CN107832021A

CN107832021A - 一种电子证据固定方法、终端设备及存储介质

Info

Publication number: CN107832021A
Application number: CN201711220511.4A
Authority: CN
Inventors: 严小飞; 吴少华; 黄志炜
Original assignee: Xiamen Meiya Pico Information Co Ltd
Current assignee: Xiamen Meiya Pico Information Co Ltd
Priority date: 2017-11-29
Filing date: 2017-11-29
Publication date: 2018-03-23
Anticipated expiration: 2037-11-29
Also published as: CN107832021B

Abstract

本发明涉及一种电子证据固定方法、终端设备及存储介质。在该方法中，包括以下步骤：步骤1：将数据信息压缩后加入缓冲队列A；步骤2：对数据内容进行采集后加入缓冲队列B，将缓冲队列B中的数据内容加密和压缩后加入缓冲队列A；步骤3：实时判断缓冲序列A内的数据块是否满足规范化要求；步骤4：在缓冲队列A内构造寻址表数据，并对其进行加密后加入寻址表数据区；步骤5：将缓冲序列A中的数据块复制到镜像文件的备份区；步骤6：在镜像文件中构造文件控制区。本发明通过精简的结构化设计来保证证据镜像文件的制作与使用的过程中计算机软硬件包括网络资源能够得到有效与正确的充分利用。

Description

一种电子证据固定方法、终端设备及存储介质

技术领域

本发明涉及信息安全技术领域，尤其是涉及一种电子证据固定方法、终端设备及存储介质。

背景技术

电子数据取证的第一步是证据固定。证据固定是指将嫌疑计算机或存储介质或移动终端的数据进行获取的过程。证据固定必须符合严格的操作规范，并且需要由具有专业资质的人员使用专业的数据获取工具进行，同时镜像文件还需要被判定司法有效。

证据固定主要有两种存储方式，一种是将电子证据在目标存储介质上位对位复制存储，另一种方式是将电子证据制作成镜像文件。早期电子数据取证的主要固定方式是第一种目标存储介质位对位复制存储。随着单个存储介质容量的逐渐增大，以及分布式电子数据取证系统的产生，将电子证据制作成镜像文件已经成为了电子数据取证的优选方式。

目前国际法庭普遍接受的镜像文件格式按组成结构进行分类，主要有原始格式数据文件(RAW Image)、专家数据文件(Expert Witness Compression Formatspecification，EWF)、高级数据文件(Advanced Forensics Format，AFF)。

原始格式数据文件包括DD文件、IMG文件、001文件。其中DD文件是目前广泛使用的数据文件，它兼容性很强，目前所有的磁盘镜像以及分析工具都支持该格式。

专家数据文件包括E01文件、Ex01文件、S01文件、L01文件。其中E01文件由Guidance公司EnCase法证软件提出，并且被许多知名法证软件支持如：SMART、FTK等。

高级数据文件包括AFF文件，该数据文件具有很强的可扩展性。

就目前被广泛使用与接受的镜像文件而言(原始格式数据文件、专家数据文件、高级数据文件)，这些镜像文件在以往针对小容量存储介质(小于1TB)、单机单任务串行取证分析分析应用场景中尚能胜任。但在大容量存储介质(大于1TB)、待取证目标数量多、多任务并发取证分析、分布式取证计算场景中，这些镜像文件因为自身特性原因已无法满足系统或应用提出的高标准高要求。

原始格式镜像文件(DD、001、IMG)兼容性强，不压缩，数据固定速度较快，目前所有法证取证分析工具都支持。该类型数据文件存在如下的问题是：

数据不压缩，镜像文件与电子数据数据源容量完全一致。即便电子数据数据源仅有很少的有效数据，也一样需要同样的存储空间来存储；

原始格式数据文件自身只有数据，无法携带数据信息(固定时间、调查员信息、存储介质序列号、哈希值等)，其相关信息只能够以额外的文档为载体提供，容易丢失。案件相关信息不能存在于数据文件内部时容易与其它数据文件混淆；

另外原始格式镜像文件对篡改没有防御能力，当数据文件被修改后就失去了司法的有效性与数据分析的可参考性。

专家数据文件(E01、Ex01、S01、L01)与高级数据文件(AFF)支持压缩，可以携带数据信息，具用防篡改能力。该类型数据文件存在如下的问题是：

对存储介质存储容量增大的速度与规模预见不足，在结构设计上存在缺陷导致应用时计算机无法有效管理内存。

对法证系统应用的场景变化预见不足，同样在结构设计上存在缺陷而无法高效地支持多终端、多任务并发分布式取证分析。

因此需要一种在支持数据压缩同时满足分布式多任务并发取证分析需求的证据固定方法。

发明内容

为了解决上述问题，本发明旨在提供一种电子证据固定方法、终端设备及存储介质，通过连续的加密寻址表对电子证据进行保护，通过精简的结构化设计来保证镜像文件的制作与使用的过程中计算机软硬件包括网络资源能够得到有效与正确的充分利用。

具体方案如下：

一种电子证据固定方法，包括以下步骤：

步骤1：将数据信息分成额定大小的数据信息数据块，通过压缩算法进行压缩后加入缓冲队列A；

步骤2：对数据源的数据内容进行采集，将其加入缓冲队列B中；将缓冲队列B中的数据内容分成额定大小的数据内容数据块，进行加密和压缩处理后，将其加入缓冲队列A；

步骤3：实时判断缓冲队列A内的数据信息数据块和数据内容数据块是否满足规范化要求，如果不满足则继续等待条件满足或被通知结束并进行最后一次非规范化数据的善后处理；如果满足，将满足规范化要求的缓冲队列A内数据信息数据块和数据内容数据块写入镜像文件的数据信息数据区和数据内容数据区中；

步骤4：在缓冲队列A内构造寻址表数据，并对其进行加密后加入镜像文件的寻址表数据区；

步骤5：将缓冲队列A中的数据信息数据块和寻址表数据块复制到镜像文件的备份区，备分区的数据提供在数据文件被部分破坏时利用来恢复或挽救证据数据；

步骤6：在镜像文件中构造文件控制区。

进一步的，所述数据信息为案件信息，包括以下信息中的一种或多种：案件编号、证据编号、GUID值、检查人姓名、证据固定日期与时间、密码哈希值、固定时的操作系统平台、算法版本号、证据原始扇区数、原始扇区字节数、总字节数、起始扇区、结束扇区、哈希值、备注信息。

进一步的，所述额定大小可以依据存储介质的大小和数据固定的效率来设定，该实施例中根据镜像文件存储介质为磁盘，所以该数据块大小优选设定的为：

数据块大小＝磁盘扇区大小×2^(10+N)，其中0<N<6且N为自然数。

进一步的，所述满足规范化要求是指缓冲队列A内数据信息数据块和数据内容数据块的数据量达到特定大小。

进一步的，所述特定大小为与存储介质扇区字节数成整数倍关系的大小。

进一步的，所述寻址表数据为由压缩后的数据内容数据块在镜像文件中的地址数据线性组合而成。

进一步的，所述地址数据由Offset_n表示，其中n为自然数，

Offset_n由以下公式计算得到：

当n＝0时，Offset₀为第一个数据内容数据块的地址，

当n>0时，Offset_n＝Offset+Offset_n-1，

其中Offset为压缩后的数据内容数据块的长度。

进一步的，所述文件控制区被配置为具有以下两个限定条件：

限定条件一：当数据文件较大，数据文件被分割成N部分，分别固定到第一、第二、第三……第N镜像文件中时，所述第一镜像文件中的文件控制区用于指向第二镜像文件，第二镜像文件中的文件控制区用于指向第三镜像文件，以此类推，第N-1镜像文件中的文件控制区用于指向第N镜像文件；

限定条件二：当数据文件全部固定在一个镜像文件中或该镜像文件为连续镜像文件中的最后一个时，所述文件控制区用做镜像文件固定完成的标志。

一种电子证据固定终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现电子证据固定方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现电子证据固定方法的步骤。

本发明采用如上技术手段，并具有有益效果：

1.对案件相关信息存储在镜像文件中，防止与其他数据文件混淆。

2.证据固定后产生的数据文件在获取数据时直接使用文件内部的寻址表，无需重构，消减了寻址表重新构建的过程，使得具有复杂结构文件系统并包含海量数据的数据文件的多任务并发分析成为可能。

3.电子证据固定时无需预锁定存储空间，存储空间的申请在证据固定时逐步按需申请，数据内容输入输出与寻址都构建在流水作业之上，极大地减少了寻址表重新构建导致的数据输入输出时间与闪存消耗，同时降低操作系统的输入输出资源管理的复杂度。

附图说明

图1所示为本发明实施例一的步骤示意图。

图2所示为本发明实施例一中镜像文件的结构示意图。

具体实施方式

为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。

现结合附图和具体实施方式对本发明进一步说明。

实施例一：

本发明实施例一提供了一种电子证据固定方法，如图1、2所示，其为本发明实施例一所述的电子证据固定方法的流程示意图，所述方法可包括以下步骤：

步骤1：将数据信息分成额定大小的数据信息数据块，通过压缩算法进行压缩后加入缓冲队列A。

该实施例中，所述数据信息为案件信息，包括以下信息中的一种或多种：案件编号、证据编号、GUID(全局唯一标识符)值、检查人姓名、证据固定日期与时间、密码哈希值、固定时的操作系统平台、算法版本号、证据原始扇区数、原始扇区字节数、总字节数、起始扇区、结束扇区、哈希值、备注信息。

由于数据内容需要在保存过程中防止被篡改，所以需要对其进行数据加密。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为密文，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。

哈希算法为常用的数据加密算法，包括SHA-1、MD2、MD5等算法，其加密过程为单向加密过程，即通过哈希运算之后的数据，不能推算出加密之前的原始数据，要想得要加密之前的原始数据，需要通过密钥进行解密来获得，因此数据的安全得到了保证。

该实施例中，通过MD5、SHA-1两种哈希算法中的一种或两种同时累计校验。最后的结果会按所选哈希算法得到一种或两种方式的校验值。所得到的校验值将存储在数据信息数据块中，提供对该镜像文件进行有效性验证时使用。

所述额定大小可以依据存储介质的大小和数据固定的效率来设定，该实施例中根据镜像文件存储介质为磁盘，所以该数据块大小优选设定的为：

数据块大小＝磁盘扇区大小×2^(10+N)，其中0<N<6且N为自然数，

根据目前的计算机技术水平，当N超出此范围时，会出现内存管理异常等问题。

所述压缩算法为常用压缩算法，该实施例中采用zlib压缩算法，可以根据实际情况选用其他压缩算法。

所述缓冲队列为数据缓冲区，用于暂时存储数据。

步骤2：对数据源的数据内容进行采集，将其加入缓冲队列B中。将缓冲队列B中的数据内容分成额定大小的数据块，进行加密和压缩处理后，将其加入缓冲队列A。

所述数据源为数据的来源，可以为一个或者多个数据源。该实施例中数据源为案件内容数据的来源，主要来自两个方面，一个是系统方面，一个是网络方面。来自系统方面的证据包括：系统日志文件、备份介质、入侵者残留物：如程序、脚本、进程、内存映像等，来自网络方面的证据包括：防火墙日志、其他网络工具所产生的记录和日志等。

所述数据内容可以为多种格式的数据，例如声音、图片、文本等等。

步骤3：实时判断缓冲队列A内的数据信息数据块和数据内容数据块是否满足规范化要求，如果不满足则继续等待条件满足或被通知结束并进行最后一次非规范化数据的善后处理。如果满足，将满足规范化要求的缓冲队列A内数据信息数据块和数据内容数据块写入镜像文件的数据信息数据区和数据内容数据区中。

所述满足规范化要求是指缓冲队列A内数据信息数据块和数据内容块的数据量达到特定大小。

所述特定大小可以根据数据写入的速度来确定，该实施例中设定的特定大小为与存储介质扇区字节数成整数倍关系的大小，例如：存储介质扇区字节数为512，则可选的大小为512×N，N为正整数。

所述数据内容数据块在镜像文件中线性存储。

步骤4：在缓冲队列A内构造寻址表数据，并对其进行加密后加入镜像文件的寻址表数据区。

由于对数据内容进行加密校验时需要得到数据内容的具体地址，所以我们为数据内容块构造寻址表数据。

所述寻址表数据为由压缩后的数据内容块在镜像文件中的地址数据线性组合而成。

所述地址数据由Offset_n表示，其中n为自然数，

Offset_n由以下公式计算得到：

当n＝0时，Offset₀为第一个数据内容数据块的地址，

当n>0时，Offset_n＝Offset+Offset_n-1，

其中Offset为压缩后的数据内容数据块的长度。

步骤5：将缓冲队列A中的数据信息数据块和寻址表数据块复制到镜像文件的备份区，备分区的数据提供在数据文件被部分破坏时利用来恢复或挽救数据内容。

所述备份区包括备份数据信息区、备份寻址表数据区。

步骤6：所述文件控制区被配置为具有以下两个限定条件：

该实施例中，所述数据文件为证据文件。

该发明实时例一提供了一种电子证据固定方法，该方法将案件信息集成在证据镜像文件中，解决了原始格式证据文件无法集成案件信息与证据镜像文件本身描述信息问题，使得案件信息、证据镜像文件本身描述信息、证据数据存储在同一证据文件中，有助于避免了案件之间或多证据镜像文件之间相混淆。同时在设计上加强了防御设计，可以有交效避免证据数据被篡改而无法研判。

该实施例制作得到的证据镜像文件让证据数据、加密寻址表数据都相对线性连续存储，在证据文件的制作过程中直接削减了CPU与内存调度算法的复杂度，同时提高利用率，从而使结构化的证据文件的制作速度得到大幅提升。当证据镜像文件应用在取证分析时支持了快速的随机读取，使得针对结构化证据镜像文件的多任务多终端分布式取证分析成为可能。

实施例二：

本发明还提供一种电子证据固定终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本发明实施例上述方法实施例中的步骤，例如图1所示的步骤1-步骤6的方法步骤。

进一步地，作为一个可执行方案，所述电子证据固定终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述电子证据固定终端设备可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，上述电子证据固定终端设备的组成结构仅仅是电子证据固定终端设备的示例，并不构成对电子证据固定终端设备的限定，可以包括比上述更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述电子证据固定终端设备还可以包括输入输出设备、网络接入设备、总线等，本发明实施例对此不做限定。

进一步地，作为一个可执行方案，所称处理器可以是中央处理单元(CentralProcessing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述电子证据固定终端设备的控制中心，利用各种接口和线路连接整个电子证据固定终端设备的各个部分。

所述存储器可用于存储所述计算机程序，所述处理器通过运行或执行存储在所述存储器内的计算机程序，以及调用存储在存储器内的数据，实现所述电子证据固定终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据手机的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。

所述电子证据固定终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。

Claims

1.一种电子证据固定方法，其特征在于：包括以下步骤：

步骤6：在镜像文件中构造文件控制区。

2.根据权利要求1所述的电子证据固定方法，其特征在于：所述数据信息为案件信息，包括以下信息中的一种或多种：案件编号、证据编号、GUID值、检查人姓名、证据固定日期与时间、密码哈希值、固定时的操作系统平台、算法版本号、证据原始扇区数、原始扇区字节数、总字节数、起始扇区、结束扇区、哈希值、备注信息。

3.根据权利要求1所述的电子证据固定方法，其特征在于：所述额定大小可以依据存储介质的大小和数据固定的效率来设定，该实施例中根据镜像文件存储介质为磁盘，所以该数据块大小优选设定的为：

数据块大小＝磁盘扇区大小×2^(10+N)，其中0<N<6且N为自然数。

4.根据权利要求1所述的电子证据固定方法，其特征在于：所述满足规范化要求是指缓冲队列A内数据信息数据块和数据内容数据块的数据量达到特定大小。

5.根据权利要求4所述的电子证据固定方法，其特征在于：所述特定大小为与存储介质扇区字节数成整数倍关系的大小。

6.根据权利要求1所述的电子证据固定方法，其特征在于：所述寻址表数据为由压缩后的数据内容数据块在镜像文件中的地址数据线性组合而成。

7.根据权利要求6所述的电子证据固定方法，其特征在于：所述地址数据由Offset_n表示，其中n为自然数，

Offset_n由以下公式计算得到：

当n＝0时，Offset₀为第一个数据内容数据块的地址，

当n>0时，Offset_n＝Offset+Offset_n-1，

其中Offset为压缩后的数据内容数据块的长度。

8.根据权利要求1所述的电子证据固定方法，其特征在于：所述文件控制区被配置为具有以下两个限定条件：

9.一种电子证据固定终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1～8所述方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1～8所述方法的步骤。