CN111061593B - 一种电子取证系统及方法 - Google Patents

一种电子取证系统及方法 Download PDF

Info

Publication number
CN111061593B
CN111061593B CN201811211938.2A CN201811211938A CN111061593B CN 111061593 B CN111061593 B CN 111061593B CN 201811211938 A CN201811211938 A CN 201811211938A CN 111061593 B CN111061593 B CN 111061593B
Authority
CN
China
Prior art keywords
evidence obtaining
hard disk
backup
evidence
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811211938.2A
Other languages
English (en)
Other versions
CN111061593A (zh
Inventor
许春晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Yueyu Information Technology Co ltd
Original Assignee
Shanghai Yueyu Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Yueyu Information Technology Co ltd filed Critical Shanghai Yueyu Information Technology Co ltd
Priority to CN201811211938.2A priority Critical patent/CN111061593B/zh
Publication of CN111061593A publication Critical patent/CN111061593A/zh
Application granted granted Critical
Publication of CN111061593B publication Critical patent/CN111061593B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1456Hardware arrangements for backup
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • G06F11/1469Backup restoration techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及一种电子取证系统,包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库。本发明还公开了一种电子取证方法,包括克隆取证系统、分析取证系统、数据采集、数据分析等过程。本发明采用硬盘备份以及安全的取证环境进行数据采集、分析,具有安全、可靠的特点。

Description

一种电子取证系统及方法
技术领域
本发明涉及一种电子取证系统及方法,特别涉及一种改进的电子取证系统及方法,属于电子取证领域。
背景技术
电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程,具体是指运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻、提取罪犯证据。现阶段犯罪手段的数字化日益显现,搜集有效的电子证据成为破案的关键。现有电子取证方法在取证环境和取证的可靠性方面均存在问题。
发明内容
本发明电子取证系统及方法公开了新的方案,采用硬盘备份以及安全的取证环境进行数据采集、分析,解决了现有方案存在的取证环境以及取证可靠性方面的问题。
本发明电子取证系统包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘,硬盘备份端口用于传输复制取证硬盘数据,备份硬盘用于存储取证硬盘数据。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库,取证操作系统用于启动备份硬盘,备份硬盘分析模块用于分析备份硬盘上系统信息,备份硬盘驱动数据库用于存储、管理备份硬盘的设备驱动信息,取证插件数据库用于存储、管理取证插件信息,证据提取模块用于提取证据信息,取证报告数据库用于存储、管理取证报告。
本发明还公开了一种电子取证方法,电子取证方法基于电子取证系统,电子取证系统包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库。方法包括过程:系统通过硬盘备份端口将取证硬盘的数据拷贝至备份硬盘,取证操作系统启动备份硬盘,备份硬盘分析模块分析备份硬盘系统得到备份硬盘系统信息,取证操作系统根据备份硬盘系统信息从备份硬盘驱动数据库调取对应的设备驱动后加载,取证操作系统根据备份硬盘系统信息从取证插件数据库调取对应的取证插件后执行得到分析结果,证据提取模块根据分析结果对备份硬盘系统中的相关文件、数据进行标记、提取得到证据信息后形成取证报告存入取证报告数据库。
进一步,本方案方法的取证模块还包括数据恢复模块、恢复信息数据库,数据恢复模块恢复备份硬盘上遭到破坏、删除的数据存入恢复信息数据库,证据提取模块从恢复信息数据库中提取证据信息写入取证报告。
进一步,本方案方法的取证模块还包括密码破解模块、解密信息数据库,密码破解模块解除备份硬盘上的加密文件、压缩包、数据后将解密数据存入解密信息数据库,证据提取模块从解密信息数据库中提取证据信息写入取证报告。
进一步,本方案方法的取证模块还包括数字签名模块,数字签名模块对取证报告进行数字签名。
本发明电子取证系统及方法采用硬盘备份以及安全的取证环境进行数据采集、分析,具有安全、可靠的特点。
附图说明
图1是电子取证系统的原理图。
具体实施方式
如图1所示,本发明电子取证系统包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘,硬盘备份端口用于传输复制取证硬盘数据,备份硬盘用于存储取证硬盘数据。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库,取证操作系统用于启动备份硬盘,备份硬盘分析模块用于分析备份硬盘上系统信息,备份硬盘驱动数据库用于存储、管理备份硬盘的设备驱动信息,取证插件数据库用于存储、管理取证插件信息,证据提取模块用于提取证据信息,取证报告数据库用于存储、管理取证报告。上述方案采用硬盘备份以及安全的取证环境进行数据采集、分析,利用安全的取证操作系统启动取证硬盘系统,提高了数据取证的安全性、可靠性。
本发明还公开了一种电子取证方法,电子取证方法基于电子取证系统,电子取证系统包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库。方法包括过程:系统通过硬盘备份端口将取证硬盘的数据拷贝至备份硬盘,取证操作系统启动备份硬盘,备份硬盘分析模块分析备份硬盘系统得到备份硬盘系统信息,取证操作系统根据备份硬盘系统信息从备份硬盘驱动数据库调取对应的设备驱动后加载,取证操作系统根据备份硬盘系统信息从取证插件数据库调取对应的取证插件后执行得到分析结果,证据提取模块根据分析结果对备份硬盘系统中的相关文件、数据进行标记、提取得到证据信息后形成取证报告存入取证报告数据库。上述方案采用硬盘备份以及安全的取证环境进行数据采集、分析,利用安全的取证操作系统启动取证硬盘系统,在安全的取证操作系统中加载各种驱动,并且根据系统分析结果选择取证插件进行取证分析,提高了取证过程以及数据的安全性和可靠性。
为了挽救因删除、更新等操作而丢失的有效数据,还原原始证据数据,本方案方法的取证模块还包括数据恢复模块、恢复信息数据库,数据恢复模块恢复备份硬盘上遭到破坏、删除的数据存入恢复信息数据库,证据提取模块从恢复信息数据库中提取证据信息写入取证报告。恢复的数据中可能存在重要的证据信息,对取证工作具有决定性意义。
为了破除取证系统内文件、数据的加密保护,采集更加有效的证据数据,本方案方法的取证模块还包括密码破解模块、解密信息数据库,密码破解模块解除备份硬盘上的加密文件、压缩包、数据后将解密数据存入解密信息数据库,证据提取模块从解密信息数据库中提取证据信息写入取证报告。解密的内容可能涉及某些重要的证据信息,也可能给取证工作带来颠覆性的突破。
为了避免取证数据遭到篡改,提高可靠性,本方案方法的取证模块还包括数字签名模块,数字签名模块对取证报告进行数字签名。
本方案公开的系统、装置、模块等除有特别说明外,均可以采用本领域公知的通用、惯用的方案实现,涉及到算法的可以采用公知的通用、惯用算法,也可以根据具体情况进行适当修改。
本方案电子取证系统及方法并不限于具体实施方式中公开的内容,实施例中出现的技术方案可以基于本领域技术人员的理解而延伸,本领域技术人员根据本方案结合公知常识作出的简单替换方案也属于本方案的范围。

Claims (5)

1.一种电子取证系统,其特征是包括硬盘备份装置、取证装置,所述取证装置与所述硬盘备份装置通过数据线连接,所述硬盘备份装置包括硬盘备份端口、备份硬盘,所述硬盘备份端口用于传输复制取证硬盘数据,所述备份硬盘用于存储取证硬盘数据,所述取证装置包括取证操作系统、取证模块,所述取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库,所述取证操作系统用于启动备份硬盘,所述备份硬盘分析模块用于分析备份硬盘上系统信息,所述备份硬盘驱动数据库用于存储、管理备份硬盘的设备驱动信息,所述取证插件数据库用于存储、管理取证插件信息,所述证据提取模块用于提取证据信息,所述取证报告数据库用于存储、管理取证报告。
2.一种电子取证方法,所述电子取证方法基于电子取证系统,所述电子取证系统包括硬盘备份装置、取证装置,所述取证装置与所述硬盘备份装置通过数据线连接,所述硬盘备份装置包括硬盘备份端口、备份硬盘,所述取证装置包括取证操作系统、取证模块,所述取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库,所述备份硬盘驱动数据库用于存储、管理备份硬盘的设备驱动信息,其特征是包括过程:
系统通过硬盘备份端口将取证硬盘的数据拷贝至备份硬盘,取证操作系统启动备份硬盘,备份硬盘分析模块分析备份硬盘系统得到备份硬盘系统信息,取证操作系统根据备份硬盘系统信息从备份硬盘驱动数据库调取对应的设备驱动后进行加载,取证操作系统根据备份硬盘系统信息从取证插件数据库调取对应的取证插件后执行得到分析结果,证据提取模块根据分析结果对备份硬盘系统中的相关文件、数据进行标记、提取得到证据信息后形成取证报告存入取证报告数据库。
3.根据权利要求2所述的电子取证方法,其特征在于,所述取证模块还包括数据恢复模块、恢复信息数据库,数据恢复模块恢复备份硬盘上遭到破坏、删除的数据存入恢复信息数据库,证据提取模块从恢复信息数据库中提取证据信息写入取证报告。
4.根据权利要求2所述的电子取证方法,其特征在于,所述取证模块还包括密码破解模块、解密信息数据库,密码破解模块解除备份硬盘上的加密文件、压缩包、数据后将解密数据存入解密信息数据库,证据提取模块从解密信息数据库中提取证据信息写入取证报告。
5.根据权利要求2所述的电子取证方法,其特征在于,所述取证模块还包括数字签名模块,数字签名模块对取证报告进行数字签名。
CN201811211938.2A 2018-10-17 2018-10-17 一种电子取证系统及方法 Active CN111061593B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811211938.2A CN111061593B (zh) 2018-10-17 2018-10-17 一种电子取证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811211938.2A CN111061593B (zh) 2018-10-17 2018-10-17 一种电子取证系统及方法

Publications (2)

Publication Number Publication Date
CN111061593A CN111061593A (zh) 2020-04-24
CN111061593B true CN111061593B (zh) 2023-05-30

Family

ID=70297100

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811211938.2A Active CN111061593B (zh) 2018-10-17 2018-10-17 一种电子取证系统及方法

Country Status (1)

Country Link
CN (1) CN111061593B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111581659B (zh) * 2020-06-16 2023-10-31 深圳市大恒数据安全科技有限责任公司 一种调取电子证据的方法和装置
CN113495764B (zh) * 2021-09-06 2021-12-14 广州市高奈特网络科技有限公司 自动化数据提取方法、装置、计算机设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103886234A (zh) * 2014-02-27 2014-06-25 浙江诸暨奇创电子科技有限公司 一种基于加密硬盘的安全计算机及其数据安全控制方法
CN204680015U (zh) * 2015-02-04 2015-09-30 北京中超伟业信息安全技术有限公司 一种存储介质取证分析设备
CN106529214A (zh) * 2016-12-05 2017-03-22 湖北灰科信息技术有限公司 电子取证装置和应用该装置的电子取证方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011097294A1 (en) * 2010-02-02 2011-08-11 Legal Digital Services Digital forensic acquisition kit and methods of use thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103886234A (zh) * 2014-02-27 2014-06-25 浙江诸暨奇创电子科技有限公司 一种基于加密硬盘的安全计算机及其数据安全控制方法
CN204680015U (zh) * 2015-02-04 2015-09-30 北京中超伟业信息安全技术有限公司 一种存储介质取证分析设备
CN106529214A (zh) * 2016-12-05 2017-03-22 湖北灰科信息技术有限公司 电子取证装置和应用该装置的电子取证方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
宋亦青 ; 赵庸 ; 郝文江 ; .计算机取证技术的发展.信息网络安全.2006,(12),全文. *

Also Published As

Publication number Publication date
CN111061593A (zh) 2020-04-24

Similar Documents

Publication Publication Date Title
CN112217835B (zh) 报文数据的处理方法、装置、服务器和终端设备
Sindhu et al. Digital forensics and cyber crime datamining
CN109753809B (zh) 一种基于云存储系统的电网数据块分割方法
US20140082001A1 (en) Digital forensic audit system for analyzing user's behaviors
CN111061593B (zh) 一种电子取证系统及方法
CN101697520B (zh) 一种系统日志的处理方法和装置
CN104850407A (zh) 一种桌面录屏系统及其录屏方法
CN101807208A (zh) 视频指纹快速检索方法
CN111783077A (zh) TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质
US11989161B2 (en) Generating readable, compressed event trace logs from raw event trace logs
US9154506B1 (en) System and method for secure data generation and transmission
CN108038379B (zh) 一种防勒索软件攻击的方法和系统
CN102045268A (zh) 一种电子邮件数据恢复方法及装置
CN108900505B (zh) 一种基于区块链技术的集群审计管控方法
CN113098980B (zh) 用于电力监控系统的便携式安全运维系统
CN103559251B (zh) 基于信息隐藏的数据安全保护方法
CN111062008B (zh) 一种远程电子取证系统及方法
CN102592078A (zh) 一种提取函数调用序列特征识别恶意软件自主传播的方法
Ali Digital forensics best practices and managerial implications
CN102982288B (zh) 在便携式终端中执行数据的加密和解密的设备和方法
CN111563256A (zh) 一种安全的大数据收集存放方法
CN108777621A (zh) 一种获取支付工具支付宝交易记录的方法
CN103139293B (zh) 一种根据痕迹类型进行编码还原的痕迹信息获取方法
KR20100034330A (ko) 개인정보 보호 방법 및 시스템
CN110995658A (zh) 网关保护方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant