塊，需要根據(jù)數(shù)據(jù)源的類型進行反選，例如當數(shù)據(jù)源為虛擬機的鏡像文件時，才需要虛擬機提取器對數(shù)據(jù)源進行分析，否則需要反選虛擬機提取器，因為默認是勾選的，所以要對它進行反選，即不需要虛擬機提取器對數(shù)據(jù)源進行分析，同樣的，如果數(shù)據(jù)源不是E01的鏡像文件或者安卓的鏡像文件，則需要反選E01驗證器或者安卓分析器。除這三個特殊分析模塊以外的為共用分析模塊。

根據(jù)本發(fā)明的示例性實施例，通過分析模塊對數(shù)據(jù)源進行分析，從而得到分析結果包括：

通過分析模塊對數(shù)據(jù)源里的文件進行掃描分析，從而得到分析模塊所要解析出的目標數(shù)據(jù)，并將目標數(shù)據(jù)保存在后臺數(shù)據(jù)庫中。

具體地，分析模塊支持NTFS(New Technology File System，WindowsNT環(huán)境的文件系統(tǒng))、FAT12(File Allocation Table File System12，12位文件分配表)、FAT16(File Allocation Table File System 16，16位文件分配表)、FAT32(File Allocation Table File System 32，32位文件分配表)、ExFAT(Extended File Allocation Table File System，擴展文件分配表)、HFS+(Hierarchical File System+，分層文件系統(tǒng))、CD-ROM(Compact Disc Read-Only Memory，只讀光盤)中的ISO9660文件系統(tǒng)、Ext2(second extended filesystem，第二代擴展文件系統(tǒng))、Ext3(Third extended filesystem，第三代擴展文件系統(tǒng))、Ext4(Fourth extended filesystem，第四代擴展文件系統(tǒng))、Yaffs2(second Yet Another Flash File System)文件系統(tǒng)，和UFS(UNIX File System，UNIX文件系統(tǒng))等多種文件系統(tǒng)的分析和掃描。

本發(fā)明提供了電子取證裝置和應用該裝置的電子取證方法，該裝置包括高速硬盤克隆設備、取證硬盤、硬盤盒和取證設備，高速硬盤克隆設備將待取證計算機系統(tǒng)里的硬盤數(shù)據(jù)克隆到取證硬盤上；取證設備通過硬盤盒讀取取證硬盤，進行取證。通過創(chuàng)建案例，將取證硬盤作為數(shù)據(jù)源添加到案例中；對數(shù)據(jù)源進行分析，得到分析結果；根據(jù)分析結果從數(shù)據(jù)源中提取相應的證據(jù)信息；將證據(jù)信息生成電子取證報告。本發(fā)明可以保證原始數(shù)據(jù)的有效性，從而提高了取證環(huán)境和取證結果的可靠性、公平性和一致性。

本發(fā)明實施例所提供的電子取證裝置和應用該裝置的電子取證方法的計算機程序產(chǎn)品，包括存儲了程序代碼的計算機可讀存儲介質，所述程序代碼包括的指令可用于執(zhí)行前面方法實施例中所述的方法，具體實現(xiàn)可參見方法實施例，在此不再贅述。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)和裝置的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

另外，在本發(fā)明實施例的描述中，除非另有明確的規(guī)定和限定，術語“安裝”、“相連”、“連接”應做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機械連接，也可以是電連接；可以是直接相連，也可以通過中間媒介間接相連，可以是兩個元件內部的連通。對于本領域的普通技術人員而言，可以具體情況理解上述術語在本發(fā)明中的具體含義。

所述功能如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中?；谶@樣的理解，本發(fā)明的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：U盤、移動硬盤、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質。

在本發(fā)明的描述中，需要說明的是，術語“中心”、“上”、“下”、“左”、“右”、“豎直”、“水平”、“內”、“外”等指示的方位或位置關系為基于附圖所示的方位或位置關系，僅是為了便于描述本發(fā)明和簡化描述，而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構造和操作，因此不能理解為對本發(fā)明的限制。此外，術語“第一”、“第二”、“第三”僅用于描述目的，而不能理解為指示或暗示相對重要性。

最后應說明的是：以上所述實施例，僅為本發(fā)明的具體實施方式，用以說明本發(fā)明的技術方案，而非對其限制，本發(fā)明的保護范圍并不局限于此，盡管參照前述實施例對本發(fā)明進行了詳細的說明，本領域的普通技術人員應當理解：任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內，其依然可以對前述實施例所記載的技術方案進行修改或可輕易想到變化，或者對其中部分技術特征進行等同替換；而這些修改、變化或者替換，并不使相應技術方案的本質脫離本發(fā)明實施例技術方案的精神和范圍，都應涵蓋在本發(fā)明的保護范圍之內。因此，本發(fā)明的保護范圍應以所述權利要求的保護范圍為準。