CN111782589B - 一种用于操作历史重现的数据模型的构建方法及系统 - Google Patents

一种用于操作历史重现的数据模型的构建方法及系统 Download PDF

Info

Publication number
CN111782589B
CN111782589B CN202010546474.1A CN202010546474A CN111782589B CN 111782589 B CN111782589 B CN 111782589B CN 202010546474 A CN202010546474 A CN 202010546474A CN 111782589 B CN111782589 B CN 111782589B
Authority
CN
China
Prior art keywords
data
index
service
data model
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010546474.1A
Other languages
English (en)
Other versions
CN111782589A (zh
Inventor
李向林
范玮
李军
黄志炜
严小飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Meiya Pico Information Co Ltd
Original Assignee
Xiamen Meiya Pico Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Meiya Pico Information Co Ltd filed Critical Xiamen Meiya Pico Information Co Ltd
Publication of CN111782589A publication Critical patent/CN111782589A/zh
Application granted granted Critical
Publication of CN111782589B publication Critical patent/CN111782589B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/13File access structures, e.g. distributed indices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/113Details of archiving
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/1805Append-only file systems, e.g. using logs or journals to store data
    • G06F16/1815Journaling file systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种用于操作历史重现的数据模型的构建方法,其包括以下步骤:基于目标计算机的磁盘文件结构,获取目标计算机中经历变更或新增的数据信息,然后获取所述数据信息中的每个数据项所对应的数据节点;基于业务类型对所述每个数据项进行归类,并且基于业务类型的分类方式建立所述每个数据项的数据节点的索引值以形成索引映射表,从而构建出初始数据模型;以及基于所述初始的数据模型,根据不同业务段对相应数据项进行整合处理以建立快速索引数据模型,所述快速索引数据模型至少包括针对业务段的一级索引映射表以及针对数据节点的二级索引映射表。

Description

一种用于操作历史重现的数据模型的构建方法及系统
技术领域
本发明涉及电子取证的技术领域,具体涉及一种用于操作历史重现的数据模型的构建方法及系统。
背景技术
近年来,计算机网络安全越来越受到执法人员的关注和重视,尤其是嫌疑人使用计算机各种应用软件遗留下的历史痕迹,已经成为执法人员突破案件的关键线索。目前市面上对用户操作历史痕迹获取方式,大致是基于计算机系统日志。计算机系统日志是记录特定对象的某些操作和其操作结果按时间有序的集合,且每条日志记录描述了一次单独的系统事件。因此目前市面上很多厂商都通过解析系统日志来简单分析当前用户的操作历史记录。
通过分析计算机系统日志来推测计算机操作系统的历史痕迹,可能存在如下缺点:
(1)执法人员通过日志查看当前用户操作历史记录,需要具备一定的计算机专业知识和较强的逻辑分析能力;
(2)如果目标计算机长时间处于操作状态,则可能存在海量的日志数据,无法通过人工逐条判读日志来提取关键信息;
(3)通过市面上日志分析工具对操作系统日志进行提取分析,会对目标计算机遗留痕迹,导致目标计算机原始数据受损;
(4)执法人员如果直接查看当前操作系统产生的日志,可能需要花费较长时间去分析相关计算机专业术语。同时通过查看日志文本,展示效果不够友好,晦涩难懂。
综上所述,针对现有技术的缺陷,本方案提出了一种用于操作历史重现的数据模型的构建方法和系统,以解决现有技术的不足。
发明内容
在一个方面,本发明提出了一种用于操作历史重现的数据模型的构建方法,包括以下步骤:
S1:基于目标计算机的磁盘文件结构,获取目标计算机中经历变更或新增的数据信息,然后获取所述数据信息中的每个数据项所对应的数据节点;
S2:基于业务类型对所述每个数据项进行归类,并且基于业务类型的分类方式建立所述每个数据项的数据节点的索引值以形成索引映射表,从而构建出初始数据模型;以及
S3:基于所述初始的数据模型,根据不同业务段对相应数据项进行整合处理以建立快速索引数据模型,所述快速索引数据模型至少包括针对业务段的一级索引映射表以及针对数据节点的二级索引映射表。
以上方法通过构建适用于操作历史重现的数据模型固定了目标计算机关键数据,而后结合业务数据特征,将数据索引基于业务类型和业务段两种维度进行归类,并且在数据模型中构建二级索引映射表,最终实现数据在时间跟空间上进行快速遍历。值得注意的是,该方法所有的操作都是在取证设备中基于文件层级结构深入分析,对目标计算机是不会遗留下任何痕迹。因此该方法在计算机取证行业中,有利于实现事后对历史记录进行回放,有利于现场快速进行案情判断及证据补充收集,从而对整个案件突破起到关键性作用。
在优选实施例中,该方法还包括步骤S4:建立针对所述索引值的时间轴信息以便于依据时间轴的索引寻址。在所述数据模型中预先建立时间轴信息以便于后续基于案件的历史记录回访。
在优选实施例中,该方法还包括步骤S5:基于所选择的业务类型和/或业务段,利用索引映射表将所对应的数据项预加载到重现设备的内存中,以便于快速重现。为了实现快速重现,该方法实现了基于业务类型和/或业务段的相关数据项的快速回访。
在优选实施例中,所述步骤S1具体包括,依据目标计算机的磁盘文件目录结构,基于掌握的簇大小,利用簇偏移找到所述数据项的起始位置以作为数据节点。该方法不依赖于在目标计算机上执行,因此实现了对目标计算机的无痕数据采集。
在优选实施例中,所述业务类型是依据历史操作记录所具有的操作类型进行定义的;所述业务类型具体包括:系统信息、易丢失数据、帐号密码、上网信息、系统操作、电子邮件和即时通讯。针对电子取证的领域,利用业务类型的合理划分实现对数据项的归类映射。
在优选实施例中,所述业务段是依据取证案件所关注的数据类型进行定义的。针对电子取证的领域,利用业务段这一维度上的一级索引表建立,便于基于案件类型(即针对每个案件类型可能关注不同的业务段,即具有不同的业务段)出发的,历史操作痕迹的具体数据的快速定位。当然该业务段的预先定义可根据具体取证案件的不同而不同。
在优选实施例中,所述方法还包括基于所述快速索引数据模型,按照时间段筛选所需要的数据项并且回放所述数据项所对应的业务类型以实现对目标计算机的系统操作历史痕迹的重现。
在优选实施例中,在所述步骤S2中还包括按照通用的数据格式对所述数据项进行处理整合。该处理整合便于后续的重现中的统一性,以方便取证人员的快速查看。
在另一方面,本发明提出了一种用于操作历史重现的数据模型的构建的系统,包括
数据获取分析模块:基于目标计算机的磁盘文件结构,获取目标计算机中经历变更或新增的数据信息,然后获取所述数据信息中的每个数据项所对应的数据节点;
初始数据模型构建模块:基于业务类型对所述每个数据项进行归类,并且基于业务类型的分类方式建立所述每个数据项的数据节点的索引值以形成索引映射表,从而构建出初始数据模型;以及
快速索引数据模型构建模块:基于所述初始数据模型,根据不同业务段对相应数据项进行整合处理以建立快速索引数据模型,所述快速索引数据模型至少包括针对业务段的一级索引映射表以及针对数据节点的二级索引映射表。
在优选实施例中,该系统还包括:时间轴建立模块:在所述数据模型中建立针对所述索引值的时间轴信息以便于依据时间轴的索引寻址。
在优选实施例中,该系统还包括:操作历史痕迹重现模块:基于所述快速索引数据模型,按照时间段筛选所需要的数据项并且回放所述数据项所对应的业务类型以实现对目标计算机的操作历史痕迹的重现。
本发明所提出的方案主要应用在案发现场,对目标计算机所操作的历史痕迹进行现场回放,尤其是当前犯罪分子的计算机技能不断提升,该痕迹重现可以把犯罪分子所操作的历史记录进行循环回放,提高办案效率。在事件发生后,通过初始模型固定目标计算机关键数据,而后结合业务数据特征,实行分片整合、分片校验等技术手段将数据按照一定规则进行归类,最后通过自动构建快速索引模型建立时间轴信息实现双向索引,实现数据在时间跟空间上进行快速遍历。如上操作都是基于文件层级结构深入分析,在目标计算机上不会遗留下任何痕迹。该方案已经在快速勘验系统项目和反诈先锋项目中得到应用,获得了非常好的电子取证效果。
附图说明
包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显。
图1是本发明的一个实施例的用于操作历史重现的数据模型的构建方法流程图;
图2是本发明的一个具体实施例的变更数据节点索引映射流程图;
图3是本发明的一个具体实施例的痕迹重现数据模型图;
图4是本发明的一个具体实施例的痕迹重现数据模型的快速索引原理图;
图5是本发明的一个实施例的用于操作历史重现的数据模型的构建系统框架图;
图6是利用该模型构建方法实现操作痕迹重现的原理图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1所示了一种用于操作历史重现的数据模型的构建方法。该方法包括以下步骤:
S1:基于目标计算机的磁盘文件结构,获取目标计算机中经历变更或新增的数据信息,然后获取所述数据信息中的每个数据项所对应的数据节点;
S2:基于业务类型对所述每个数据项进行归类,并且基于业务类型的分类方式建立所述每个数据项的数据节点的索引值以形成索引映射表,从而构建出初始数据模型;
S3:基于所述初始的数据模型,根据不同业务段对相应数据项进行整合处理以建立快速索引数据模型,所述快速索引数据模型至少包括针对业务段的一级索引映射表以及针对数据节点的二级索引映射表。
该数据项可以是在不同历史操作中所对应的数据片段(或子项数据,或特定数据项),例如目标计算机登录的账号、打开的文件夹、浏览的文档、操作网站记录、即时通讯聊天内容、邮件往来记录等操作系统或第三方应用软件所操作的历史痕迹数据片段。
在步骤S1中,通过计算机文件层级结构及物理磁盘的特性,定位到特定数据项的节点信息,通过簇偏移到具体文件起始位置,作为该数据项的节点索引。该簇偏移的大小是基于目标计算机的文件层级结构预先获知的。
图2是本发明的一个具体实施例的变更数据节点索引映射流程图。具体包括对计算机所有磁盘文件根目录进行如下操作:
S201:通过簇偏移量固定大小,判断是否找到根目录;
S202:通过索引头,判断是否找到根目录的具体目录;
S203:获取当前文件的根目录数据;
S204:通过当前根目录索引头,判断当前文件是否为具体文件;
S205:获取当前文件根目录下的节点数据,通过簇偏移到具体文件起始位置作为该节点数据的节点索引;
S206:对获取到的节点数据和对应的索引数据进行分析和导出,得到节点数据和节点索引的映射。
该流程图示出了通过簇偏移依次找到根目录、根目录数据、目录下文件、具体文件起始位置,从而获得相应数据项的节点索引,实现了在未在目标计算机上留下痕迹的情况下的数据项的获取。
在步骤S2中,依据抽取出来的业务类型特征以及获取到具体子项数据建立对应的映射关系,即在初始数据模型中建立子项数据的初始索引映射表。在步骤S3中,依据不同业务段的数据创建两级索引表,实现了将数据分别映射到对应的小型数据库中,以便快速定位到具体数据。
所述业务类型是依据历史操作记录所具有的操作类型进行定义的;所述业务类型具体包括:系统信息、易丢失数据、帐号密码、上网信息、系统操作、电子邮件和即时通讯等。当然只给出了该业务类型的一些典型示例,应当理解的是,还可能存在其他未列出的业务类型。
在具体的操作中,对选中的数据片段,通过数据库索引表结构进行子项数据寻址,将选中的业务数据,自适应构建双向数据模型,数据模型构建完毕后,将不同业务类型数据加载到内存,根据业务数据的操作时间进行快速排序;通过如上节点数据映射,对抽象出来业务数据结合时间轴进行筛选,从而实现用户对当前操作系统所记录的历史痕迹进行回放。
在优选方案中,可以在以上方法的执行过程中对目标计算机进行内存固定操作,以减少数据提取过程中对数据的影响。
图3是本发明的一个具体实施例的痕迹重现数据模型图。该模型就是上文所述的初始数据模型。在该模型中,包括了不同业务类型的分类302-308,并且每个分类下具有相应的多个子项索引(如309-310)。
图4是本发明的一个具体实施例的痕迹重现数据模型的快速索引原理图。快速索引图的左侧为相对应的业务类型(即401-404),右侧示出了一级索引表(即405-408)。通过对一级索引的建立,可实现针对相关案件所关注的痕迹数据的快速索引。
如图5所示,本发明的实施例涉及一种用于操作历史重现的数据模型的构建系统,包括:
S501数据获取分析模块,该模块被配置用于基于目标计算机的磁盘文件结构,获取目标计算机中经历变更或新增的数据信息,然后获取所述数据信息中的每个数据项所对应的数据节点;
S502初始数据模型构建模块,该模块被配置用于基于业务类型对所述每个数据项进行归类,并且基于业务类型的分类方式建立所述每个数据项的数据节点的索引值以形成索引映射表,从而构建出初始数据模型;以及
S503快速索引数据模型构建模块,该模块被配置用于基于所述初始数据模型,根据不同业务段对相应数据项进行整合处理以建立快速索引数据模型,所述快速索引数据模型至少包括针对业务段的一级索引映射表以及针对数据节点的二级索引映射表。
可选地,该系统还包括:S504时间轴建立模块,该模块被配置用于在所述数据模型中建立针对所述索引值的时间轴信息以便于依据时间轴的索引寻址。
可选地,该系统还包括:S505操作历史痕迹重现模块,该模块被配置用于基于所述快速索引数据模型,按照时间段筛选所需要的数据项并且回放所述数据项所对应的业务类型以实现对目标计算机的操作历史痕迹的重现。
图6示出了利用该模型构建方法实现操作痕迹重现的原理图。在该图中,通过构建上文所述的初始数据模型,并且在数据模型中对数据进行分段整合等操作以形成通用数据。在该初始数据模型中具有针对业务类型的分类。然后结合所建立的时间轴信息,自适应构建快速索引数据模型,其中可具有分段校验的处理,并且针对案件理性对选中数据项(或片段数据)进行记载到内存缓存中,实现快速搜索遍历。最终实现了无痕重现历史操作痕迹。
本发明的实施例还涉及一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上文中的方法。该计算机程序包含用于执行流程图所示的方法的程序代码。需要说明的是,本申请的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。
基于以上内容,发明人提供了一种基于事件分片整合痕迹重现的方法,来解决现有技术中的问题,主要操作步骤可包括如下:
1)基于计算机磁盘文件结构,深入分析已变更或新增的数据,进行节点数据映射;
2)依据案件类型对节点数据进行业务归类整合,数据抽取,形成通用的数据模型;
3)依据业务类型及整合的数据模型,创建业务索引,对不同业务数据进行映射;
4)案发现场通过筛选不同业务索引值,对业务数据进行快速寻址;
5)针对提取到的业务数据,自动构建双向数据模型,依据业务中不同字段,将数据自动加载到内存中,实现对目标计算机操作历史记录,进行痕迹重现。
本发明所提出的方案主要应用在案发现场,对目标计算机所操作的历史痕迹进行现场回放,尤其是当前犯罪分子的计算机技能不断提升,该痕迹重现可以把犯罪分子所操作的历史记录进行循环回放,提高办案效率。在事件发生后,通过初始模型固定目标计算机关键数据,而后结合业务数据特征,实行分片整合、分片校验等技术手段将数据按照一定规则进行归类,最后通过自动构建快速索引模型建立时间轴信息实现双向索引,实现数据在时间跟空间上进行快速遍历。如上操作都是基于文件层级结构深入分析,在目标计算机上不会遗留下任何痕迹。该方案已经在快速勘验系统项目和反诈先锋项目中得到应用,实现了基于事件分片整合的操作痕迹重现的方案,非常适用于现场电子取证。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.一种用于操作历史重现的数据模型的构建方法,其特征在于,包括以下步骤:
S1:基于目标计算机的磁盘文件结构,获取目标计算机中经历变更或新增的数据信息,然后获取所述数据信息中的每个数据项所对应的数据节点,具体包括定位到所述数据项的节点信息,通过簇偏移到具体文件起始位置,作为所述数据项的节点索引;
S2:基于业务类型对所述每个数据项进行归类,并且基于业务类型的分类方式建立所述每个数据项的数据节点的索引值以形成索引映射表,从而构建出初始数据模型;以及
S3:基于所述初始的数据模型,根据不同业务段对相应数据项进行整合处理以建立快速索引数据模型,所述快速索引数据模型至少包括针对业务段的一级索引映射表以及针对数据节点的二级索引映射表;
其中,所述数据项是不同历史操作中所对应的数据片段,所述业务类型是依据历史操作记录所具有的操作类型进行定义的,所述业务段是依据取证案件所关注的数据类型进行定义的。
2.根据权利要求1所述的方法,其特征在于,还包括步骤S4:
建立针对所述索引值的时间轴信息以便于依据时间轴的索引寻址。
3.根据权利要求1所述的方法,其特征在于,还包括步骤S5:
基于所选择的业务类型和/或业务段,利用索引映射表将所对应的数据项预加载到重现设备的内存中,以便于快速重现。
4.根据权利要求1所述的方法,其特征在于,所述业务类型具体包括:系统信息、易丢失数据、帐号密码、上网信息、系统操作、电子邮件和即时通讯。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括基于所述快速索引数据模型,按照时间段筛选所需要的数据项并且回放所述数据项所对应的业务类型以实现对目标计算机的系统操作历史痕迹的重现。
6.根据权利要求1所述的方法,其特征在于,在所述步骤S2中还包括按照通用的数据格式对所述数据项进行处理整合。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被计算机处理器执行时实施权利要求1至6中任一项所述的方法。
8.一种用于操作历史重现的数据模型的构建系统,其特征在于,包括:
数据获取分析模块:被配置用于基于目标计算机的磁盘文件结构,获取目标计算机中经历变更或新增的数据信息,然后获取所述数据信息中的每个数据项所对应的数据节点,具体包括定位到所述数据项的节点信息,通过簇偏移到具体文件起始位置,作为所述数据项的节点索引;
初始数据模型构建模块:被配置用于基于业务类型对所述每个数据项进行归类,并且基于业务类型的分类方式建立所述每个数据项的数据节点的索引值以形成索引映射表,从而构建出初始数据模型;以及
快速索引数据模型构建模块:被配置用于基于所述初始数据模型,根据不同业务段对相应数据项进行整合处理以建立快速索引数据模型,所述快速索引数据模型至少包括针对业务段的一级索引映射表以及针对数据节点的二级索引映射表;
其中,所述数据项是不同历史操作中所对应的数据片段,所述业务类型是依据历史操作记录所具有的操作类型进行定义的,所述业务段是依据取证案件所关注的数据类型进行定义的。
9.根据权利要求8所述的系统,其特征在于,还包括:
时间轴建立模块:被配置用于在所述数据模型中建立针对所述索引值的时间轴信息以便于依据时间轴的索引寻址。
10.根据权利要求8所述的系统,其特征在于,还包括
操作历史痕迹重现模块:被配置用于基于所述快速索引数据模型,按照时间段筛选所需要的数据项并且回放所述数据项所对应的业务类型以实现对目标计算机的操作历史痕迹的重现。
CN202010546474.1A 2020-06-10 2020-06-15 一种用于操作历史重现的数据模型的构建方法及系统 Active CN111782589B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2020105259554 2020-06-10
CN202010525955 2020-06-10

Publications (2)

Publication Number Publication Date
CN111782589A CN111782589A (zh) 2020-10-16
CN111782589B true CN111782589B (zh) 2022-06-10

Family

ID=72756609

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010546474.1A Active CN111782589B (zh) 2020-06-10 2020-06-15 一种用于操作历史重现的数据模型的构建方法及系统

Country Status (1)

Country Link
CN (1) CN111782589B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112434125A (zh) * 2020-11-30 2021-03-02 中国人寿保险股份有限公司 索引结构、非结构化数据的检索方法、装置和设备
CN112347056B (zh) * 2021-01-08 2021-07-02 北京东方通软件有限公司 一种基于时间轴的文件自动生成方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105608126A (zh) * 2015-12-16 2016-05-25 成都创智云科技股份有限公司 一种建立海量数据库二级索引的方法和装置
CN109408345A (zh) * 2018-09-25 2019-03-01 深圳壹账通智能科技有限公司 操作重现方法、装置、计算机设备和存储介质
CN110347258A (zh) * 2019-07-09 2019-10-18 北京猫眼视觉科技有限公司 一种用于虚拟现实培训考核的用户操作痕迹记录回放方法
CN111259004A (zh) * 2020-01-08 2020-06-09 腾讯科技(深圳)有限公司 一种存储引擎中数据索引的方法以及相关装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060077773A1 (en) * 2004-09-13 2006-04-13 Seo Kang S Method and apparatus for reproducing data from recording medium using local storage

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105608126A (zh) * 2015-12-16 2016-05-25 成都创智云科技股份有限公司 一种建立海量数据库二级索引的方法和装置
CN109408345A (zh) * 2018-09-25 2019-03-01 深圳壹账通智能科技有限公司 操作重现方法、装置、计算机设备和存储介质
CN110347258A (zh) * 2019-07-09 2019-10-18 北京猫眼视觉科技有限公司 一种用于虚拟现实培训考核的用户操作痕迹记录回放方法
CN111259004A (zh) * 2020-01-08 2020-06-09 腾讯科技(深圳)有限公司 一种存储引擎中数据索引的方法以及相关装置

Also Published As

Publication number Publication date
CN111782589A (zh) 2020-10-16

Similar Documents

Publication Publication Date Title
Quick et al. Impacts of increasing volume of digital forensic data: A survey and future research challenges
Quick et al. Data reduction and data mining framework for digital forensic evidence: storage, intelligence, review and archive
US9792289B2 (en) Systems and methods for file clustering, multi-drive forensic analysis and data protection
Beebe Digital forensic research: The good, the bad and the unaddressed
JP5492187B2 (ja) 編集距離および文書情報を使用する検索結果順位付け
KR101083519B1 (ko) 데이터 퍼스펙티브들에서의 변칙 검출
Soltani et al. A survey on digital evidence collection and analysis
Quick et al. Big forensic data management in heterogeneous distributed systems: quick analysis of multimedia forensic data
CN111782589B (zh) 一种用于操作历史重现的数据模型的构建方法及系统
CN104462433B (zh) 一种恢复fat32分区数据的方法
CN110888837B (zh) 对象存储小文件归并方法及装置
US10268713B2 (en) Federated social media analysis system and method thereof
Alherbawi et al. Systematic literature review on data carving in digital forensic
US20170103400A1 (en) Capturing and identifying important steps during the ticket resolution process
CN103559185A (zh) 试验数据文档解析入库方法
US8145586B2 (en) Method and apparatus for digital forensics
CN110019542B (zh) 企业关系的生成、生成组织成员数据库及识别同名成员
Hauger et al. The state of database forensic research
JP6972935B2 (ja) 関連スコア算出システム、方法およびプログラム
Quick et al. Big Digital Forensic Data: Volume 1: Data Reduction Framework and Selective Imaging
US20220229854A1 (en) Constructing ground truth when classifying data
Brady et al. Addressing the increasing volume and variety of digital evidence using an ontology
CN103324407B (zh) 信息处理装置和信息处理方法
JP2008537280A5 (zh)
CN116414854A (zh) 数据资产查询方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant