CN104360837B - 取证软件中基于自定义脚本实现电子数据取证分析的方法 - Google Patents
取证软件中基于自定义脚本实现电子数据取证分析的方法 Download PDFInfo
- Publication number
- CN104360837B CN104360837B CN201410546906.3A CN201410546906A CN104360837B CN 104360837 B CN104360837 B CN 104360837B CN 201410546906 A CN201410546906 A CN 201410546906A CN 104360837 B CN104360837 B CN 104360837B
- Authority
- CN
- China
- Prior art keywords
- evidence obtaining
- electronic data
- analysis
- software
- obtaining software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明涉及一种取证软件中基于自定义脚本实现电子数据取证分析的方法,其中包括:取证软件对自定义脚本进行编译处理,并得到取证分析对象;取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理,并得到对应的电子数据树;取证软件将取证分析对象与电子数据树进行关联分析,并获得取证分析结果。采用本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法,通过自定义脚本解除取证分析逻辑和取证分析软件的绑定,使取证软件的软件框架较为开放,使取证软件在运行过程中不受到应用软件的限制,针对不同软件可加载不同的自定义脚本,取证方法灵活多变,提高取证效率,加快分析过程,具有更广泛的应用范围。
Description
技术领域
本发明涉及数据分析领域,尤其涉及电子数据取证分析领域,具体是指一种取证软件中基于自定义脚本实现电子数据取证分析的方法。
背景技术
随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证,然而移动互联网的快速发展以及传统网络应用往移动互联网上迅速转移,电子数据取证将面临着对更多类型应用程序的使用痕迹分析。传统的电子数据取证软件主要是将提前由取证专家提出对应应用程序的取证分析技术和方案,然后由电子数据取证软件研发厂商将取证过程以软件形式进行开发研制出来。如图1所示,为传统取证分析示意图,这种方案面临了如下两个问题难以解决:
1、电子数据取证软件支持的应用程序有限,一旦超出所支持的应用程序范围,则无法提供取证手段支持。
2、由于每个软件都是相对独立的开发,软件架构较为封闭,用户自定义编辑困难,无法共享取证专家的取证思路,也无法将多个取证思路结合应用。
发明内容
本发明的目的是克服了上述现有技术的缺点,提供了一种通过加载自定义脚本实现数据提取和数据分析,扩大取证软件应用范围,软件架构相对灵活多变的取证软件中基于自定义脚本实现电子数据取证分析的方法。
为了实现上述目的,本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法具有如下构成:
该取证软件中基于自定义脚本实现电子数据取证分析的方法,其主要特点是,所述的方法包括以下步骤:
(1)取证软件对自定义脚本进行编译处理,并得到取证分析对象;
(2)所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理,并得到对应的电子数据树;
(3)所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析,并获得取证分析结果。
进一步地,所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理,包括以下步骤:
(2.1)所述的取证软件对所述的电子数据进行归类与合并,并对所述的电子数据进行特征信息采集;
(2.2)所述的取证软件根据采集到的特征信息建立索引接口。
更进一步地,所述的步骤(2.1)之前,还包括以下步骤:
(2.0)所述的取证软件根据自身的分析类得到数据获取模板和数据获取要求。
更进一步地,所述的取证软件对所述的电子数据进行归类与合并,具体为:
所述的取证软件根据所述的数据获取模板和数据获取要求对所述的电子数据进行归类与合并。
其中,所述的特征信息包括文件是否加密信息、文件后缀信息、创建信息、修改信息、访问日期信息、文件类型信息和文件全路径信息。
更进一步地,所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析,包括以下步骤:
(3.1)所述的取证软件通过索引接口查找所述的电子数据树中与所述的取证分析对象对应的电子数据文件;
(3.2)所述的取证软件对查找到的电子数据文件进行分析处理。
更进一步地,所述的步骤(3.1)和(3.2)之间,还包括以下步骤:
(3.1.1)所述的取证软件根据所述的电子数据文件的文件路径或目录路径判断是否对该电子数据文件进行分析处理,如果是,则继续步骤(3.2),否则返回步骤(3.1)。
更进一步地,所述的获得取证分析结果,包括以下步骤:
(3.3)所述的取证软件根据自身的分析类得到数据输出格式化模板;
(3.4)所述的取证软件根据所述的数据输出格式化模板对分析处理结果进行格式化,得到所述的取证分析结果。
采用了本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法,通过自定义脚本解除取证分析逻辑和取证分析软件的绑定,使取证软件的软件框架较为开放,取证分析人员可以自行编辑自定义脚本的内容,并在取证软件中加载该自定义脚本,将取证分析人员的取证思路与取证软件的运行相结合,使取证软件在运行过程中不受到应用软件的限制,应用范围更加广泛,且针对不同软件可加载不同的自定义脚本,取证方法灵活多变,提高取证效率,加快分析过程,同时,还可以建立共享的自定义脚本库,共享新的取证思路和取证手段,更加有利于自定义脚本的开发,具有更广泛的应用范围。
附图说明
图1为本发明的传统取证分析示意图。
图2为本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法的流程图。
图3为本发明在实际应用中的结构框图。
图4为本发明的脚本引擎的工作流程图。
图5为本发明的“分析类”的工作流程图。
具体实施方式
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
在一种实施方式中,如图2所示,本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法包括以下步骤:
(1)取证软件对自定义脚本进行编译处理,并得到取证分析对象;
(2)所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理,并得到对应的电子数据树;
(3)所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析,并获得取证分析结果。
在一种优选的实施方式中,所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理,包括以下步骤:
(2.1)所述的取证软件对所述的电子数据进行归类与合并,并对所述的电子数据进行特征信息采集;
(2.2)所述的取证软件根据采集到的特征信息建立索引接口。
在一种更优选的实施方式中,所述的步骤(2.1)之前,还包括以下步骤:
(2.0)所述的取证软件根据自身的分析类得到数据获取模板和数据获取要求。
在一种更优选的实施方式中,所述的取证软件对所述的电子数据进行归类与合并,具体为:
所述的取证软件根据所述的数据获取模板和数据获取要求对所述的电子数据进行归类与合并。
其中,所述的特征信息包括文件是否加密信息、文件后缀信息、创建信息、修改信息、访问日期信息、文件类型信息和文件全路径信息。
在一种更优选的实施方式中,所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析,包括以下步骤:
(3.1)所述的取证软件通过索引接口查找所述的电子数据树中与所述的取证分析对象对应的电子数据文件;
(3.2)所述的取证软件对查找到的电子数据文件进行分析处理。
在一种更优选的实施方式中,所述的步骤(3.1)和(3.2)之间,还包括以下步骤:
(3.1.1)所述的取证软件根据所述的电子数据文件的文件路径或目录路径判断是否对该电子数据文件进行分析处理,如果是,则继续步骤(3.2),否则返回步骤(3.1)。
在一种更优选的实施方式中,所述的获得取证分析结果,包括以下步骤:
(3.3)所述的取证软件根据自身的分析类得到数据输出格式化模板;
(3.4)所述的取证软件根据所述的数据输出格式化模板对分析处理结果进行格式化,得到所述的取证分析结果。
请参阅图3至5所示,在实际应用中,本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法主要基于以下几点进行改进:
a.将取证分析过程形式化为“获取数据”,“删除恢复”,“取证分析”,“生成报告”四个主要方面,并以抽象接口的形式,将这四个部分进行隔离,即这四个部分彼此之间不存在直接的依赖关系。
b.将多个案件的原始电子数据进行统一的归一化处理,抽象为单一的树形文件系统形式,所有电子数据都可以通过从树根节点到叶子节点的路径来进行访问,对于一个案件而言,可以向该案件添加windows系统的磁盘,linux系统的磁盘,以及Mac系统的磁盘,而这三种类型的操作系统使用的文件系统都存在一定的区别。“归一化处理”是将这三种类型操作系统所使用例如ntfs、fat、fat16、ext系列、hfs、hfs+等文件系统以一种统一的方式进行描述。这种统一的描述方法形如“{案件资源id}\文件或目录路径”的方式,其中,案件资源id代表了资源的标识信息。例如,对于一个windows系统的磁盘,可能具有3个分区,则每一个分区都用一个案件资源id来代表。
此外,在将多个案件的原始电子数据的资源文件合并到单一的电子数据树时,还需要对每个原始电子数据的资源文件进行特征信息抽取,主要包括文件是否加密、文件后缀、创建、修改、访问日期、文件类型、文件全路径等多种信息。将这些信息形成电子数据的元信息,并建立倒排索引,便于在海量的案件资源中进行快速的归档和检索。
另外,电子数据资源树对其他模块提供统一的访问接口,调用者输入特定的模式信息,例如输入(\(?0\d{2}[)-]?\d{8}),可以查询到所有包含电话号码信息的文件。相比较其他案件资源管理系统,本发明的优势之一就是可以支持自定义的检索模式,而不仅仅是进行简单的字符串匹配搜索
c.“取证分析”模块抽象为一个分析类,即“分析类”是一个取证分析过程的模板,所有分析相关的任务都可以继承自该分析类,并且这个分析类可以由取证分析软件在运行时动态的进行编译,并加入到运行环境中来,因此,取证分析人员的取证分析行为就和取证分析软件进行了分离,具体的取证分析行为可以由取证分析人员以脚本的形式在取证分析软件中进行实时的修改和补充。
“分析类”提供了最为基础的取证分析流程,如图5所示,为“分析类”和用户编写的自定义脚本之间的关联关系。用户根据自身实际取证的要求,编辑数据提取和数据分析方法进行数据处理,相比其他的取证分析手段,本方法将“数据提取”、“数据分析”的过程抽取出来脚本化,可以由用户自己来实现这两个过程,同时,提供了固化的“数据分析方法”,由用户根据其取证分析手段进行组合使用。
d.本方法将用户取证过程和案件资源进行了深度的隔离,用户的取证手段可以通过加载自定义脚本的形式来实现。也就是说用户可以自己编写取证分析代码,通过对用户编写的取证分析代码进行编译处理,再与案件资源进行关联分析。“关联分析”主要是是包括两个部分,“关联”和“分析”。其中,“关联”部分的功能指的是哪些文件或目录可以通过脚本来处理,是由脚本自身代码决定的;“分析”部分的功能是由脚本来完成的。用户编写不同功能的脚本,这些脚本经过编译具备了对文件内容进行分析处理的能力,案件资源系统对归一化的电子数据树采取深度遍历的方式进行遍历,每次遍历到一个文件或者文件夹时,都会调用脚本中必须实现的“关联方法”,这个“关联方法”通过对传递给它的文件路径或目录路径进行识别,判断是否可以对这个文件或目录进行分析。
相比较其他的取证分析手段,最大的优势在于取证手段灵活,但是,需要用户掌握较高的代码编写技能,所以,提供取证分析脚本库,该脚本库可以由用户自主上传自己编写的取证分析脚本,或者下载其他取证分析人员已上传的脚本数据,实现现有资源的共享。
e.通过提供脚本引擎,在运行时加载取证分析人员编写的脚本,来实现取证分析逻辑和电子数据的关联关系解耦合,脚本引擎的主要工作流程如图4所示,主要包括自定义脚本数据加载、自定义脚本编译、从自定义脚本中初始化取证分析对象、传递形式化的树形文件系统给取证分析对象,最后是执行取证分析对象的运行函数获取取证分析结果。
采用了本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法,通过自定义脚本解除取证分析逻辑和取证分析软件的绑定,使取证软件的软件框架较为开放,取证分析人员可以自行编辑自定义脚本的内容,并在取证软件中加载该自定义脚本,将取证分析人员的取证思路与取证软件的运行相结合,使取证软件在运行过程中不受到应用软件的限制,应用范围更加广泛,且针对不同软件可加载不同的自定义脚本,取证方法灵活多变,支持自定义的检索模式,提高取证效率,加快分析过程,同时,还可以建立共享的自定义脚本库,共享新的取证思路和取证手段,更加有利于自定义脚本的开发,具有更广泛的应用范围。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
Claims (4)
1.一种取证软件中基于自定义脚本实现电子数据取证分析的方法,其特征在于,所述的方法包括以下步骤:
(1)取证软件对自定义脚本进行编译处理,并得到取证分析对象;
(2)所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理,并得到对应的电子数据树;包括以下步骤:
(2.0)所述的取证软件根据自身的分析类得到数据获取模板和数据获取要求;
(2.1)所述的取证软件对所述的电子数据进行归类与合并,并对所述的电子数据进行特征信息采集;所述的取证软件对所述的电子数据进行归类与合并,具体为:
所述的取证软件根据所述的数据获取模板和数据获取要求对所述的电子数据进行归类与合并;
(2.2)所述的取证软件根据采集到的特征信息建立索引接口;
(3)所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析,并获得取证分析结果;所述的获得取证分析结果,包括以下步骤:
(3.3)所述的取证软件根据自身的分析类得到数据输出格式化模板;
(3.4)所述的取证软件根据所述的数据输出格式化模板对分析处理结果进行格式化,得到所述的取证分析结果。
2.根据权利要求1所述的取证软件中基于自定义脚本实现电子数据取证分析的方法,其特征在于,所述的特征信息包括文件是否加密信息、文件后缀信息、创建信息、修改信息、访问日期信息、文件类型信息和文件全路径信息。
3.根据权利要求1或2所述的取证软件中基于自定义脚本实现电子数据取证分析的方法,其特征在于,所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析,包括以下步骤:
(3.1)所述的取证软件通过索引接口查找所述的电子数据树中与所述的取证分析对象对应的电子数据文件;
(3.2)所述的取证软件对查找到的电子数据文件进行分析处理。
4.根据权利要求3所述的取证软件中基于自定义脚本实现电子数据取证分析的方法,其特征在于,所述的步骤(3.1)和(3.2)之间,还包括以下步骤:
(3.1.1)所述的取证软件根据所述的电子数据文件的文件路径或目录路径判断是否对该电子数据文件进行分析处理,如果是,则继续步骤(3.2),否则返回步骤(3.1)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410546906.3A CN104360837B (zh) | 2014-10-16 | 2014-10-16 | 取证软件中基于自定义脚本实现电子数据取证分析的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410546906.3A CN104360837B (zh) | 2014-10-16 | 2014-10-16 | 取证软件中基于自定义脚本实现电子数据取证分析的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104360837A CN104360837A (zh) | 2015-02-18 |
| CN104360837B true CN104360837B (zh) | 2017-10-13 |
Family
ID=52528101
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410546906.3A Active CN104360837B (zh) | 2014-10-16 | 2014-10-16 | 取证软件中基于自定义脚本实现电子数据取证分析的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104360837B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104951515B (zh) * | 2015-05-29 | 2019-01-25 | 四川效率源信息安全技术股份有限公司 | 一种提取并分析Android手机行踪轨迹信息的方法 |
| CN107908392B (zh) * | 2017-11-13 | 2020-12-22 | 平安科技(深圳)有限公司 | 数据采集工具包定制方法、装置、终端和存储介质 |
| CN108629012B (zh) * | 2018-05-07 | 2020-08-25 | 厦门市美亚柏科信息股份有限公司 | 取证数据解析准确性的智能校验方法和系统 |
| CN110135201A (zh) * | 2019-04-28 | 2019-08-16 | 阿里巴巴集团控股有限公司 | 一种基于独立运行环境的网页取证方法及装置 |
| CN111061776A (zh) * | 2019-12-10 | 2020-04-24 | 智器云南京信息科技有限公司 | 一种数据自动分析实现方法、系统、终端设备和存储介质 |
| CN111538741B (zh) * | 2020-03-23 | 2021-04-02 | 重庆特斯联智慧科技股份有限公司 | 一种面向警情大数据的深度学习分析方法及系统 |
| CN112631654A (zh) * | 2020-12-28 | 2021-04-09 | 厦门市美亚柏科信息股份有限公司 | 一种基于取证平台的程序联动方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103885790A (zh) * | 2012-12-20 | 2014-06-25 | 龙尚科技(上海)有限公司 | 一种在无线移动终端上实现解析运行可编程脚本的方法 |
| CN104036156A (zh) * | 2014-06-27 | 2014-09-10 | 麦永浩 | 一种对软件侵权行为的电子数据取证鉴定方法及系统 |
-
2014
- 2014-10-16 CN CN201410546906.3A patent/CN104360837B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103885790A (zh) * | 2012-12-20 | 2014-06-25 | 龙尚科技(上海)有限公司 | 一种在无线移动终端上实现解析运行可编程脚本的方法 |
| CN104036156A (zh) * | 2014-06-27 | 2014-09-10 | 麦永浩 | 一种对软件侵权行为的电子数据取证鉴定方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| EnScript Tutorial;佚名;《百度文库》;20110809;第2-38页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104360837A (zh) | 2015-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104360837B (zh) | 取证软件中基于自定义脚本实现电子数据取证分析的方法 | |
| CN103136471B (zh) | 一种恶意Android应用程序检测方法和系统 | |
| Meng et al. | Identifying multiple authors in a binary program | |
| US20110161132A1 (en) | Method and system for extracting process sequences | |
| Freire et al. | Reproducibility using vistrails | |
| US10878020B2 (en) | Automated extraction tools and their use in social content tagging systems | |
| McPhillips et al. | Retrospective provenance without a runtime provenance recorder | |
| CN110275861B (zh) | 数据存储方法及装置、存储介质、电子装置 | |
| CN111259627A (zh) | 文档分析方法、装置、计算机存储介质及设备 | |
| CN105446705A (zh) | 用于确定配置文件的特性的方法和装置 | |
| CN105868169A (zh) | 一种数据采集接口、数据采集方法和系统 | |
| Helm et al. | First steps towards process mining in distributed health information systems | |
| CN106775824A (zh) | 一种带有渠道信息的应用文件打包系统及方法 | |
| CN104537012B (zh) | 数据处理方法和装置 | |
| CN104933077B (zh) | 基于规则的多文件信息分析方法 | |
| CN107729330B (zh) | 获取数据集的方法和装置 | |
| CN101937395B (zh) | 一种用于漏洞检测的检测对象程序特征提取方法 | |
| Conforti et al. | Analysis of business process variants in apromore | |
| Fajar et al. | Goal model to business process model: A methodology for enterprise government tourism system development | |
| Agostinelli et al. | Mastering robotic process automation with process mining | |
| Malik et al. | SOLE: towards descriptive and interactive publications | |
| Kaur et al. | Differential analysis of token metric and object oriented metrics for fault prediction | |
| CN109886318A (zh) | 一种信息处理方法、装置及计算机可读存储介质 | |
| Liew et al. | Performance database: capturing data for optimizing distributed streaming workflows | |
| Rojas Blum et al. | The v‐algorithm for discovering software process lines |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |