CN109005180A - 一种微型移动式取证黑匣子系统 - Google Patents

一种微型移动式取证黑匣子系统 Download PDF

Info

Publication number
CN109005180A
CN109005180A CN201810907956.8A CN201810907956A CN109005180A CN 109005180 A CN109005180 A CN 109005180A CN 201810907956 A CN201810907956 A CN 201810907956A CN 109005180 A CN109005180 A CN 109005180A
Authority
CN
China
Prior art keywords
black box
evidence
audio
evidence obtaining
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810907956.8A
Other languages
English (en)
Other versions
CN109005180B (zh
Inventor
许素萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuzhou Anjiazhi Electronic Technology Co Ltd
Original Assignee
Fuzhou Anjiazhi Electronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuzhou Anjiazhi Electronic Technology Co Ltd filed Critical Fuzhou Anjiazhi Electronic Technology Co Ltd
Priority to CN201810907956.8A priority Critical patent/CN109005180B/zh
Publication of CN109005180A publication Critical patent/CN109005180A/zh
Application granted granted Critical
Publication of CN109005180B publication Critical patent/CN109005180B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N5/00Details of television systems
    • H04N5/76Television signal recording
    • H04N5/78Television signal recording using magnetic recording
    • H04N5/781Television signal recording using magnetic recording on disks or drums
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/025Services making use of location information using location based information parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明涉及一种微型移动式取证黑匣子系统,包括移动终端、黑匣子模块、云端服务器;所述黑匣子模块包括音视频采集器、无线网络模块、GPS定位模块、存储模块、微处理器、电源模块;所述音视频采集器用以采集取证现场的音频、视频数据,所述无线网络模块用以连接所述移动终端或云端服务器,所述存储模块用以存储所述音频、视频数据;本发明通过保障取证环境的清洁性以及封闭取证环境并解决取证后防篡改问题,保证证据的原始性、完整性,确保证据的真实性、有效性。

Description

一种微型移动式取证黑匣子系统
技术领域
本发明涉及电子数据取证领域,特别是一种微型移动式取证黑匣子系统。
背景技术
手机越来越普及,传统电脑的很多使用场景也逐渐的被手机替代,如网络购物场景、网页浏览、聊天等等,而且手机还具备很多传统电脑无法完成的工作,如移动录音录像等。
在手机使用频率越来越高的同时,手机取证(利用手机来获取证据)的问题慢慢呈现出来,因电子数据的易篡改性,包括手机取证环境不清洁或取证后数据被篡改等情况,如手机root、数据导入导出篡改、手机文件时间篡改等,均可能导致从手机端获取的电子证据无法被法院采纳;如用户在微信公众号上发现侵权内容,如果使用手机屏幕截图等方式进行取证,图片证据可能不会被法院采纳;目前的解决方法只能是从复制公众号网络地址到电脑上,从电脑上利用取证平台进行取证操作。再如,民间债务纠纷或老人订立遗嘱现场,通过手机本身的录音录像功能获取证据时,也经常会因为电子数据的篡改问题导致的音视频证据无法被法院采纳。
发明内容
有鉴于此,本发明的目的是提出一种微型移动式取证黑匣子系统,通过保障取证环境的清洁性以及解决取证后防篡改问题,保证证据的原始性、完整性,确保证据的真实性、有效性。
本发明采用以下方案实现:一种微型移动式取证黑匣子系统,包括移动终端、黑匣子模块、云端服务器;
所述黑匣子模块包括音视频采集器、无线网络模块、GPS定位模块、存储模块、微处理器、电源模块;所述音视频采集器用以采集取证现场的音频、视频数据,所述无线网络模块用以连接所述移动终端或云端服务器,所述存储模块用以存储所述音频、视频数据;
在取证时首先进行取证环境初始化,然后根据场景使用音视频采集器采集现场的音视频数据或直接采集黑匣子模块的操作行为,实时将取证的相关数据上传至云端,并在取证的过程中对系统文件进行跟踪,形成日志,取证完成后,对证据文件进行防篡改处理。
所述黑匣子模块在整个初始化过程和取证过程中保持与云端服务器心跳连接,若网络异常则切断取证进程。
进一步地,所述进行取证环境初始化具体包括系统清洁性检查、网络启用以及网络环境检测;
所述系统清洁性检查包括:检测黑匣子模块的系统配置是否异常,包括用户权限是否正常、应用程序权限是否变更;扫描系统及文件安全性,包括病毒扫描;云端服务器核验取证环境;比对核心执行文件的指纹信息;黑匣子模块向云端服务器请求时间信息,并同步本地时间;
所述网络启用分别为插卡式与WiFi式,所述插卡式即黑匣子模块利用4G卡的方式连接互联网,并启用热点,供移动终端连接;所述WiFi式即黑匣子模块利用外接WiFi网络连接互联网;
所述网络环境检测包括检测dns服务器及dns解析是否正常,即检测dns服务器地址是否在云端服务器列表中,是否连接真实互联网环境。
进一步地,所述WiFi式的配置过程具体为:首次配置时,黑匣子模块启用自身WiFi热点,移动终端连接黑匣子模块的热点信号,用以给黑匣子模块配置外界WiFi信号,黑匣子模块根据配置信息尝试连接互联网,如果不通,则立刻回切启用自身热点,供用户配置,直到配置成功;之后再次配置时,黑匣子模块直接根据先前已经成功连接互联网的配置信息连接互联网,如果不通,则立即回切启用自身热点,供用户配置。
进一步地,所述音视频采集器包括两种类型,一种为可拆卸式音频采集器,通过音视频采集接口安装在黑匣子模块上,并在安装完成后使得黑匣子模块完整封闭,用于手持式取证使用;另一种为延伸式音视频采集器,该延伸式音视频采集器通过有线或者无线的方式与黑匣子模块上的音视频采集接口相连。
其中,可拆卸式音视频采集器通过有线接口的方式与黑匣子进行通信,如uvc协议,安装上去后与黑匣子外壳平齐,用户可以通过手持黑匣子的方式进行现场的取证。使用延伸式音视频采集器,采集器通过无线或有线的方式与黑匣子连接,黑匣子可以放入背包,采集器便于隐藏,如固定在背带上。用户通过移动终端(手机平板等)连接至黑匣子系统,查看取证情况或调整取证采集器角度。主要应用场景为线下店铺取证(如某奶茶店未经连锁店授权即擅自侵权挂牌)。
采集器可拆卸,拆卸下来后,延伸式的音频采集器可以通过有线的方式与黑匣子连接
较佳的,所述GPS定位模块在取证时,收集取证设备的位置信息,即收集黑匣子模块的位置信息。所述云端服务器一是负责监测黑匣子模块的取证环境,更新取证系统及应用程序,保障取证环境的清洁性,二是实时存储黑匣子模块产生的证据指纹信息,在出证时核验证据指纹信息。
进一步地,所述场景包括现场隐蔽取证环境场景、现场手持式取证场景以及操作行为固化场景;
所述隐蔽取证环境场景的取证过程具体包括以下步骤:
步骤S11:采用延伸式音视频采集器,并将其通过有线或者无线的方式与黑匣子模块上的音视频采集接口相连;
步骤S12:初始化取证环境;
步骤S13:通过移动终端连接至黑匣子模块,根据场景启用现场取证,黑匣子模块检测外接是否为非法设备、检测音视频采集器是否正常、构建安全的存储空间,调用外接的音视频采集器开始现场取证;
步骤S14:用户通过移动终端查看音视频取证情况或者调整音视频采集器的采集角度,亦可选择关键帧进行独立保管;
步骤S15:黑匣子模块实时上传每帧的指纹信息至云端服务器,并检测网络宽带,如果宽带合适,实时上传音视频至云端服务器;取证结束后,上传完整文件指纹信息至云端服务器;
步骤S16:取证结束后,对已经生成的文件及目录进行只读处理,根据用户需要上传至云端存证。
进一步地,现场手持式取证场景的取证过程包括以下步骤:
步骤S21:采用可拆卸式音视频采集器,并将其通过音视频采集接口安装在黑匣子模块上,用户手持黑匣子模块进行现场手持式取证;
步骤S22:初始化取证环境;
步骤S23:通过移动终端连接至黑匣子模块,根据场景启用现场取证,黑匣子模块检测外接是否为非法设备、检测音视频采集器是否正常、构建安全的存储空间,调用外接的音视频采集器开始现场取证;
步骤S24:用户通过移动终端查看音视频取证情况或者调整音视频采集器的采集角度,亦可选择关键帧进行独立保管;
步骤S25:黑匣子模块实时上传每帧的指纹信息至云端服务器,并检测网络宽带,如果宽带合适,实时上传音视频至云端服务器;取证结束后,上传完整文件指纹信息至云端服务器;
步骤S26:取证结束后,对已经生成的文件及目录进行只读处理,根据用户需要上传至云端存证。
进一步地,所述操作行为固化场景的取证过程包括以下步骤:
步骤S31:初始化取证环境;
步骤S32:所述黑匣子模块接受移动终端的远程连接,并在移动终端上显示取证界面,接受移动终端的操作指令,并采集界面信息;
步骤S33:进行实时取证,固化网络行为;
步骤S34:实时上传至少包括证据指纹信息至云端服务器;
步骤S35:取证结束后,对已经生成的文件及目录进行只读处理,根据用户需要上传至云端存证。
进一步地,步骤S33还包括:收集目标网络的域名、ip地址、路由过程以及地址解析过程。
进一步地,所述黑匣子模块中的微处理器中的系统中设置有一个配置文件,用以与云端服务器进行比对,当本地的配置文件与云端服务器中的不一致时,说明需要进行升级或者更新,黑匣子模块向云端服务器请求更新内容,更新完毕后同时更新配置文件,用于下一次比对。
较佳的,所处存储模块中构建有安全存储空间:在存储芯片中划分一部分空间,仅供取证系统创建增量文件,已经存在的文件无法修改,且该空间终端用户无法访问;待取证结束后,仅将新生成的取证文件向终端用户账号只读共享。
进一步地,所述对系统文件进行跟踪具体为:建立能够动态监视系统文件的事件,包括监控文件和文件夹,或监控整个目录树;事件包括打开、关闭、移动、重命名、删除、创建或者改变属性,通过返回的文件描述符合被监视的目标的路径名以及事件掩码,并按时间顺序形成日志文件;所述目录树包括目录、子目录、以及子目录的子目录;所述路径名即文件名或目录名;所述事件掩码包括文件的动作。
较佳的,所述黑匣子模块是一个无操作界面的封闭式微型装置黑匣子,除了音视频采集器根据场景可拆卸使用外,无其他外设接口,所有数据通信基于网络进行。内部包括采集器接口、无线网络模块、存储模块、GPS模块、微型电路板、电池等。唯一外设接口仅可外接可拆卸的延伸式音视频采集器、可拆卸式音视频采集器。
较佳的,移动终端与黑匣子模块通过无线连接,其操作权限被限定,无法进行行改变黑匣子系统的环境参数和删减文件等操作。黑匣子模块的操作系统基于安卓系统进行安全定制,去掉不必要的服务和接口。通过结合云端检测来保证黑匣子的安全性和清洁性。同时黑匣子模块的外设接口只允许接入绑定的采集器,保证黑匣子模块的安全性,黑匣子外设接口通过绑定采集器设备标志,保证只允许指定设备的接入使用,避免不受信任的采集设备接入。
特别的,在进行取证前,根据需要,可以计算核心系统文件的指纹文件上传于可信云端请求校验,保障系统安全性。
特别的,在进行现场取证时,获取采集器内容为证据文件;终端用户在进行网络行为固定时,获取黑匣子模块向移动终端显示的屏幕信息为证据文件,并且证据文件关联附加件,用于记录对应时间提取固化的目标网络对象地址信息,有域名解析的保留解析过程信息。证据文件采用数据流的形式进行存储,每帧附带帧指纹信息(校验信息如md5)和指纹上传是否成功标记,证据文件只有本取证系统能打开,通过云端控制访问权限,证据文件为加密文件,访问时需要向云端申请权限。
特别的,默认情况下黑匣子上已经安装好常用的应用软件,如聊天软件或购物软件。用户也可以根据实际需要安装应用程序,为防止某些会破坏系统安全性的应用允许,如“一键root”等,云端服务器建立有应用程序的黑白名单,黑匣子模块允许安装白名单中的应用,拒绝黑名单中的应用,如需要安装的程序未在黑白名单中,用户可以向云端服务器发起申请,待审核通过后加入白名单即可安装。在安装时,应用软件会申请允许权限,云端设置有相应的权限策略文件,黑匣子模块根据策略文件给应用程序分配权限。如用户不允许root,使用者权限最小化;禁用开发者模式或隐秘条件开启;默认应用仅通话、短信、录音、拍照、录像、屏幕录像、文件目录管理(相当于证据管理,用户仅查阅权限)、限定应用商店、浏览器、取证App,仅允许通过限定的应用商店安卓app(目的是可追溯app权属、也可避免恶意App安装);开机或初始化时运行手机安全软件,扫描病毒、木马等进行清洁性检查,并生成清洁检测报告,跟踪系统运行,并生成日志报告(如通话日志、app安装或运行日志等);取证触发时(拍照、录像、屏幕录像或通话或打开取证App)立即同步本地时间;通话立即启用录音,且结束立即上传录音文件指纹(md5等)和属性信息(时间等)至云端;录音、拍照或录像后立即上传照片或音频文件MD5和属性信息(时间等)至云端;支持一键初始化。
其中,所述移动终端可以为手机或者ipad。
特别的,用户在必要的时候可以向云端申请出证,云端判断取证过程中是否有异常情况,若无异常,则出具证明性文件;所述判断取证过程是否有异常情况包括环境初始化、文件跟踪日志、取证过程中实时上传指纹信息与申请出证时重新计算的指纹信息是否一致。
其中,本发明中的所有指纹信息均指的是数据文件的md5或哈希等信息。
与现有技术相比,本发明有以下有益效果:
采用本发明的技术方案,手机用户通过远程连接黑匣子模块进行取证操作,所有的取证数据发起或数据生成均通过黑匣子模块,并至少把证据文件的指纹信息实时同步上传至可信云端服务器。黑匣子服务器通过保障取证环境的清洁性以及封闭取证环境并解决取证后防篡改问题,保证证据的原始性、完整性,确保证据的真实性、有效性。
附图说明
图1为本发明实施例的系统原理示意图。
图2为本发明实施例的不同场景取证过程示意图。
图3为本发明实施例的网络启用示意图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
如图1所示,本实施例提供了一种微型移动式取证黑匣子系统,包括移动终端、黑匣子模块、云端服务器;
所述黑匣子模块包括音视频采集器、无线网络模块、GPS定位模块、存储模块、微处理器、电源模块;所述音视频采集器用以采集取证现场的音频、视频数据,所述无线网络模块用以连接所述移动终端或云端服务器,所述存储模块用以存储所述音频、视频数据;
在取证时首先进行取证环境初始化,然后根据场景使用音视频采集器采集现场的音视频数据或直接采集黑匣子模块的操作行为,实时将取证的相关数据上传至云端,并在取证的过程中对系统文件进行跟踪,形成日志,取证完成后,对证据文件进行防篡改处理。
所述黑匣子模块在整个初始化过程和取证过程中保持与云端服务器心跳连接,若网络异常则切断取证进程。
在本实施例中,所述进行取证环境初始化具体包括系统清洁性检查、网络启用以及网络环境检测;
所述系统清洁性检查为:检测黑匣子模块的系统配置是否异常,包括用户权限是否正常、应用程序权限是否变更;扫描系统及文件安全性,包括病毒扫描;云端服务器核验取证环境;比对核心执行文件的指纹信息;黑匣子模块向云端服务器请求时间信息,并同步本地时间;
所述网络启用分别为插卡式与WiFi式,所述插卡式即黑匣子模块利用4G卡的方式连接互联网,并启用热点,供移动终端连接;所述WiFi式即黑匣子模块利用外接WiFi网络连接互联网;
所述网络环境检测包括检测dns服务器及dns解析是否正常,即检测dns服务器地址是否在云端服务器列表中,是否连接真实互联网环境。
如图3所示,在本实施例中,所述WiFi式的配置过程具体为:首次配置时,黑匣子模块启用自身WiFi热点,移动终端连接黑匣子模块的热点信号,用以给黑匣子模块配置外界WiFi信号,黑匣子模块根据配置信息尝试连接互联网,如果不通,则立刻回切启用自身热点,供用户配置,直到配置成功;之后再次配置时,黑匣子模块直接根据先前已经成功连接互联网的的配置信息连接互联网,如果不通,则立即回切启用自身热点,供用户配置。
在本实施例中,所述音视频采集器包括两种类型,一种为可拆卸式音频采集器,通过音视频采集接口安装在黑匣子模块上,并在安装完成后使得黑匣子模块完整封闭,用于手持式取证使用;另一种为延伸式音视频采集器,该延伸式音视频采集器通过有线或者无线的方式与黑匣子模块上的音视频采集接口相连。
其中,可拆卸式音视频采集器通过有线接口的方式与黑匣子进行通信,如uvc协议,安装上去后与黑匣子外壳平齐,用户可以通过手持黑匣子的方式进行现场的取证。使用延伸式音视频采集器,采集器通过无线或有线的方式与黑匣子连接,黑匣子可以放入背包,采集器便于隐藏,如固定在背带上。用户通过移动终端(手机平板等)连接至黑匣子系统,查看取证情况或调整取证采集器角度。主要应用场景为线下店铺取证(如某奶茶店未经连锁店授权即擅自侵权挂牌)。
采集器可拆卸,拆卸下来后,延伸式的音频采集器可以通过有线的方式与黑匣子连接
较佳的,所述GPS定位模块在取证时,收集取证设备的位置信息,即收集黑匣子模块的位置信息。所述云端服务器一是负责监测黑匣子模块的取证环境,更新取证系统及应用程序,保障取证环境的清洁性,二是实时存储黑匣子模块产生的证据指纹信息,在出证时核验证据指纹信息。
在本实施例中,如图2所示,所述场景包括现场隐蔽取证环境场景、现场手持式取证场景以及操作行为固化场景;
所述隐蔽取证环境场景的取证过程具体包括以下步骤:
步骤S11:采用延伸式音视频采集器,并将其通过有线或者无线的方式与黑匣子模块上的音视频采集接口相连;
步骤S12:初始化取证环境;
步骤S13:通过移动终端连接至黑匣子模块,根据场景启用现场取证,黑匣子模块检测外接是否为非法设备、检测音视频采集器是否正常、构建安全的存储空间,调用外接的音视频采集器开始现场取证;
步骤S14:用户通过移动终端查看音视频取证情况或者调整音视频采集器的采集角度,亦可选择关键帧进行独立保管;
步骤S15:黑匣子模块实时上传每帧的指纹信息至云端服务器,并检测网络宽带,如果宽带合适,实时上传音视频至云端服务器;取证结束后,上传完整文件指纹信息至云端服务器;
步骤S16:取证结束后,对已经生成的文件及目录进行只读处理,根据用户需要上传至云端存证。
在本实施例中,现场手持式取证场景的取证过程包括以下步骤:
步骤S21:采用可拆卸式音视频采集器,并将其通过音视频采集接口安装在黑匣子模块上,用户手持黑匣子模块进行现场手持式取证;
步骤S22:初始化取证环境;
步骤S23:通过移动终端连接至黑匣子模块,根据场景启用现场取证,启动黑匣子模块,黑匣子模块检测外接是否为非法设备、检测音视频采集器是否正常、构建安全的存储空间,调用外接的音视频采集器开始现场取证;
步骤S24:用户通过移动终端查看音视频取证情况或者调整音视频采集器的采集角度;
步骤S25:黑匣子模块实时上传每帧的指纹信息至云端服务器,并检测网络宽带,如果宽带合适,实时上传音视频至云端服务器;取证结束后,上传完整文件指纹信息至云端服务器;
步骤S26:取证结束后,对已经生成的文件及目录进行只读处理,根据用户需要上传至云端存证。
在本实施例中,所述操作行为固化场景的取证过程包括以下步骤:
步骤S31:初始化取证环境;
步骤S32:所述黑匣子模块接受移动终端的远程连接,并在移动终端上显示取证界面,接受移动终端的操作指令,并采集界面信息;
步骤S33:进行实时取证,固化网络行为;
步骤S34:实时上传至少包括证据指纹信息至云端服务器;
步骤S35:取证结束后,对已经生成的文件及目录进行只读处理,根据用户需要上传至云端存证。
在本实施例中,步骤S33还包括:收集目标网络的域名、ip地址、路由过程以及地址解析过程。
在本实施例中,还可以进行通话录音取证:检测系统通话,对通话进行实时录制,并计算MD5信息、收集通话的起止时间和通话对象信息,保证通话过程中4G网络依然可用,实时上传到云端,如果通话过程中无网络,先计算MD5信息、收集通话的起止时间和通话对象信息,加密保存在本地,第一时间强制联网上传MD5信息,弹窗告知用户一下。用户可以自行选择在WiFi环境或4G环境下上传通话录音文件。
在本实施例中,所述黑匣子模块中的微处理器中的系统中设置有一个配置文件,用以与云端服务器进行比对,当本地的配置文件与云端服务器中的不一致时,说明需要进行升级或者更新,黑匣子模块向云端服务器请求更新内容,更新完毕后同时更新配置文件,用于下一次比对。
较佳的,在本实施例中,所处存储模块中构建有安全存储空间:在存储芯片中划分一部分空间,仅供取证系统创建增量文件,已经存在的文件无法修改,且该空间终端用户无法访问;待取证结束后,仅将新生成的取证文件向终端用户账号只读共享。
在本实施例中,所述对系统文件进行跟踪具体为:建立能够动态监视系统文件的事件,包括监控文件和文件夹,或监控整个目录树;事件包括打开、关闭、移动、重命名、删除、创建或者改变属性,通过返回的文件描述符合被监视的目标的路径名以及事件掩码,并按时间顺序形成日志文件;所述目录树包括目录、子目录、以及子目录的子目录;所述路径名即文件名或目录名;所述事件掩码包括文件的动作。
较佳的,在本实施例中,所述黑匣子模块是一个无操作界面的封闭式微型装置黑匣子,除了音视频采集器根据场景可拆卸使用外,无其他外设接口,所有数据通信基于网络进行。内部包括采集器接口、无线网络模块、存储模块、GPS模块、微型电路板、电池等。唯一外设接口仅可外接可拆卸的延伸式音视频采集器、可拆卸式音视频采集器。
较佳的,在本实施例中,移动终端与黑匣子模块通过无线连接,其操作权限被限定,无法进行行改变黑匣子系统的环境参数和删减文件等操作。黑匣子模块的操作系统基于安卓系统进行安全定制,去掉不必要的服务和接口。通过结合云端检测来保证黑匣子的安全性和清洁性。同时黑匣子模块的外设接口只允许接入绑定的采集器,保证黑匣子模块的安全性,黑匣子外设接口通过绑定采集器设备标志,保证只允许指定设备的接入使用,避免不受信任的采集设备接入。
特别的,在本实施例中,在进行取证前,根据需要,可以计算核心系统文件的指纹文件上传于可信云端请求校验,保障系统安全性。
特别的,在本实施例中,在进行现场取证时,获取采集器内容为证据文件;终端用户在进行网络行为固定时,获取黑匣子模块向移动终端显示的屏幕信息为证据文件,并且证据文件关联附加件,用于记录对应时间提取固化的目标网络对象地址信息,有域名解析的保留解析过程信息。证据文件采用数据流的形式进行存储,每帧附带帧指纹信息(校验信息如md5)和指纹上传是否成功标记,证据文件只有本取证系统能打开,通过云端控制访问权限,证据文件为加密文件,访问时需要向云端申请权限。
特别的,在本实施例中,默认情况下黑匣子上已经安装好常用的应用软件,如聊天软件或购物软件。用户也可以根据实际需要安装应用程序,为防止某些会破坏系统安全性的应用允许,如“一键root”等,云端服务器建立有应用程序的黑白名单,黑匣子模块允许安装白名单中的应用,拒绝黑名单中的应用,如需要安装的程序未在黑白名单中,用户可以向云端服务器发起申请,待审核通过后加入白名单即可安装。在安装时,应用软件会申请允许权限,云端设置有相应的权限策略文件,黑匣子模块根据策略文件给应用程序分配权限。如用户不允许root,使用者权限最小化;禁用开发者模式或隐秘条件开启;默认应用仅通话、短信、录音、拍照、录像、屏幕录像、文件目录管理(相当于证据管理,用户仅查阅权限)、限定应用商店、浏览器、取证App,仅允许通过限定的应用商店安卓app(目的是可追溯app权属、也可避免恶意App安装);开机或初始化时运行手机安全软件,扫描病毒、木马等进行清洁性检查,并生成清洁检测报告,跟踪系统运行,并生成日志报告(如通话日志、app安装或运行日志等);取证触发时(拍照、录像、屏幕录像或通话或打开取证App)立即同步本地时间;通话立即启用录音,且结束立即上传录音文件指纹(md5等)和属性信息(时间等)至云端;录音、拍照或录像后立即上传照片或音频文件MD5和属性信息(时间等)至云端;支持一键初始化。
其中,所述移动终端可以为手机或者ipad。
特别的,在本实施例中,用户在必要的时候可以向云端申请出证,云端判断取证过程中是否有异常情况,若无异常,则出具证明性文件;所述判断取证过程是否有异常情况包括环境初始化、文件跟踪日志、取证过程中实时上传指纹信息与申请出证时重新计算的指纹信息是否一致。
其中,本发明中的所有指纹信息均指的是数据文件的md5或哈希等信息。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。

Claims (10)

1.一种微型移动式取证黑匣子系统,其特征在于:包括移动终端、黑匣子模块、云端服务器;
所述黑匣子模块包括音视频采集器、无线网络模块、GPS定位模块、存储模块、微处理器、电源模块;
所述音视频采集器用以采集取证现场的音频、视频数据,
所述无线网络模块用以连接所述移动终端或云端服务器,
所述存储模块用以存储所述音频、视频数据;
在取证时,首先进行取证环境初始化,然后根据场景使用音视频采集器采集现场的音视频数据或直接采集黑匣子模块的操作行为,实时将取证的相关数据上传至云端,并在取证的过程中对系统文件进行跟踪,形成日志,取证完成后,对证据文件进行防篡改处理。
2.根据权利要求1所述的一种微型移动式取证黑匣子系统,其特征在于:所述进行取证环境初始化具体包括系统清洁性检查、网络启用以及网络环境检测;
所述系统清洁性检查包括:检测黑匣子模块的系统配置是否异常,包括用户权限是否正常、应用程序权限是否变更;扫描系统及文件安全性,包括病毒扫描;云端服务器核验取证环境;比对核心执行文件的指纹信息;黑匣子模块向云端服务器请求时间信息,并同步本地时间;
所述网络启用分别为插卡式与WiFi式,所述插卡式即黑匣子模块利用4G卡的方式连接互联网,并启用热点,供移动终端连接;所述WiFi式即黑匣子模块利用外接WiFi网络连接互联网;
所述网络环境检测包括检测dns服务器及dns解析是否正常,即检测dns服务器地址是否在云端服务器列表中,是否连接真实互联网环境。
3.根据权利要求2所述的一种微型移动式取证黑匣子系统,其特征在于:所述WiFi式的配置过程具体为:首次配置时,黑匣子模块启用自身WiFi热点,移动终端连接黑匣子模块的热点信号,用以给黑匣子模块配置外界WiFi信号,黑匣子模块根据配置信息尝试连接互联网,如果不通,则立刻回切启用自身热点,供用户配置,直到配置成功;之后再次配置时,黑匣子模块直接根据先前已经成功连接互联网的配置信息连接互联网,如果不通,则立即回切启用自身热点,供用户配置。
4.根据权利要求1所述的一种微型移动式取证黑匣子系统,其特征在于:所述音视频采集器包括两种类型,一种为可拆卸式音频采集器,通过音视频采集接口安装在黑匣子模块上,并在安装完成后使得黑匣子模块完整封闭,用于手持式取证使用;另一种为延伸式音视频采集器,该延伸式音视频采集器通过有线或者无线的方式与黑匣子模块上的音视频采集接口相连。
5.根据权利要求4所述的一种微型移动式取证黑匣子系统,其特征在于:所述场景包括现场隐蔽取证环境场景、现场手持式取证场景以及操作行为固化场景;
其中,所述操作行为固化场景的取证过程包括以下步骤:
步骤S31:初始化取证环境;
步骤S32:所述黑匣子模块接受移动终端的远程连接,并在移动终端上显示取证界面,接受移动终端的操作指令,并采集界面信息;
步骤S33:进行实时取证,固化网络行为;
步骤S34:实时上传至少包括证据指纹信息至云端服务器;
步骤S35:取证结束后,对已经生成的文件及目录进行只读处理,根据用户需要上传至云端存证。
6.根据权利要求5所述的一种微型移动式取证黑匣子系统,其特征在于:
其中所述隐蔽取证环境场景的取证过程具体包括以下步骤:
步骤S11:采用延伸式音视频采集器,并将其通过有线或者无线的方式与黑匣子模块上的音视频采集接口相连;
步骤S12:初始化取证环境;
步骤S13:通过移动终端连接至黑匣子模块,根据场景启用现场取证,黑匣子模块检测外接是否为非法设备、检测音视频采集器是否正常、构建安全的存储空间,调用外接的音视频采集器开始现场取证;
步骤S14:用户通过移动终端查看音视频取证情况或者调整音视频采集器的采集角度;
步骤S15:黑匣子模块实时上传每帧的指纹信息至云端服务器,并检测网络宽带,如果宽带合适,实时上传音视频至云端服务器;取证结束后,上传完整文件指纹信息至云端服务器;
步骤S16:取证结束后,对已经生成的文件及目录进行只读处理,根据用户需要上传至云端存证;
其中,所述现场手持式取证场景的取证过程包括以下步骤:
步骤S21:采用可拆卸式音视频采集器,并将其通过音视频采集接口安装在黑匣子模块上,用户手持黑匣子模块进行现场手持式取证;
步骤S22:初始化取证环境;
步骤S23:通过移动终端连接至黑匣子模块,根据场景启用现场取证,黑匣子模块检测外接是否为非法设备、检测音视频采集器是否正常、构建安全的存储空间,调用外接的音视频采集器开始现场取证;
步骤S24:用户通过移动终端查看音视频取证情况或者调整音视频采集器的采集角度;
步骤S25:黑匣子模块实时上传每帧的指纹信息至云端服务器,并检测网络宽带,如果宽带合适,实时上传音视频至云端服务器;取证结束后,上传完整文件指纹信息至云端服务器;
步骤S26:取证结束后,对已经生成的文件及目录进行只读处理,根据用户需要上传至云端存证。
7.根据权利要求5所述的一种微型移动式取证黑匣子系统,其特征在于:步骤S33还包括:收集目标网络的域名、ip地址、路由过程以及地址解析过程。
8.根据权利要求1所述的一种微型移动式取证黑匣子系统,其特征在于:所述黑匣子模块中的微处理器中的系统中设置有一个配置文件,用以与云端服务器进行比对,当本地的配置文件与云端服务器中的不一致时,说明需要进行升级或者更新,黑匣子模块向云端服务器请求更新内容,更新完毕后同时更新配置文件,用于下一次比对。
9.根据权利要求1所述的一种微型移动式取证黑匣子系统,其特征在于:所述对系统文件进行跟踪具体为:建立能够动态监视系统文件的事件,包括监控文件和文件夹,或监控整个目录树;事件包括打开、关闭、移动、重命名、删除、创建或者改变属性,通过返回的文件描述符合被监视的目标的路径名以及事件掩码,并按时间顺序形成日志文件;所述目录树包括目录、子目录、以及子目录的子目录;所述路径名即文件名或目录名;所述事件掩码包括文件的动作。
10.根据权利要求1所述的一种微型移动式取证黑匣子系统,其特征在于:用户在必要的时候可以向云端申请出证,云端判断取证过程中是否有异常情况,若无异常,则出具证明性文件;所述判断取证过程是否有异常情况包括环境初始化、文件跟踪日志、取证过程中实时上传指纹信息与申请出证时重新计算的指纹信息是否一致。
CN201810907956.8A 2018-08-10 2018-08-10 一种微型移动式取证黑匣子系统 Active CN109005180B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810907956.8A CN109005180B (zh) 2018-08-10 2018-08-10 一种微型移动式取证黑匣子系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810907956.8A CN109005180B (zh) 2018-08-10 2018-08-10 一种微型移动式取证黑匣子系统

Publications (2)

Publication Number Publication Date
CN109005180A true CN109005180A (zh) 2018-12-14
CN109005180B CN109005180B (zh) 2021-03-09

Family

ID=64594683

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810907956.8A Active CN109005180B (zh) 2018-08-10 2018-08-10 一种微型移动式取证黑匣子系统

Country Status (1)

Country Link
CN (1) CN109005180B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109819101A (zh) * 2018-12-18 2019-05-28 法信公证云(厦门)科技有限公司 一种取证方法和取证专用移动终端
CN111343190A (zh) * 2020-03-05 2020-06-26 贵州宝智达网络科技有限公司 一种远程无线数据防篡改采集设备与系统
CN111787024A (zh) * 2020-07-20 2020-10-16 浙江军盾信息科技有限公司 网络攻击证据的搜集方法、电子装置及存储介质
CN112287367A (zh) * 2020-10-29 2021-01-29 合肥工业大学智能制造技术研究院 一种基于可信计算的汽车t-box取证的系统
CN112769937A (zh) * 2021-01-12 2021-05-07 济源职业技术学院 一种医疗固废物监管系统
CN113709408A (zh) * 2020-05-20 2021-11-26 杭州海康威视数字技术股份有限公司 一种数据获取方法、装置及视频处理设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110153748A1 (en) * 2009-12-18 2011-06-23 Electronics And Telecommunications Research Institute Remote forensics system based on network
CN202956811U (zh) * 2012-12-03 2013-05-29 苏州经贸职业技术学院 基于无线传感网络数据的安全取证黑匣子
CN104079891A (zh) * 2014-07-14 2014-10-01 秦晓飞 一种基于无线网络和云平台的执法记录仪及其数据传输方法
CN105046168A (zh) * 2015-01-21 2015-11-11 上海人科数据科技有限公司 一种网络电子证据处理系统及处理方法
CN106960164A (zh) * 2017-03-10 2017-07-18 茂名市公安局 一种现场固定电子证据的方法及系统
CN107682734A (zh) * 2017-10-20 2018-02-09 国信嘉宁数据技术有限公司 一种电子证据的取证方法及相关装置和可读存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110153748A1 (en) * 2009-12-18 2011-06-23 Electronics And Telecommunications Research Institute Remote forensics system based on network
CN202956811U (zh) * 2012-12-03 2013-05-29 苏州经贸职业技术学院 基于无线传感网络数据的安全取证黑匣子
CN104079891A (zh) * 2014-07-14 2014-10-01 秦晓飞 一种基于无线网络和云平台的执法记录仪及其数据传输方法
CN105046168A (zh) * 2015-01-21 2015-11-11 上海人科数据科技有限公司 一种网络电子证据处理系统及处理方法
CN106960164A (zh) * 2017-03-10 2017-07-18 茂名市公安局 一种现场固定电子证据的方法及系统
CN107682734A (zh) * 2017-10-20 2018-02-09 国信嘉宁数据技术有限公司 一种电子证据的取证方法及相关装置和可读存储介质

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109819101A (zh) * 2018-12-18 2019-05-28 法信公证云(厦门)科技有限公司 一种取证方法和取证专用移动终端
CN111343190A (zh) * 2020-03-05 2020-06-26 贵州宝智达网络科技有限公司 一种远程无线数据防篡改采集设备与系统
CN113709408A (zh) * 2020-05-20 2021-11-26 杭州海康威视数字技术股份有限公司 一种数据获取方法、装置及视频处理设备
CN111787024A (zh) * 2020-07-20 2020-10-16 浙江军盾信息科技有限公司 网络攻击证据的搜集方法、电子装置及存储介质
CN112287367A (zh) * 2020-10-29 2021-01-29 合肥工业大学智能制造技术研究院 一种基于可信计算的汽车t-box取证的系统
CN112287367B (zh) * 2020-10-29 2022-05-10 合肥工业大学智能制造技术研究院 一种基于可信计算的汽车t-box取证的系统
CN112769937A (zh) * 2021-01-12 2021-05-07 济源职业技术学院 一种医疗固废物监管系统
CN112769937B (zh) * 2021-01-12 2021-09-03 济源职业技术学院 一种医疗固废物监管系统

Also Published As

Publication number Publication date
CN109005180B (zh) 2021-03-09

Similar Documents

Publication Publication Date Title
CN109005180A (zh) 一种微型移动式取证黑匣子系统
KR101514864B1 (ko) 요소들의 시퀀스를 규정하는 기준에 기초한 스트리밍 캡쳐된 콘텐츠의 디지털 저작권 관리
CN101635730B (zh) 中小企业内网信息安全托管方法与系统
KR101621128B1 (ko) 보안 관점의 분산 시스템 간의 데이터 전송 제어
US20120201418A1 (en) Digital rights management of captured content based on capture associated locations
US20090216769A1 (en) Digital Rights Management of Captured Content Based on Criteria Regulating a Combination of Elements
US20060184454A1 (en) System and method for copy monitoring and automated invoicing
CN107809433A (zh) 资产管理方法及装置
CN109819101A (zh) 一种取证方法和取证专用移动终端
US9280773B1 (en) System and method for managing first party rights to content captured by third parties
CN111291422B (zh) 一种基于区块链技术的可信影像平台
WO2014101112A1 (zh) 一种网站识别方法、装置及网络系统
CN106611313A (zh) 一种支付方法、终端及支付服务器
TWI594133B (zh) 檔處理系統及方法
US20200278948A1 (en) Method, apparatus and system for managing electronic fingerprint of electronic file
CN113542191A (zh) 基于区块链的数据访问、验证的方法以及装置
CN103841120A (zh) 基于数字水印的数据安全管理方法、移动终端和系统
CN112784285A (zh) 取证系统
CN114596643A (zh) 停车管理方法、装置和存储介质
US9224145B1 (en) Venue based digital rights using capture device with digital watermarking capability
CN112995717A (zh) 视频传输控制方法、装置、电子设备与智能眼镜
CN110532753A (zh) 列车运行监控记录装置业务数据流的安全防护方法及设备
WO2024161895A1 (ja) 真正性検証システム、コンテンツ管理装置、コンテンツ生成装置、これらの制御方法およびこれらのプログラム
US12069068B2 (en) Method and device for detecting compromise of a target by a side attack
KR101066977B1 (ko) 다운로드 기반의 수신제한 시스템에서 카스 이미지의 복제여부 판단 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant