CN107968803B - 针对移动终端的远程取证方法、装置、移动终端和系统 - Google Patents

针对移动终端的远程取证方法、装置、移动终端和系统 Download PDF

Info

Publication number
CN107968803B
CN107968803B CN201610914814.5A CN201610914814A CN107968803B CN 107968803 B CN107968803 B CN 107968803B CN 201610914814 A CN201610914814 A CN 201610914814A CN 107968803 B CN107968803 B CN 107968803B
Authority
CN
China
Prior art keywords
evidence obtaining
data
mobile terminal
platform
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610914814.5A
Other languages
English (en)
Other versions
CN107968803A (zh
Inventor
黄铖斌
方燕萍
王锦华
龙洋
姜钰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201610914814.5A priority Critical patent/CN107968803B/zh
Publication of CN107968803A publication Critical patent/CN107968803A/zh
Application granted granted Critical
Publication of CN107968803B publication Critical patent/CN107968803B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Abstract

本发明公开了一种针对移动终端的远程取证方法、装置、移动终端和系统,涉及信息安全领域。其中的方法包括:取证处理器接收取证平台下发的取证指令;取证处理器根据取证指令将终端信息反馈至取证平台;响应于取证平台根据终端信息触发取证处理器进行数据提取,取证处理器以只读方式提取移动终端存储的取证数据;取证处理器将取证数据发送至取证平台。本发明能够在取证人员无法接触移动终端或传统取证方式无效时,对指定终端进行电子数据取证。另外,由于本发明的取证处理器为移动终端中的硬件取证芯片,即使用户对手机的系统进行刷机操作也无法清除取证芯片,因此,能够保证取证数据的完整性和准确性。

Description

针对移动终端的远程取证方法、装置、移动终端和系统
技术领域
本发明涉及信息安全领域,尤其涉及一种针对移动终端的远程取证方法、装置、移动终端和系统。
背景技术
现有移动终端取证的主流技术是通过本地取证方式,利用取证专用工具直接对接目标移动终端,通过取证工具提取目标移动终端中的电子数据证据。
另外,常见的远程数据提取软件普遍采用系统层或应用层安装应用程序,通过该应用程序调用移动终端处理芯片,提取内外部存储中的数据。当移动终端被其他用户进行“恢复出厂设置”或重刷系统时,会导致数据提取程序被删除,从而导致无法远程提取数据。
发明内容
本发明要解决的一个技术问题是提供一种针对移动终端的远程取证方法、装置、移动终端和系统能够在取证人员无法接触移动终端或传统取证方式无效时,对指定终端进行电子数据取证。
根据本发明一方面,提出一种针对移动终端的远程取证方法,包括:取证处理器接收取证平台下发的取证指令;取证处理器根据取证指令将终端信息反馈至取证平台;响应于取证平台根据终端信息触发取证处理器进行数据提取,取证处理器以只读方式提取移动终端存储的取证数据;取证处理器将取证数据发送至取证平台。
进一步地,取证处理器接收取证平台下发的取证指令后,还包括:取证处理器对取证平台进行接入认证。
进一步地,取证处理器根据取证指令将终端信息反馈至取证平台包括:取证处理器对取证指令进行解析;根据解析的取证指令识别移动终端的基本信息、操作系统信息和/或文件系统结构信息,并反馈至取证平台。
进一步地,该方法还包括:取证处理器对已提取的取证数据进行哈希计算,并将取证数据和取证数据对应的哈希值存储在数据缓存区。
进一步地,该方法还包括:对数据缓存区的取证数据进行加密处理。
进一步地,该方法还包括:将加密后的取证数据和取证数据对应的哈希值发送至取证平台。
进一步地,该方法还包括:在移动终端首次激活时,对取证处理器与移动终端的移动设备国际识别码IMEI进行绑定,并将绑定关系发送至取证平台;和/或在移动终端首次插卡或换卡时,对取证处理器与移动终端的国际移动用户识别码IMSI进行绑定,并将绑定关系发送至取证平台。
根据本发明的另一方面,还提出一种针对移动终端的远程取证装置,包括:指令接收模块,用于接收取证平台下发的取证指令;终端信息反馈模块,用于根据取证指令将终端信息反馈至取证平台;数据提取模块,用于响应于取证平台根据终端信息触发装置进行数据提取,以只读方式提取移动终端存储的取证数据;数据传输模块,用于将取证数据发送至取证平台。
进一步地,该装置还包括接入认证模块;接入认证模块用于对取证平台进行接入认证。
进一步地,该装置还包括指令解析模块和文件系统识别模块;指令解析模块用于对取证指令进行解析;文件系统识别模块用于根据解析的取证指令识别移动终端的基本信息、操作系统信息和/或文件系统结构信息;终端信息反馈模块用于将移动终端的基本信息、操作系统信息和/或文件系统结构信息反馈至取证平台。
进一步地,该装置还包括数据校验模块和数据缓存区;数据校验模块用于对已提取的取证数据进行哈希计算,并将取证数据和取证数据对应的哈希值存储在数据缓存区;数据缓存区用于缓存取证数据和取证数据对应的哈希值。
进一步地,该装置还包括数据加密模块;数据加密模块用于对数据缓存区的取证数据进行加密处理。
进一步地,数据传输模块用于将加密后的取证数据和取证数据对应的哈希值发送至取证平台。
进一步地,该装置还包括终端标识绑定模块;终端标识绑定模块用于在移动终端首次激活时,对装置与移动终端的移动设备国际识别码IMEI进行绑定,并将绑定关系发送至取证平台;和/或用于在移动终端首次插卡或换卡时,对装置与移动终端的国际移动用户识别码IMSI进行绑定,并将绑定关系发送至取证平台。
根据本发明的另一方面,还提出一种移动终端,包括上述的针对移动终端的远程取证装置。
根据本发明的另一方面,还提出一种针对移动终端的远程取证系统,包括取证平台和上述的针对移动终端的远程取证装置。
与现有技术相比,本发明在移动终端设置硬件取证处理器,取证处理器根据取证平台下发的取证指令将终端信息反馈至取证平台,取证平台触发取证处理器进行数据提取,取证处理器以只读方式提取移动终端存储的取证数据,并将取证数据发送至取证平台,本发明能够在取证人员无法接触移动终端或传统取证方式无效时,对指定终端进行电子数据取证。
另外,由于本发明的取证处理器为移动终端中的硬件取证芯片,即使用户对手机的系统进行刷机操作也无法清除取证芯片,因此,能够保证取证数据的完整性和准确性。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明针对移动终端的远程取证方法的一个实施例的流程示意图。
图2为本发明移动终端取证处理器绑定示意图。
图3为本发明针对移动终端的远程取证方法的另一个实施例的流程示意图。
图4为本发明针对移动终端的远程取证装置的一个实施例的结构示意图。
图5为本发明针对移动终端的远程取证装置的另一个实施例的结构示意图。
图6为本发明移动终端的一个实施例的结构示意图。
图7为本发明针对移动终端的远程取证系统的一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
图1为本发明针对移动终端的远程取证方法的一个实施例的流程示意图。该方法包括以下步骤:
在步骤110,取证处理器接收取证平台下发的取证指令。可以预先在移动终端中设置硬件取证芯片,即取证处理器,并如图2所示,对取证芯片与移动终端IMEI(International Mobile Equipment Identity,移动设备国际识别码)和IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码)进行绑定,例如,当移动终端首次激活时,对取证处理器与移动终端的IMEI进行绑定,并将绑定关系发送至取证平台;在移动终端首次插卡或换卡时,对取证处理器与移动终端的手机卡IMSI进行绑定,并将绑定关系发送至取证平台。当取证平台需要对某个移动终端取证时,下发取证指令到该移动终端的取证处理器。
在步骤120,取证处理器根据取证指令将终端信息反馈至取证平台。取证处理器对取证指令进行加解密解析后,识别当前移动终端的基本信息、操作系统信息以及文件系统结构信息等,并将上述信息反馈至取证平台,取证平台根据反馈的信息触发取证处理器进行数据提取。
在步骤130,响应于取证平台根据终端信息触发取证处理器进行数据提取,取证处理器以只读方式提取移动终端存储的取证数据。
在步骤140,取证处理器将取证数据发送至取证平台。取证处理器可以在移动终端存储区不进行任何写入的前提下,提取该移动终端存储的数据,并将提取的电子数据证据上传到取证平台。
在该实施例中,在移动终端设置硬件取证处理器,取证处理器根据取证平台下发的取证指令将终端信息反馈至取证平台,取证平台触发取证处理器进行数据提取,取证处理器以只读方式提取移动终端存储的取证数据,并将取证数据发送至取证平台,解决了取证人员在无法接触移动终端或传统取证方式无效时,对指定终端进行电子数据取证的问题。另外,由于该实施例中,取证处理器为移动终端中的硬件取证芯片,即使用户对手机的系统进行刷机操作也无法清除取证芯片,因此,能够保证取证数据的完整性和准确性。
图3为本发明针对移动终端的远程取证方法的另一个实施例的流程示意图。该方法包括以下步骤:
在步骤310,取证处理器接收取证平台下发的取证指令。取证处理器具有唯一的标识,移动终端激活或开机后可以主动与取证平台通信,上报终端的IP地址、随机数等信息,取证平台根据终端的IP地址、取证芯片标识等触发取证请求。其中,取证处理器设置在移动终端中,现有技术中常见的取证软件安装在手机的应用层,容易被卸载掉,而本发明中的取证处理器是一个物理硬件芯片(内部预置了取证处理软件),而不是一个软件程序。因此,即使用户对手机的系统进行刷机操作也无法清除取证处理器。
在步骤320,取证处理器对取证平台进行认证。其中,取证处理器内预置了取证平台的通讯地址、协议、加密方式等,只有取证平台使用正确的加密方式、加密元素(可以为取证平台标识+取证芯片随机数+时间戳等),才能通过取证处理器的认证。
在步骤330,取证处理器对取证指令进行加解密解析。为了保证通信安全,取证平台发送的取证指令为加密取证指令,因此,取证处理器需要对取证指令进行解析。
在步骤340,取证处理器根据解析的取证指令识别移动终端的基本信息、操作系统信息及文件系统结构信息,并反馈至取证平台。由于不同品牌、不同型号、不同操作系统的手机内的数据存储位置基本上都是不一样的,即使是同一款手机不同用户使用后也会安装不同的程序、产生不同的数据。因此,将终端基本信息、操作系统信息及文件系统结构信息发送至取证平台,取证平台可以识别用户终端的品牌、型号、容量、操作系统版本等,以及获取特定终端内部存储结构、目录结构、文件位置等,用以确定终端内哪些数据是可用于取证,可以由针对性的获取数据。
在步骤350,取证平台触发取证处理器进行数据提取,取证处理器以只读方式提取移动终端内外置存储空间中的数据。例如取证平台通过消息方式下发一条取证触发消息,包含需要进行的操作(提取数据)、提取的目录、提取的文件等信息。取证处理器调用应用处理器的开放API(Application Programming Interface,应用程序编程接口)对移动终端文件系统、目录结构进行识别,另外取证处理器内设置一个只读控制的模块,该模块负责控制取证处理器只能调用应用处理器开放API中的“读”接口,对于所有调用“写”接口的操作,一律拒绝,即以只读的方式提取移动终端内的系统数据、应用数据、用户数据等信息。
在步骤360,取证处理器对已提取的取证数据进行哈希计算,并将取证数据和取证数据对应的哈希值存储在数据缓存区。例如通过MD5方式对已取得的数据进行哈希计算,得到一个唯一的哈希值。
在步骤370,取证处理器对数据缓存区的取证数据进行加密处理,以防止数据泄露。
在步骤380,取证处理器将加密后的取证数据和对应的哈希值发送至取证平台。取证平台可以识别获取的取证数据的完整性,并向有关人员提供电子数据凭证。
该实施例中,通过远程方式对目标终端进行取证,在对移动终端存储区不进行任何写入操作的前提下,通过网络渠道进行远程移动终端数据提取,可以获取终端信息、用户使用记录、已删除数据等取证信息。因此解决了取证人员在无法接触移动终端,或传统取证方式无效时,无法对指定终端进行电子数据取证的问题。
图4为本发明针对移动终端的远程取证装置的一个实施例的结构示意图。该装置可以为取证芯片,设置在移动终端中,可以包括指令接收模块410、终端信息反馈模块420、数据提取模块430和数据传输模块440,其中:
指令接收模块410用于接收取证平台下发的取证指令。终端信息反馈模块420用于根据取证指令将终端信息反馈至取证平台。例如将识别的当前移动终端的基本信息、操作系统信息以及文件系统结构信息等反馈至取证平台,取证平台根据反馈的信息触发取证处理器进行数据提取。数据提取模块430响应于取证平台根据终端信息触发取取证芯片进行数据提取,以只读方式提取移动终端存储的取证数据。其中,数据提取模块430可以在移动终端存储区不进行任何写入的前提下,提取该移动终端存储的数据。数据传输模块440用于将取证数据发送至取证平台。
在该实施例中,针对移动终端的远程取证装置根据取证平台下发的取证指令将终端信息反馈至取证平台,取证平台触发该装置进行数据提取,该装置以只读方式提取移动终端存储的取证数据,并将取证数据发送至取证平台,解决了取证人员在无法接触移动终端或传统取证方式无效时,对指定终端进行电子数据取证。
图5为本发明针对移动终端的远程取证装置的另一个实施例的结构示意图。该装置为物理硬件芯片,现有技术中常见的取证软件安装在手机的应用层,容易被卸载掉,而本发明是在移动终端中安装硬件芯片,即使用户对手机的系统进行刷机操作也无法清除取证芯片。该远程取证装置包括指令接收模块510、接入认证模块520、指令解析模块530、文件系统识别模块540、终端信息反馈模块550、数据提取模块560、数据校验模块570、数据缓存区580、数据加密模块590和数据传输模块5100,其中:
指令接收模块510用于接收取证平台下发的取证指令。该远程取证装置具有唯一的标识,移动终端激活或开机后可以主动与取证平台通信,上报终端的IP地址、随机数等信息,取证平台根据终端的IP地址、取证芯片标识等触发取证请求。在一个实施例中,该装置还可以包括终端标识绑定模块511,终端标识绑定模块511用于在移动终端首次激活时,对该远程取证装置与移动终端的IMEI进行绑定,并将绑定关系发送至取证平台;在移动终端首次插卡或换卡时,对该远程取证装置与移动终端的手机卡IMSI进行绑定,并将绑定关系发送至取证平台。
接入认证模块520用于对取证平台进行认证。其中,该远程取证装置内预置了取证平台的通讯地址、协议、加密方式等,只有取证平台使用正确的加密方式、加密元素(可以为取证平台标识+取证芯片随机数+时间戳等),才能通过取证处理器的认证。
指令解析模块530用于对取证指令进行加解密解析。为了保证通信安全,取证平台发送的取证指令为加密取证指令,因此,需要对取证指令进行解析。
文件系统识别模块540用于根据解析的取证指令识别移动终端的基本信息、操作系统信息及文件系统结构信息。终端信息反馈模块550用于将上述信息反馈至取证平台。由于不同品牌、不同型号、不同操作系统的手机内的数据存储位置基本上都是不一样的,即使是同一款手机不同用户使用后也会安装不同的程序、产生不同的数据。因此,将终端基本信息、操作系统信息及文件系统结构信息发送至取证平台,取证平台可以识别用户终端的品牌、型号、容量、操作系统版本等,以及获取特定终端内部存储结构、目录结构、文件位置等,用以确定终端内哪些数据是可用于取证,可以由针对性的获取数据。
数据提取模块560用于进行数据提取,例如以只读方式提取移动终端内外置存储空间中的数据。在一个实施例中,该远程取证装置内设置取证安全控制模块561,该取证安全控制模块561负责控制该远程取证装置只能调用应用处理器开放API中的“读”接口,对于所有调用“写”接口的操作,一律拒绝,即数据提取模块560以只读的方式提取移动终端内的系统数据、应用数据、用户数据等信息。
数据校验模块570用于对已提取的取证数据进行哈希计算,并将取证数据和取证数据对应的哈希值存储在数据缓存区580。
数据加密模块590用于数据缓存区的取证数据进行加密处理,以防止数据泄露。
数据传输模块5100用于将加密后的取证数据和对应的哈希值发送至取证平台。取证平台可以识别获取的取证数据的完整性,并向有关人员提供电子数据凭证。
该实施例中,通过远程方式对目标终端进行取证,在对移动终端存储区不进行任何写入操作的前提下,通过网络渠道进行远程移动终端数据提取,可以获取终端信息、用户使用记录、已删除数据等取证信息。因此解决了取证人员在无法接触移动终端,或传统取证方式无效时,无法对指定终端进行电子数据取证的问题。
图6为本发明移动终端的一个实施例的结构示意图。该移动终端包括上述实施例中的针对移动终端的远程取证装置610,即取证处理器,其中,针对移动终端的远程取证装置610已在上述实施例中进行了详细介绍,此处不再进一步阐释,针对移动终端的远程取证装置610可以通过应用处理器620获取移动终端内外置存储空间630中的数据,进而发送至取证平台。因此,解决了取证人员在无法接触移动终端或传统取证方式无效时,对指定终端进行电子数据取证。
图7为本发明针对移动终端的远程取证系统的一个实施例的结构示意图。该系统包括取证平台710和上述的针对移动终端的远程取证装置720,针对移动终端的远程取证装置720为设置在移动终端中的取证芯片,取证平台可以通过网络渠道控制取证芯片在对移动终端存储区不进行任何写入操作的前提下进行数据提取。
该系统可以应用在国家安全以及相关执法领域,例如,国家安全部门或者执法部门在无法直接接触特定嫌疑人的移动终端,或者传统取证方式无效,但又要对其进行电子数据取证时,可以应用本发明的远程取证系统对指定终端进行电子数据取证。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。

Claims (10)

1.一种针对移动终端的远程取证方法,其特征在于,包括:
在移动终端首次激活时,对取证处理器与所述移动终端的移动设备国际识别码IMEI进行绑定,并将绑定关系发送至取证平台;和/或,在所述移动终端首次插卡或换卡时,对所述取证处理器与所述移动终端的国际移动用户识别码IMSI进行绑定,并将绑定关系发送至取证平台;
取证处理器接收取证平台下发的取证指令;
所述取证处理器对所述取证平台进行接入认证,其中,所述取证处理器内预置了取证平台的通讯地址、协议和加密方式,所述取证平台使用正确的加密方式和加密元素通过所述取证处理器的认证;
所述取证处理器对所述取证指令进行解析,根据解析的所述取证指令识别终端信息,并将终端信息反馈至所述取证平台,其中,所述终端信息包括所述移动终端的操作系统信息和/或文件系统结构信息;
响应于所述取证平台根据所述终端信息触发所述取证处理器进行数据提取,所述取证处理器以只读方式提取所述移动终端存储的取证数据;
所述取证处理器将所述取证数据发送至所述取证平台。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述取证处理器对已提取的所述取证数据进行哈希计算,并将所述取证数据和所述取证数据对应的哈希值存储在数据缓存区。
3.根据权利要求2所述的方法,其特征在于,还包括:
对所述数据缓存区的取证数据进行加密处理。
4.根据权利要求3所述的方法,其特征在于,还包括:
将加密后的取证数据和所述取证数据对应的哈希值发送至所述取证平台。
5.一种针对移动终端的远程取证装置,其特征在于,包括:
终端标识绑定模块,用于在移动终端首次激活时,对所述装置与所述移动终端的移动设备国际识别码IMEI进行绑定,并将绑定关系发送至取证平台;和/或用于在所述移动终端首次插卡或换卡时,对所述装置与所述移动终端的国际移动用户识别码IMSI进行绑定,并将绑定关系发送至取证平台;
指令接收模块,用于接收取证平台下发的取证指令;
接入认证模块,用于对所述取证平台进行接入认证,其中,所述取证处理器内预置了取证平台的通讯地址、协议和加密方式,所述取证平台使用正确的加密方式和加密元素通过所述取证处理器的认证;
指令解析模块,用于对所述取证指令进行解析;
文件系统识别模块,用于根据解析的取证指令识别终端信息,所述终端信息包括所述移动终端的操作系统信息和/或文件系统结构信息;
终端信息反馈模块,用于根据所述取证指令将终端信息反馈至所述取证平台;
数据提取模块,用于响应于所述取证平台根据所述终端信息触发所述装置进行数据提取,以只读方式提取所述移动终端存储的取证数据;
数据传输模块,用于将取证数据发送至所述取证平台。
6.根据权利要求5所述的装置,其特征在于,还包括数据校验模块和数据缓存区;
所述数据校验模块用于对已提取的所述取证数据进行哈希计算,并将所述取证数据和所述取证数据对应的哈希值存储在数据缓存区;
所述数据缓存区用于缓存所述取证数据和所述取证数据对应的哈希值。
7.根据权利要求6所述的装置,其特征在于,还包括数据加密模块;
所述数据加密模块用于对所述数据缓存区的取证数据进行加密处理。
8.根据权利要求7所述的装置,其特征在于,所述数据传输模块用于将加密后的取证数据和所述取证数据对应的哈希值发送至所述取证平台。
9.一种移动终端,其特征在于,包括权利要求5-8任一所述的针对移动终端的远程取证装置。
10.一种针对移动终端的远程取证系统,其特征在于,包括取证平台和权利要求5-9任一所述的针对移动终端的远程取证装置。
CN201610914814.5A 2016-10-20 2016-10-20 针对移动终端的远程取证方法、装置、移动终端和系统 Active CN107968803B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610914814.5A CN107968803B (zh) 2016-10-20 2016-10-20 针对移动终端的远程取证方法、装置、移动终端和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610914814.5A CN107968803B (zh) 2016-10-20 2016-10-20 针对移动终端的远程取证方法、装置、移动终端和系统

Publications (2)

Publication Number Publication Date
CN107968803A CN107968803A (zh) 2018-04-27
CN107968803B true CN107968803B (zh) 2021-06-15

Family

ID=61997078

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610914814.5A Active CN107968803B (zh) 2016-10-20 2016-10-20 针对移动终端的远程取证方法、装置、移动终端和系统

Country Status (1)

Country Link
CN (1) CN107968803B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115186854B (zh) * 2022-09-07 2022-12-16 艾斯特国际安全技术(深圳)有限公司 证件领取的管控方法、装置、系统及存储介质

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1645382A (zh) * 2004-06-22 2005-07-27 上海金诺网络安全技术发展股份有限公司 计算机远程电子取证的方法及其系统
CN100498742C (zh) * 2007-01-08 2009-06-10 中国信息安全产品测评认证中心 一种可信u盘、实现可信u盘安全性及其与计算机数据通信的方法
US8032779B2 (en) * 2009-08-31 2011-10-04 Cisco Technology, Inc. Adaptively collecting network event forensic data
US20140330152A1 (en) * 2011-05-09 2014-11-06 Ilan Keidan Providing evidence whether an intravascular conduit is correctly positioned
CN102325139B (zh) * 2011-09-14 2014-07-09 福建伊时代信息科技股份有限公司 电子文件的处理方法、处理系统和验证系统
CN103399830B (zh) * 2013-08-09 2016-01-06 山东省计算中心 通过PCI Express总线读取计算机物理内存的设备及方法
CN103475664B (zh) * 2013-09-18 2017-02-15 北京工业大学 面向Android的数字证据的可信提取方法
US20150128267A1 (en) * 2013-11-06 2015-05-07 Mcafee, Inc. Context-aware network forensics
CN104750591A (zh) * 2013-12-30 2015-07-01 上海威亿实业有限公司 一种计算机取证装置及取证方法
CN203658991U (zh) * 2013-12-30 2014-06-18 上海威亿实业有限公司 一种计算机取证系统
CN105007579B (zh) * 2014-04-24 2019-03-15 中国移动通信集团广东有限公司 一种无线局域网接入认证方法及终端
CN103942054A (zh) * 2014-04-25 2014-07-23 北京邮电大学 一种基于安卓的数据取证系统
US9851998B2 (en) * 2014-07-30 2017-12-26 Microsoft Technology Licensing, Llc Hypervisor-hosted virtual machine forensics
CN105813070B (zh) * 2014-12-29 2019-08-30 中国移动通信集团公司 一种车载终端通过移动终端进行通信的方法及装置
CN105828319B (zh) * 2015-01-08 2019-10-29 中国移动通信集团广东有限公司 一种更换客户识别模块卡的方法及装置
CN104717208B (zh) * 2015-02-10 2018-10-30 重庆市互联网新闻研究中心 利用终端特征信息实时固定电子数据的方法、设备及系统

Also Published As

Publication number Publication date
CN107968803A (zh) 2018-04-27

Similar Documents

Publication Publication Date Title
JP6725679B2 (ja) アプリの偽変造が探知可能な2チャンネル認証代行システム及びその方法
CN104217164B (zh) 智能移动终端恶意软件的检测方法与装置
CN106790156B (zh) 一种智能设备绑定方法及装置
JP2015092374A5 (zh)
CN112217835B (zh) 报文数据的处理方法、装置、服务器和终端设备
JP2012084159A (ja) 無線装置上のファームウェア照合を管理するための装置および方法
CN101582887A (zh) 安全防护方法、网关设备及安全防护系统
US10638422B2 (en) Data asset transfers via energy efficient communications
CN104751105A (zh) 一种指纹数据验证方法、装置及相关设备和系统
WO2017067381A1 (zh) 一种支付方法、终端及支付服务器
CN103442361A (zh) 移动应用的安全性检测方法及移动终端
EP2829996A1 (en) Authentication method, authentication apparatus and authentication device
CN104219626A (zh) 一种身份认证的方法和装置
CN101576947B (zh) 文件防护处理方法、装置及系统
CN107968803B (zh) 针对移动终端的远程取证方法、装置、移动终端和系统
KR101897987B1 (ko) 전자파일의 전자지문 관리방법, 관리장치 및 관리시스템
CN112165458B (zh) 一种实名认证方法、装置及终端
CN1980457A (zh) 一种网络侧实现报警的方法
CN108229180B (zh) 截图数据处理方法、装置和电子设备
CN106101193B (zh) 信息的备份方法、终端设备、运营商服务器、及备份系统
US20140335847A1 (en) Method for establishing secure card history and audit for property hand-over
CN110233828B (zh) 基于区块链的移动办公方法和装置
Murphy Cellular phone evidence data extraction and documentation
CN109150797B (zh) 专网终端的安全认证方法和装置
CN112565311A (zh) 一种针对电信诈骗案件被害人的快速证据取证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant