CN107506471A - 快速取证方法及系统 - Google Patents
快速取证方法及系统 Download PDFInfo
- Publication number
- CN107506471A CN107506471A CN201710788123.XA CN201710788123A CN107506471A CN 107506471 A CN107506471 A CN 107506471A CN 201710788123 A CN201710788123 A CN 201710788123A CN 107506471 A CN107506471 A CN 107506471A
- Authority
- CN
- China
- Prior art keywords
- evidence
- target
- type
- instruction
- certification request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种快速取证方法及系统,该方法包括:接收用户发送的创建指令,以根据创建指令创建取证任务;基于取证任务,按照证据类型在目标存储介质中提取目标证据;根据文件类型将所属于相同证据类型的目标证据进行归类,得到归类后的目标证据;根据用户设定的复制过滤规则对归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据;对待复制的目标归类证据进行存储,得到目标归类证据。本发明的快速取证方法中,在提取目标证据时,能够遍历整个目标存储介质,更加全面,取证的过程由用户触发计算机完成的,操作简单,并且提高了效率,更加准确,缓解了传统的电子取证方法效率低下,准确性差,不够全面并且操作复杂的技术问题。
Description
技术领域
本发明涉及电子取证的技术领域,尤其是涉及一种快速取证方法及系统。
背景技术
随着计算机犯罪个案数字不断上升和犯罪手段的数字化,电子取证的工作成为提供重要线索及破案的关键。
近几年的电子取证行业高速发展,渐渐日益成熟。但是,目前的电子取证软件还无法快速,简单,准确地获取特定类型的证据。
现有技术中,当用户想要在某个特定的存储介质(比如本地磁盘)中查找某种特定类型的证据(比如图片)时,需要将特定存储介质中的证据全部拷贝至工作区域,然后,根据对工作区域中的证据进行人工识别判断,进而分类,得到所需要的特定类型的证据。而当证据数量很大时,人工查找的方式效率低下,不够全面,准确性差,并且操作复杂。
综上,传统的电子取证方法效率低下,准确性差,不够全面并且操作复杂。
发明内容
有鉴于此,本发明的目的在于提供一种快速取证方法及系统,以缓解传统的电子取证方法效率低下,准确性差,不够全面并且操作复杂的技术问题。
第一方面,本发明实施例提供了一种快速取证方法,所述方法包括:
接收用户发送的创建指令,以根据所述创建指令创建取证任务;
基于所述取证任务,按照证据类型在目标存储介质中提取目标证据,其中,所述证据类型与所述目标证据的文件类型相关联;
根据所述文件类型将所属于相同证据类型的所述目标证据进行归类,得到归类后的目标证据;
根据所述用户设定的复制过滤规则对所述归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据;
对所述待复制的目标归类证据进行复制存储,得到目标归类证据。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,在接收用户发送的创建指令之前,所述方法还包括:
接收所述用户发送的认证请求;
判断所述认证请求是否符合预先设置的认证条件;
如果所述认证请求符合所述预先设置的认证条件,则确定所述认证请求通过,并在所述认证请求通过的情况下,接收所述用户发送的所述创建指令;
如果所述认证请求不符合所述预先设置的认证条件,则确定所述认证请求未通过,并进行重新认证。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,接收用户发送的创建指令,以根据所述创建指令创建取证任务包括:
接收用户发送的新建案件指令,以得到新建案件,其中,所述新建案件指令中携带有所述目标存储介质的信息;
接收所述用户发送的证据类型设置指令;
根据所述证据类型设置指令对所述新建案件进行设置,得到所述取证任务。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,基于所述取证任务,按照证据类型在目标存储介质中提取目标证据包括:
基于所述证据类型确定与所述证据类型对应的目标文件类型;
根据所述目标文件类型在所述目标存储介质中查找与所述目标文件类型一致的目标文件,并将所述目标文件作为所述目标证据。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述证据类型设置指令中包含所述证据类型的信息,其中,所述证据类型包括:默认证据类型和/或自定义证据类型。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述复制过滤规则包括以下至少之一:
依据自定义关键字进行复制过滤的规则;
依据所述目标证据的生成时间进行复制过滤的规则;
依据正则表达式进行复制过滤的规则。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,在对所述待复制的目标归类证据进行复制存储,得到目标归类证据之后,所述方法还包括:
根据所述目标归类证据生成报告。
第二方面,本发明实施例还提供了一种快速取证系统,所述系统包括:
第一接收模块,用于接收用户发送的创建指令,以根据所述创建指令创建取证任务;
提取模块,用于基于所述取证任务,按照证据类型在目标存储介质中提取目标证据,其中,所述证据类型与所述目标证据的文件类型相关联;
归类模块,用于根据所述文件类型将所属于相同证据类型的所述目标证据进行归类,得到归类后的目标证据;
复制过滤模块,用于根据所述用户设定的复制过滤规则对所述归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据;
存储模块,用于对所述待复制的目标归类证据进行复制存储,得到目标归类证据。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,所述系统还包括:
第二接收模块,用于接收所述用户发送的认证请求;
判断模块,用于判断所述认证请求是否符合预先设置的认证条件;
第一确定模块,用于如果所述认证请求符合所述预先设置的认证条件,则确定所述认证请求通过,并在所述认证请求通过的情况下,接收所述用户发送的所述创建指令;
第二确定模块,用于如果所述认证请求不符合所述预先设置的认证条件,则确定所述认证请求未通过,并进行重新认证。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,所述第一接收模块包括:
第一接收单元,用于接收用户发送的新建案件指令,以得到新建案件,其中,所述新建案件指令中携带有所述目标存储介质的信息;
第二接收单元,用于接收所述用户发送的证据类型设置指令;
设置单元,用于根据所述证据类型设置指令对所述新建案件进行设置,得到所述取证任务。
本发明实施例带来了以下有益效果:本发明实施例提供了一种快速取证方法及系统,该方法包括:接收用户发送的创建指令,以根据创建指令创建取证任务;基于取证任务,按照证据类型在目标存储介质中提取目标证据,其中,证据类型与目标证据的文件类型相关联;根据文件类型将所属于相同证据类型的目标证据进行归类,得到归类后的目标证据;根据用户设定的复制过滤规则对归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据;对待复制的目标归类证据进行复制存储,得到目标归类证据。
在传统的取证方法中,用户需要将存储介质中的证据全部拷贝至工作区域,然后,对工作区域中的证据进行人工识别判断,进而进行分类,得到所需特定类型的证据。与传统的取证方法相比,在本发明中的快速取证方法中,先接收用户发送的创建指令,进而根据创建指令创建取证任务,然后,基于取证任务,按照证据类型在目标存储介质中提取目标证据,并根据文件类型将所属于相同证据类型的目标证据进行分类,得到归类后的目标证据,最后,根据用户设定的复制过滤规则对归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据,并对待复制的目标归类证据进行存储,得到目标归类证据,该过程是通过用户的触发操作由快速取证系统自动完成的。本发明的快速取证方法中,在提取目标证据时,能够遍历整个目标存储介质,更加全面,取证的过程由用户触发计算机完成的,操作简单,并且提高了效率,更加准确,缓解了传统的电子取证方法效率低下,准确性差,不够全面并且操作复杂的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种快速取证方法的流程图;
图2为本发明实施例提供的在接收用户发送的创建指令之前的流程图;
图3为本发明实施例提供的接收用户发送的创建指令,以根据创建指令创建取证任务的流程图;
图4为本发明实施例提供的基于取证任务,按照证据类型在目标存储介质中提取目标证据;
图5为本发明实施例提供的一种快速取证系统的结构示意图。
图标:
11-第一接收模块;12-提取模块;13-归类模块;14-复制过滤模块;15-存储模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种快速取证方法进行详细介绍。
实施例一:
一种快速取证方法,参考图1,该方法包括:
S101、接收用户发送的创建指令,以根据创建指令创建取证任务;
在本发明实施例中,快速取证方法具体为快速取证系统所执行的方法。该快速取证系统可以以软件的形式(像QQ客户端一样)安装在用户终端上,从而在用户终端上运行,也可以像WEBQQ一样,安装在服务器上,从而在服务器上运行,本发明实施例对其不做具体限制。下面以软件形式的快速取证系统为例进行说明:用户在自身的电脑上安装该快速取证软件,安装完成后,启动软件,或在不正式开机进入用户操作系统的的情况下进入提供的winpe系统中启动该软件,向该软件发送创建指令,以根据创建指令创建取证任务。
S102、基于取证任务,按照证据类型在目标存储介质中提取目标证据,其中,证据类型与目标证据的文件类型相关联;
在创建好取证任务后,基于取证任务,该快速取证系统扫描整个目标存储介质,以按照证据类型在目标存储介质中提取目标证据。其中,目标存储介质可以为计算机本地磁盘、光驱、软驱等,本发明实施例对其不做具体限制。目标证据从属于用户设定的证据类型。
在本发明实施例中,证据类型与目标证据的文件类型相关联,具体的,快速取证系统中包含有默认证据类型与文件类型的对应关系表,如表一所示:
表一
S103、根据文件类型将所属于相同证据类型的目标证据进行归类,得到归类后的目标证据;
在得到目标证据后,根据文件类型将从属于相同证据类型的目标证据进行归类,得到归类后的目标证据。
例如,取证任务为提取证据类型为图片的证据时,那么,快速取证系统扫描目标存储介质,得到文件后缀名分别为jpg,png,gif,tif,bmp,dwg,psd,ico,tga,webp的目标证据,在得到这些目标证据后,将这些目标证据进行归类,归类为图片包,此即为归类后的目标证据。
需要说明的是,对于后缀名修改过的文件,该快速取证系统仍能够正确识别出正确后缀并进行归类。具体的过程为,根据文件文件头信息不可被篡改这一属性,读取文件头部少量字节信息,进行比较匹配,确定文件真实的文件类型,从而进行归类。
S104、根据用户设定的复制过滤规则对归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据;
在得到归类后的目标证据后,用户可能发现并不是所有的归类后的目标证据都是需要的,所以,用户会在系统中设定复制过滤规则,通过该复制过滤规则对归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据。
复制过滤规则包括以下至少之一:
依据自定义关键字进行复制过滤的规则;
依据目标证据的生成时间进行复制过滤的规则;
依据正则表达式进行复制过滤的规则。
S105、对待复制的目标归类证据进行复制存储,得到目标归类证据。
在得到待复制的目标归类证据后,快速取证系统会自动对待复制的目标归类证据进行复制存储,得到目标归类证据。具体的,在创建取证任务时,快速取证系统会自动给每个取证任务分配一个目标存储位置,以将最终得到的目标归类证据复制存储至目标存储位置。
复制存储时,保留证据类型在原计算机存储介质上的目录结构,按照证据类型复制出。复制时,不包含任何文件的证据类型,不做复制操作。
在传统的取证方法中,用户需要将存储介质中的证据全部拷贝至工作区域,然后,对工作区域中的证据进行人工识别判断,进而进行分类,得到所需特定类型的证据。与传统的取证方法相比,在本发明中的快速取证方法中,先接收用户发送的创建指令,进而根据创建指令创建取证任务,然后,基于取证任务,按照证据类型在目标存储介质中提取目标证据,并根据文件类型将所属于相同证据类型的目标证据进行分类,得到归类后的目标证据,最后,根据用户设定的复制过滤规则对归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据,并对待复制的目标归类证据进行存储,得到目标归类证据,该过程是通过用户的触发操作由快速取证系统自动完成的。本发明的快速取证方法中,在提取目标证据时,能够遍历整个目标存储介质,更加全面,取证的过程由用户触发计算机完成的,操作简单,并且提高了效率,更加准确,缓解了传统的电子取证方法效率低下,准确性差,不够全面并且操作复杂的技术问题。
在本发明实施例中,在对待复制的目标归类证据进行复制存储,得到目标归类证据之后,该方法还包括:
根据目标归类证据生成报告。
在得到目标归类证据后,也就是目标证据类型的数据包后,比如:目标图片包,目标视频包等后,对目标数据包进行MD5运算,得到它们的MD5值,并将MD5值作为报告。
可选地,在接收用户发送的创建指令之前,参考图2,该方法还包括:
S201、接收用户发送的认证请求;
在本发明实施例中,在接收用户发送的创建指令之前,还要进行操作认证。具体为,接收用户发送的认证请求,实际上,用户要使用该快速认证系统时,需要从厂家获取得到使用秘钥,在电脑上安装快速取证系统后,输入使用秘钥的过程即为向快速取证系统发送认证请求的过程。
S202、判断认证请求是否符合预先设置的认证条件;
用户在输入使用秘钥后,快速取证系统会自动判断该认证请求是否符合预先设置的认证条件。
S203、如果认证请求符合预先设置的认证条件,则确定认证请求通过,并在认证请求通过的情况下,接收用户发送的创建指令;
S204、如果认证请求不符合预先设置的认证条件,则确定认证请求未通过,并进行重新认证。
在认证请求通过后,该快速取证软件就能够接收用户发送的创建指令,以根据创建指令创建取证任务,可选地,参考图3,接收用户发送的创建指令,以根据创建指令创建取证任务的过程描述如下:
S301、接收用户发送的新建案件指令,以得到新建案件,其中,新建案件指令中携带有目标存储介质的信息;
在认证请求通过后,就能够进一步接收用户发送的新建案件指令,创建工作区,并勾选要进行取证的目标存储介质,此时,该快速取证系统会自动创建目标位置,以存储最终的结果。
S302、接收用户发送的证据类型设置指令;
在新建案件后,用户会根据自身的需要发送证据类型设置指令,以选择需要取证的证据类型。
S303、根据证据类型设置指令对新建案件进行设置,得到取证任务。
在证据类型选择完成后,根据证据类型设置指令对新建案件进行设置,得到取证任务。
其中,证据类型设置指令中包含证据类型的信息,证据类型包括:默认证据类型和/或自定义证据类型。
默认证据类型即为快速取证系统中自带的证据类型,如表一所示;自定义证据类型为用户可新增任意证据类型,关联上任意后缀名的文件格式或文件相对路径等。
上述步骤S102中基于取证任务,按照证据类型在目标存储介质中提取目标证据的方式有多种,可选地,参考图4,基于取证任务,按照证据类型在目标存储介质中提取目标证据的过程描述如下:
S401、基于证据类型确定与证据类型对应的目标文件类型;
用户在创建完成取证任务后,取证任务中就已经包含了需要提取的证据类型,所以,在提取目标证据时,快速取证系统先基于证据类型确定与证据类型对应的目标文件类型。实现时,可以根据表一中的信息以及自定义证据类型进行确定。
S402、根据目标文件类型在目标存储介质中查找与目标文件类型一致的目标文件,并将目标文件作为目标证据。
在得到目标文件类型后,就能够根据目标文件类型在目标存储介质中查找与目标文件类型一致的目标文件。查找的过程是根据文件的后缀名进行查找的,对于后缀名被修改过的文件,该快速取证系统也能够正确识别出正确后缀并进行归类。具体过程已经在上述步骤S103中进行了描述,在此不再进行赘述。
需要注意的是,新建案件的名称不能与工作区内已经取证完成的案件重名。
本发明实施例提供的快速取证方法中,在进行计算机现场(即目标存储介质)取证阶段,取证人员可以很方便的选择或定义要取得的证据类型(图片、音频、视频、文档等),并在不破坏现场的前提下,快速分析归类现场的所有文件,按照类别保持原有目录将目标证据复制出并生成报告。
实施例二:
本发明实施例还提供了一种快速取证系统,参考图5,该系统包括:
第一接收模块11,用于接收用户发送的创建指令,以根据创建指令创建取证任务;
提取模块12,用于基于取证任务,按照证据类型在目标存储介质中提取目标证据,其中,证据类型与目标证据的文件类型相关联;
归类模块13,用于根据文件类型将所属于相同证据类型的目标证据进行归类,得到归类后的目标证据;
复制过滤模块14,用于根据用户设定的复制过滤规则对归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据;
存储模块15,用于对待复制的目标归类证据进行存储,得到目标归类证据。
在本发明中的快速取证系统中,先接收用户发送的创建指令,进而根据创建指令创建取证任务,然后,基于取证任务,按照证据类型在目标存储介质中提取目标证据,并根据文件类型将所属于相同证据类型的目标证据进行分类,得到归类后的目标证据,最后,根据用户设定的复制过滤规则对归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据,并对待复制的目标归类证据进行存储,得到目标归类证据,该过程是通过用户的触发操作由快速取证系统自动完成的。本发明的快速取证系统中,在提取目标证据时,能够遍历整个目标存储介质,更加全面,取证的过程由用户触发计算机完成的,操作简单,并且提高了效率,更加准确,缓解了传统的电子取证方法效率低下,准确性差,不够全面并且操作复杂的技术问题。
可选地,该系统还包括:
第二接收模块,用于接收用户发送的认证请求;
判断模块,用于判断认证请求是否符合预先设置的认证条件;
第一确定模块,用于如果认证请求符合预先设置的认证条件,则确定认证请求通过,并在认证请求通过的情况下,接收用户发送的创建指令;
第二确定模块,用于如果认证请求不符合预先设置的认证条件,则确定认证请求未通过,并进行重新认证。
可选地,第一接收模块包括:
第一接收单元,用于接收用户发送的新建案件指令,以得到新建案件,其中,新建案件指令中携带有目标存储介质的信息;
第二接收单元,用于接收用户发送的证据类型设置指令;
设置单元,用于根据证据类型设置指令对新建案件进行设置,得到取证任务。
可选地,提取模块包括:
确定单元,用于基于证据类型确定与证据类型对应的目标文件类型;
查找单元,用于根据目标文件类型在目标存储介质中查找与目标文件类型一致的目标文件,并将目标文件作为目标证据。
可选地,证据类型设置指令中包含证据类型的信息,其中,证据类型包括:默认证据类型和/或自定义证据类型。
可选地,复制过滤规则包括以下至少之一:
依据自定义关键字进行复制过滤的规则;
依据目标证据的生成时间进行复制过滤的规则;
依据正则表达式进行复制过滤的规则。
可选地,该系统还包括:
生成模块,用于根据目标归类证据生成报告。
本发明提供的快速取证系统中,各个模块之间的接口设计由一系列对话窗口与确定按钮连接而成,一个模块和另一个模块的连接也是对话窗口和按钮,通过窗口的创建实现模块之间的连接。
该实施例二中的内容可以参考上述实施例一中的内容,在此不再进行赘述。
本发明实施例所提供的一种快速取证方法及系统的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种快速取证方法,其特征在于,所述方法包括:
接收用户发送的创建指令,以根据所述创建指令创建取证任务;
基于所述取证任务,按照证据类型在目标存储介质中提取目标证据,其中,所述证据类型与所述目标证据的文件类型相关联;
根据所述文件类型将所属于相同证据类型的所述目标证据进行归类,得到归类后的目标证据;
根据所述用户设定的复制过滤规则对所述归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据;
对所述待复制的目标归类证据进行复制存储,得到目标归类证据。
2.根据权利要求1所述的方法,其特征在于,在接收用户发送的创建指令之前,所述方法还包括:
接收所述用户发送的认证请求;
判断所述认证请求是否符合预先设置的认证条件;
如果所述认证请求符合所述预先设置的认证条件,则确定所述认证请求通过,并在所述认证请求通过的情况下,接收所述用户发送的所述创建指令;
如果所述认证请求不符合所述预先设置的认证条件,则确定所述认证请求未通过,并进行重新认证。
3.根据权利要求1所述的方法,其特征在于,接收用户发送的创建指令,以根据所述创建指令创建取证任务包括:
接收用户发送的新建案件指令,以得到新建案件,其中,所述新建案件指令中携带有所述目标存储介质的信息;
接收所述用户发送的证据类型设置指令;
根据所述证据类型设置指令对所述新建案件进行设置,得到所述取证任务。
4.根据权利要求1所述的方法,其特征在于,基于所述取证任务,按照证据类型在目标存储介质中提取目标证据包括:
基于所述证据类型确定与所述证据类型对应的目标文件类型;
根据所述目标文件类型在所述目标存储介质中查找与所述目标文件类型一致的目标文件,并将所述目标文件作为所述目标证据。
5.根据权利要求3所述的方法,其特征在于,所述证据类型设置指令中包含所述证据类型的信息,其中,所述证据类型包括:默认证据类型和/或自定义证据类型。
6.根据权利要求1所述的方法,其特征在于,所述复制过滤规则包括以下至少之一:
依据自定义关键字进行复制过滤的规则;
依据所述目标证据的生成时间进行复制过滤的规则;
依据正则表达式进行复制过滤的规则。
7.根据权利要求1所述的方法,其特征在于,在对所述待复制的目标归类证据进行复制存储,得到目标归类证据之后,所述方法还包括:
根据所述目标归类证据生成报告。
8.一种快速取证系统,其特征在于,所述系统包括:
第一接收模块,用于接收用户发送的创建指令,以根据所述创建指令创建取证任务;
提取模块,用于基于所述取证任务,按照证据类型在目标存储介质中提取目标证据,其中,所述证据类型与所述目标证据的文件类型相关联;
归类模块,用于根据所述文件类型将所属于相同证据类型的所述目标证据进行归类,得到归类后的目标证据;
复制过滤模块,用于根据所述用户设定的复制过滤规则对所述归类后的目标证据进行复制过滤处理,得到待复制的目标归类证据;
存储模块,用于对所述待复制的目标归类证据进行复制存储,得到目标归类证据。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括:
第二接收模块,用于接收所述用户发送的认证请求;
判断模块,用于判断所述认证请求是否符合预先设置的认证条件;
第一确定模块,用于如果所述认证请求符合所述预先设置的认证条件,则确定所述认证请求通过,并在所述认证请求通过的情况下,接收所述用户发送的所述创建指令;
第二确定模块,用于如果所述认证请求不符合所述预先设置的认证条件,则确定所述认证请求未通过,并进行重新认证。
10.根据权利要求8所述的系统,其特征在于,所述第一接收模块包括:
第一接收单元,用于接收用户发送的新建案件指令,以得到新建案件,其中,所述新建案件指令中携带有所述目标存储介质的信息;
第二接收单元,用于接收所述用户发送的证据类型设置指令;
设置单元,用于根据所述证据类型设置指令对所述新建案件进行设置,得到所述取证任务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710788123.XA CN107506471A (zh) | 2017-08-31 | 2017-08-31 | 快速取证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710788123.XA CN107506471A (zh) | 2017-08-31 | 2017-08-31 | 快速取证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107506471A true CN107506471A (zh) | 2017-12-22 |
Family
ID=60695880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710788123.XA Pending CN107506471A (zh) | 2017-08-31 | 2017-08-31 | 快速取证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107506471A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110674491A (zh) * | 2019-09-29 | 2020-01-10 | 上海淇玥信息技术有限公司 | 用于安卓应用的实时取证的方法、装置和电子设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571767A (zh) * | 2011-12-24 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 文件类型识别方法及文件类型识别装置 |
| CN102696039A (zh) * | 2010-03-29 | 2012-09-26 | Ubic股份有限公司 | 取证系统、取证方法及取证程序 |
| CN103823899A (zh) * | 2014-03-17 | 2014-05-28 | 广东欧珀移动通信有限公司 | 一种自动整理文件的方法及移动终端 |
| US20160078228A1 (en) * | 2014-09-16 | 2016-03-17 | Baidu Online Network Technology (Beijing) Co., Ltd | Method and apparatus for processing file |
| CN105426532A (zh) * | 2015-12-17 | 2016-03-23 | 百度在线网络技术(北京)有限公司 | 文件操作方法和装置 |
| CN105701195A (zh) * | 2016-01-12 | 2016-06-22 | 深圳市创维电器科技有限公司 | 一种根据文件类型自动分类存储的实现方法及系统 |
| CN105975575A (zh) * | 2016-05-04 | 2016-09-28 | 电子科技大学 | 一种数据类型自动化识别方法 |
| CN106227893A (zh) * | 2016-08-24 | 2016-12-14 | 乐视控股(北京)有限公司 | 一种文件类型获取方法及装置 |
| CN106919855A (zh) * | 2017-04-25 | 2017-07-04 | 王小易 | 一种基于u盘的执法取证系统及其取证方法 |
-
2017
- 2017-08-31 CN CN201710788123.XA patent/CN107506471A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102696039A (zh) * | 2010-03-29 | 2012-09-26 | Ubic股份有限公司 | 取证系统、取证方法及取证程序 |
| CN102571767A (zh) * | 2011-12-24 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 文件类型识别方法及文件类型识别装置 |
| CN103823899A (zh) * | 2014-03-17 | 2014-05-28 | 广东欧珀移动通信有限公司 | 一种自动整理文件的方法及移动终端 |
| US20160078228A1 (en) * | 2014-09-16 | 2016-03-17 | Baidu Online Network Technology (Beijing) Co., Ltd | Method and apparatus for processing file |
| CN105426532A (zh) * | 2015-12-17 | 2016-03-23 | 百度在线网络技术(北京)有限公司 | 文件操作方法和装置 |
| CN105701195A (zh) * | 2016-01-12 | 2016-06-22 | 深圳市创维电器科技有限公司 | 一种根据文件类型自动分类存储的实现方法及系统 |
| CN105975575A (zh) * | 2016-05-04 | 2016-09-28 | 电子科技大学 | 一种数据类型自动化识别方法 |
| CN106227893A (zh) * | 2016-08-24 | 2016-12-14 | 乐视控股(北京)有限公司 | 一种文件类型获取方法及装置 |
| CN106919855A (zh) * | 2017-04-25 | 2017-07-04 | 王小易 | 一种基于u盘的执法取证系统及其取证方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110674491A (zh) * | 2019-09-29 | 2020-01-10 | 上海淇玥信息技术有限公司 | 用于安卓应用的实时取证的方法、装置和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102156751B (zh) | 一种提取视频指纹的方法及装置 | |
| US20170279840A1 (en) | Automated event id field analysis on heterogeneous logs | |
| CN108509569A (zh) | 企业画像的生成方法、装置、电子设备以及存储介质 | |
| CN103679012A (zh) | 一种可移植可执行文件的聚类方法和装置 | |
| CN112311571B (zh) | 网络拓扑生成方法及装置、电子设备和非暂态存储介质 | |
| CN103150359B (zh) | 微博信息显示方法和装置 | |
| CN104317891A (zh) | 一种对页面标注标签的方法及装置 | |
| CN103500158A (zh) | 批注电子文档的方法和装置 | |
| CN114153980A (zh) | 知识图谱构建方法和装置、检查方法、存储介质 | |
| CN113239365B (zh) | 一种基于知识图谱的漏洞修复方法 | |
| CN103377225A (zh) | 知识库系统的构建方法和设备 | |
| CN116150092A (zh) | 电子档案文件快速校验方法、系统、设备及介质 | |
| CN103856365B (zh) | 客户终端接入设备自动测试方法和系统 | |
| CN107506471A (zh) | 快速取证方法及系统 | |
| CN101374307B (zh) | 一种移动设备中更新数字内容信息的方法及装置 | |
| CN106933829B (zh) | 一种信息关联方法和设备 | |
| CN103093213A (zh) | 视频文件分类方法及终端 | |
| CN116703141A (zh) | 审计数据处理方法、装置、计算机设备和存储介质 | |
| CN104978404B (zh) | 一种视频专辑名称的生成方法及装置 | |
| CN115270689A (zh) | 一种原理图差异位置识别方法、装置、设备及存储介质 | |
| CN102521377B (zh) | 从文档处理系统的文档集合中筛选优质文档的方法及系统 | |
| CN103870477A (zh) | 聚合式文件管理方法及装置 | |
| CN103123635B (zh) | 一种数据搜索方法及应用该方法的电子设备 | |
| CN113591657A (zh) | Ocr版面识别的方法、装置、电子设备及介质 | |
| JP2013008237A (ja) | 関連情報抽出プログラム、関連情報抽出方法及び関連情報抽出装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171222 |