CN111951130A - 一种电子设备的数据取证分析方法及系统 - Google Patents
一种电子设备的数据取证分析方法及系统 Download PDFInfo
- Publication number
- CN111951130A CN111951130A CN202010838745.0A CN202010838745A CN111951130A CN 111951130 A CN111951130 A CN 111951130A CN 202010838745 A CN202010838745 A CN 202010838745A CN 111951130 A CN111951130 A CN 111951130A
- Authority
- CN
- China
- Prior art keywords
- data
- evidence
- analysis
- evidence obtaining
- forensics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 215
- 238000013075 data extraction Methods 0.000 claims abstract description 38
- 238000000034 method Methods 0.000 claims description 15
- 238000000605 extraction Methods 0.000 claims description 10
- 238000007405 data analysis Methods 0.000 claims description 9
- 238000005457 optimization Methods 0.000 abstract description 7
- 238000004374 forensic analysis Methods 0.000 description 14
- 239000000725 suspension Substances 0.000 description 7
- 239000000969 carrier Substances 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000013468 resource allocation Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/18—Legal services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24552—Database cache management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4812—Task transfer initiation or dispatching by interrupt, e.g. masked
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Tourism & Hospitality (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Technology Law (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种电子设备的数据取证分析方法及系统,其通过将电子设备数据提取步骤和取证分析报告生成步骤采用异步处理执行,且预先设置包含若干个数据缓存区的数据缓存队列执行电子设备数据提取步骤和取证分析报告生成步骤之间的取证数据缓存中转空间,从而使得需要大量耗时的电子证据的分析处理和取证分析报告的生成处理过程无需取证操作人员进行值守等待,有助于提升电子证据的数据提取和取证分析的整体处理效率,并可以通过优化取证分析报告生成步骤的中断控制,保证对计算机系统资源的优化分配,还可以通过优化取证分析设备建立B/S网络结构通信构架模式的方式,在兼顾数据访问安全性的前提下,帮助提升电子证据数据查阅的便利性和效率。
Description
技术领域
本发明涉及电子设备数据取证保全技术领域,具体涉及一种电子设备的数据取证分析方法及系统。
背景技术
随着计算机和网络技术的普及,电子商贸活动和其他许多基于网络的人际交往大量出现,电子文件已经成为传递信息、记录事实的重要载体。在这些方面一旦发生纠纷或案件,相关的电子文件就成为重要的证据。电子证据(Digital Evidence)就是被作为证据研究的、能够证明案件相关事实的电子数据。
电子证据通常定义为:基于电子技术生成、以数字化形式存在于磁盘、光盘、存储卡、手机等各种电子设备载体,其内容可与载体分离,并可多次复制到其他载体的文件。这个定义表述了电子证据的三个基本特征:①数字化的存在形式;②不固定依附特定的电子设备载体;③可以多次原样复制。
对电子证据的数据取证中,目前常用的取证方式是,采用专用的计算机等数据处理存储设备作为取证分析设备,在其中建立用于存储取证数据和取证分析报告的电子证据数据库,将取证分析设备通过数据读取驱动设备、数据接口等中间设备与存储有电子证据的电子设备建立数据连接,运行专用的数据提取软件程序,提取电子设备中的电子证据作为取整数据,并对提取的取证数据进行取证分析处理,生成相应的取证分析报告,一并存储在取证分析设备的电子证据数据库中;如果需要查看取证数据或者相应的取证分析报告,则需要使用指定的计算机等专用查看设备通过数据接口、存储设备等中间设备与存储有电子证据的电子设备建立数据传输,获取到取证数据或者取证分析报告,并运行专用的数据查看软件程序,才能进行取证数据或者取证分析报告的查看和阅读,以保证对取证数据、取证分析报告的数据取证、查看环节的保全安全性。
目前电子证据的数据取证、查看操作方式,虽然较好的确保了电子证据的安全性,但在实际的操作应用中,还是存在多方面的不便利:
其一,取证分析设备对作为取证对象的电子设备进行数据取证处理、取证分析报告生成处理的处理时间较长,取证操作人员需要等待一台电子设备的数据取证处理、取证分析报告生成处理完成后,才能对下一台电子设备进行数据取证操作,然而,由于取证分析设备对电子证据的分析处理(包含数据加密处理)和取证分析报告的生成处理较为复杂,处理时间较长,因此在电子设备数量较多、每台电子设备中的电子证据数据量较大的情况下,就会导致取证操作人员长时间进行数据取证工作,占用过多的人员工作时间,对团队整体的电子证据取证保全工作效率造成不利影响;
其二,取证数据、取证分析报告的查看使用指定的计算机等专用查看设备,间接的限制了查看取证数据、取证分析报告的场地和时间,影响电子证据数据查阅和相关案件办理的综合效率;
其三,目前办案人员配备办案专用移动终端(例如专用手机等)的情况逐渐普遍,但即便使用办案专用移动终端进行取证数据、取证分析报告的查看,也需要将办案专用移动终端通过数据接口等中间设备与存储有电子证据的电子设备建立数据传输,获取到取证数据或者取证分析报告,并在办案专用移动终端上加载和运行专用的数据查看软件程序,才能进行查阅,依然对电子证据数据查阅的场地和时间造成限制,无法从根本上解决电子证据数据查阅的便利性和效率不足的问题。
因此,如何更加有利于提升对电子证据的数据取证、查阅的便利性和效率,成为了进一步辅助提升相关案件办理效率的关键性技术问题之一。
发明内容
针对现有技术存在的上述不足,本发明要解决的技术问题是如何提升对电子证据的数据取证效率,进一步解决的技术问题是如何提升对取证相关数据的查阅的便利性和效率。
为解决上述技术问题,本发明采用了如下的技术方案:
一种电子设备的数据取证分析方法,包括电子设备数据提取步骤和取证分析报告生成步骤,其特征在于,所述电子设备数据提取步骤和取证分析报告生成步骤采用异步处理,且预先设置包含若干个数据缓存区的数据缓存队列,其中:
在所述电子设备数据提取步骤执行中,将提取的一个电子设备的取证数据记录在预设的数据缓存队列中的一个数据缓存区中,且每当一个电子设备的取证数据提取完成时,断开与相应电子设备的数据连接;
在所述取证分析报告生成步骤执行中,从数据缓存队列中按照提取完成时间从前到后的顺序逐一调取数据缓存区中存储的取证数据进行取证分析处理,并生成相应的取证分析报告,将取证数据及其对应的取证分析报告一并存入电子证据数据库中,且在对一个数据缓存区中的数据调取完成后清空并释放该相应的数据缓存区。
上述电子设备的数据取证分析方法中,作为优化方案,在所述电子设备数据提取步骤执行中,每当对一个电子设备的取证数据提取完成时,还为存储有相应取证数据的数据缓存区分配唯一对应的取证数据ID;所述取证数据ID为取证数据所对应的电子设备信息、取证事件信息或数据提取信息中的一种或几种。
上述电子设备的数据取证分析方法中,作为进一步优化方案,在所述取证分析报告生成步骤执行中,当发生中断触发事件时,暂停数据处理过程,并生成中断信息节点记录暂停处理时的数据处理状态,且在发生中断返回事件时,读取中断信息节点记录的数据处理状态,对此前暂停处理时的数据处理状态进行恢复,然后继续执行取证分析报告生成步骤。
上述电子设备的数据取证分析方法中,作为一种优选方案,所述中断触发事件包括收到中断控制指令;所述中断返回事件包括收到中断返回指令。
上述电子设备的数据取证分析方法中,作为另一种优选方案,所述中断触发事件包括数据处理可用系统资源低于预设下限值;所述中断触发事件包括数据处理可用系统资源大于或等于预设下限值。
上述电子设备的数据取证分析方法中,作为进一步优化方案,还包括将电子证据数据库中存储的取证数据或/和取证分析报告转换存储为网络浏览器可读的取证分析浏览文件,并允许网络浏览器访问读取取证分析浏览文件进行显示。
上述电子设备的数据取证分析方法中,作为进一步优化方案,当网络浏览器访问读取取证分析浏览文件时,进行浏览权限的认证,仅在通过浏览权限认证后才允许网络浏览器访问读取取证分析浏览文件进行显示。
相应地,本发明还提供了一种电子设备的数据取证分析系统,为此本发明采用了如下的技术方案:
一种电子设备的数据取证分析系统,包括:
数据缓存队列,包含若干个数据缓存区,每个数据缓存区用于缓存一个电子设备的取证数据;
数据提取模块,用于与电子设备建立数据连接,提取所连接电子设备的证数据记录在数据缓存队列中的一个数据缓存区中,且每当一个电子设备的取证数据提取完成时,断开与相应电子设备的数据连接;
数据解析模块,用于从数据缓存队列中按照提取完成时间从前到后的顺序逐一调取数据缓存区中存储的取证数据进行取证分析处理,并生成相应的取证分析报告,将取证数据及其对应的取证分析报告一并存入电子证据数据库中,且在对一个数据缓存区中的数据调取完成后清空并释放该相应的数据缓存区;
电子证据数据库,用于存储取证数据及其对应的取证分析报告。
上述的电子设备的数据取证分析系统中,作为优化方案,还包括:
中断控制模块,用于在监测到中断触发事件时,通知数据解析模块暂停数据处理过程,并生成中断信息节点记录暂停处理时的数据处理状态;在监测到中断返回事件时,通知数据解析模块读取中断信息节点记录的数据处理状态,对此前暂停处理时的数据处理状态进行恢复,然后继续执行取证分析报告生成步骤。
上述的电子设备的数据取证分析系统中,作为进一步优化方案,还包括:
浏览处理模块,用于将电子证据数据库中存储的取证数据或/和取证分析报告转换存储为网络浏览器可读的取证分析浏览文件,并允许网络浏览器访问读取取证分析浏览文件进行显示,且在网络浏览器访问读取取证分析浏览文件时,进行浏览权限的认证,仅在通过浏览权限认证后才允许网络浏览器访问读取取证分析浏览文件进行显示。
相比于现有技术,本发明的有益效果在于:
1、本发明电子设备的数据取证分析方法及系统,能够让取证操作人员则可以在处理电子设备数据提取步骤操作之后,无需再进行其他操作,由取证分析设备自动完成后续的取证分析报告生成步骤的异步处理,使得需要大量耗时的电子证据的分析处理(包含数据加密处理)和取证分析报告的生成处理过程无需取证操作人员进行值守等待,大大减少了对人员工作时间的占用。
2、本发明电子设备的数据取证分析方法及系统中,由于电子设备数据提取步骤和取证分析报告生成步骤能够通过异步处理的方式得以并行执行,也有助于提升电子证据的数据提取和取证分析的整体处理效率。
3、本发明电子设备的数据取证分析方法及系统,还能够通过对取证分析报告生成步骤的中断控制,使得取证分析设备能够根据计算机系统资源分配情况,优化的控制取证分析报告生成步骤的暂停和恢复执行,以保证取证分析设备中计算机系统资源的优化分配,并可以进一步优化中断控制方式,使得取证分析设备就可以每天24小时不间断的执行取证分析报告生成步骤的处理,并由其自动控制对取证分析报告生成步骤的中断暂停和继续执行,无需人员干预,不仅释放了对人员工作时间的占用,也可持续性的保证了取证分析设备对数据取证分析的综合处理效率。
4、本发明电子设备的数据取证分析方法及系统,还可以通过优化取证分析设备建立B/S(浏览器/服务器)网络结构通信构架模式的方式,并在兼顾数据访问安全性的前提下,帮助提升电子证据数据查阅的便利性,进一步的辅助提升案件办理效率。
附图说明
图1为本发明电子设备的数据取证分析系统一种实施方案的系统构架及其使用场景的结构框图。
图2为本发明电子设备的数据取证分析系统另一种实施方案的系统构架及其使用场景的结构框图。
具体实施方式
针对于目前电子证据的数据取证操作工作量大、影响人员处理效率的问题,本发明对采用数据处理存储设备作为取证分析设备进行电子设备的数据取证分析方法进行了进一步改进,虽然在取证分析设备于作为取证数据提取对象的电子设备监理数据连接后,取证分析设备的数据取证分析处理依然包括电子设备数据提取步骤和取证分析报告生成步骤,但技术改进之处在于,设计取证分析设备的电子设备数据提取步骤和取证分析报告生成步骤采用异步处理的方式执行,且在取证分析设备中预先设置包含若干个数据缓存区的数据缓存队列;其中,在所述电子设备数据提取步骤执行中,将提取的一个电子设备的取证数据记录在预设的数据缓存队列中的一个数据缓存区中,且每当一个电子设备的取证数据提取完成时,断开与相应电子设备的数据连接;在所述取证分析报告生成步骤执行中,从数据缓存队列中按照提取完成时间从前到后的顺序逐一调取数据缓存区中存储的取证数据进行取证分析处理,并生成相应的取证分析报告,将取证数据及其对应的取证分析报告一并存入电子证据数据库中,且在对一个数据缓存区中的数据调取完成后清空并释放该相应的数据缓存区。
这样以来,由于取证分析设备的电子设备数据提取步骤和取证分析报告生成步骤采用异步处理,使得电子设备数据提取步骤和取证分析报告生成步骤能够在不同时段得以异步方式的分步执行,并且,专门设置了包含若干个数据缓存区的数据缓存队列,在电子设备数据提取步骤执行中,将针对一个电子设备提取的取证数据记录在预设的数据缓存队列中的一个数据缓存区中,然后便断开与相应电子设备的数据连接,使得取证分析设备能够与另一台待取证的电子设备建立数据连接后继续进行数据提取操作;而取证分析报告生成步骤则无需再像现有技术方式一样,必须在一个电子设备的取证数据提取完成后紧接着同步的续接执行,而是由取证分析设备控制进行自动的异步处理,按照提取完成时间从前到后的顺序从数据缓存队列中逐一调取数据缓存区中存储的取证数据进行取证分析处理,并逐一生成取证分析报告,一并存入电子证据数据库中;且在取证分析报告生成步骤执行中,取证分析设备对一个数据缓存区中的数据调取完成后,则会清空并释放该相应的数据缓存区,使得该数据缓存区又能够用于缓存其它电子设备的取证数据。
由此,在实际操作中,取证操作人员便可以将需要提取电子证据的电子设备逐一的与取证分析设备建立数据连接后分别执行电子设备数据提取步骤即可,所提取的不同电子设备的取证数据则会分别缓存在数据缓存队列中的不同数据缓存区内;而此后,取证操作人员则可以无需再进行其他操作,由取证分析设备的取证分析报告生成步骤进行自动的异步处理,按照提取完成时间从前到后的顺序从数据缓存队列中逐一调取数据缓存区中存储的取证数据进行取证分析并逐一的生成对应的取证分析报告,且逐一清空并释放取证数据调取完成的数据缓存区;这样就使得需要大量耗时的电子证据的分析处理(包含数据加密处理)和取证分析报告的生成处理过程无需取证操作人员进行值守等待,取证操作人员只需执行耗时较短的电子设备数据提取操作即可,大大减少了对人员工作时间的占用。
不仅如此,由于取证分析设备的电子设备数据提取步骤和取证分析报告生成步骤采用异步处理的方式执行,在取证操作人员对多台电子设备逐一进行电子设备数据提取步骤的过程中,取证分析设备也能够并行的逐一执行取证分析报告生成步骤,因此也有助于提升电子证据的数据提取和取证分析的整体处理效率。
在技术实现的角度,要实现上述的电子设备的数据取证分析方法,可以通过计算机程序设计编译相应的电子设备的数据取证分析系统,在取证分析设备上加以运行,得以实施。针对此设计的数据取证分析系统,如图1所示,其主要的计算机程序模块,可以分为如下几个部分:
数据缓存队列,包含若干个数据缓存区,每个数据缓存区用于缓存一个电子设备的取证数据;
数据提取模块,用于与电子设备建立数据连接,提取所连接电子设备的证数据记录在数据缓存队列中的一个数据缓存区中,且每当一个电子设备的取证数据提取完成时,断开与相应电子设备的数据连接;
数据解析模块,用于从数据缓存队列中按照提取完成时间从前到后的顺序逐一调取数据缓存区中存储的取证数据进行取证分析处理,并生成相应的取证分析报告,将取证数据及其对应的取证分析报告一并存入电子证据数据库中,且在对一个数据缓存区中的数据调取完成后清空并释放该相应的数据缓存区;
电子证据数据库,用于存储取证数据及其对应的取证分析报告。
通过由此构建的电子设备的数据取证分析系统,即可执行前述的数据取证分析方法。
在具体的实施中,还可以在不同环节对本发明的技术方案加以进一步的细节优化。
例如,在电子设备数据提取步骤执行中,取证分析设备每当对一个电子设备的取证数据提取完成时,还可以设计为数据缓存区分配唯一对应的取证数据ID(IdentityDocument,身份表示符),以方便于取证分析设备对所缓存的取证数据的加以记录和查询;作为取证数据ID的信息可以是取证数据所对应的电子设备信息(例如电子设备名称、电子设备所有者名称、电子设备取证编号等)、取证事件信息(例如事件名称、事件地点、事件取证时间、事件取证编号等)或数据提取信息(例如提取数据量大小、提取数据时间等),也可以是采用其中的一种或几种来作为取证数据ID信息,其目的是用以有效区分数据缓存队列中存储的不同电子设备的取证数据。
又例如,另一方面,考虑到取证分析处理过程较为复杂,占用计算机系统资源较多,加之取证分析报告生成步骤与电子设备数据提取步骤的数据处理可能发生异步的并行处理的情况,对计算机系统资源的占用更为严重,有可能影响到取证分析设备中其它处理任务的正常运行;因此,在取证分析报告生成步骤执行中,还可以进一步的设计取证分析设备允许执行任务的中断与恢复,以便于在计算机系统资源的分配问题影响到其它处理任务的正常运行时,能够通过中断取证分析报告生成步骤的执行而对计算机系统资源加以重新的优化分配。
由此,可以针对性的设计发生中断触发事件和中断返回事件,让取证分析设备在取证分析报告生成步骤执行中,当发生中断触发事件时,暂停数据处理过程,并生成中断信息节点记录暂停处理时的数据处理状态,且在发生中断返回事件时,读取中断信息节点记录的数据处理状态,对此前暂停处理时的数据处理状态进行恢复,然后继续执行取证分析报告生成步骤。其中,中断触发事件可以是收到主动控制发送的中断控制指令,中断返回事件也可以是收到主动控制发送的收到中断返回指令,这样使得取证操作人员可以通过操作取证分析设备主动控制发送中断控制指令、中断返回指令,来根据需要灵活的控制取证分析报告生成步骤的暂停和恢复执行。或者,也可以设计取证分析设备实时跟踪检测其计算机系统资源的分配情况,并设置计算机系统的数据处理可用系统资源的下限值,同时,中断触发事件则可以设计为判断数据处理可用系统资源低于预设下限值,二中断触发事件则可以设计为判断包括数据处理可用系统资源大于或等于预设下限值,即在取证分析报告生成步骤执行中,当数据处理可用系统资源低于预设下限值,取证分析设备则暂停数据处理过程,并生成中断信息节点记录暂停处理时的数据处理状态,而在数据处理可用系统资源重新大于或等于预设下限值时,取证分析设备读取中断信息节点记录的数据处理状态,对此前暂停处理时的数据处理状态进行恢复,然后继续执行取证分析报告生成步骤。这样,使得取证分析设备能够自动的根据计算机系统资源分配情况,自主优化的控制取证分析报告生成步骤的暂停和恢复执行,以保证取证分析设备中计算机系统资源的优化分配,从而使得取证分析设备就可以每天24小时不间断的执行取证分析报告生成步骤的处理,并由其自动控制对取证分析报告生成步骤的中断暂停和继续执行,无需人员干预,不仅释放了对人员工作时间的占用,也可持续性的保证了取证分析设备对数据取证分析的综合处理效率。
此外,还考虑到办案人员配备办案专用移动终端的情况逐渐普遍的情况,为了进一步的改善取证数据、取证分析报告的查看便利性和效率问题,还可以进一步的设计取证分析设备将电子证据数据库中存储的取证数据或/和取证分析报告转换存储为网络浏览器可读的取证分析浏览文件,并允许网络浏览器访问读取取证分析浏览文件进行显示。这样使得办案人员可以使用其配备的办案专用移动终端通过网络浏览器访问取证分析设备,获取取证分析浏览文件对取证数据、取证分析报告进行查阅,进而克服目前电子证据数据查阅所存在的场地和时间限制问题,进一步帮助提升电子证据数据查阅的便利性,以辅助提升案件办理效率。
当然,考虑到互联网络访问的环境复杂性,在通过取证分析浏览文件访问的形式提升电子证据数据查阅便利性和效率的同时,还需要进一步兼顾数据访问的安全性,因此,可以进一步的设计在网络浏览器访问读取取证分析浏览文件时,进行浏览权限的认证,并仅在通过浏览权限认证后才允许网络浏览器访问读取取证分析浏览文件进行显示。这样,通过浏览权限认证方式,确保仅具备浏览权限的办案人员可使用其配备的办案专用移动终端通过网络浏览器访问获取取证分析浏览文件对取证数据、取证分析报告进行查阅,而其它无权限人员无法通过取证分析浏览文件访问的机制来进行电子证据数据的查阅,以保证数据访问范围的可控,达到数据访问安全性可控的目的。
相应的,要实现取证分析设备的上述中断控制和取证分析浏览文件访问功能,可以通过计算机程序设计编译设计,在取证分析设备的数据取证分析系统中布置执行相应处理功能的计算机程序模块,来完成相关处理任务,如图2所示,包括:
中断控制模块,用于在监测到中断触发事件时,通知数据解析模块暂停数据处理过程,并生成中断信息节点记录暂停处理时的数据处理状态;在监测到中断返回事件时,通知数据解析模块读取中断信息节点记录的数据处理状态,对此前暂停处理时的数据处理状态进行恢复,然后继续执行取证分析报告生成步骤;
以及,浏览处理模块,用于将电子证据数据库中存储的取证数据或/和取证分析报告转换存储为网络浏览器可读的取证分析浏览文件,并允许网络浏览器访问读取取证分析浏览文件进行显示,且在网络浏览器访问读取取证分析浏览文件时,进行浏览权限的认证,仅在通过浏览权限认证后才允许网络浏览器访问读取取证分析浏览文件进行显示。
通过这样的数据取证分析系统模块化设计,使得取证分析设备成为了采集、记录和提供查询电子证据数据信息资料的服务器设备,其它具备访问权限的设备可以作为浏览器数据访问终端,与取证分析设备建立B/S(浏览器/服务器)网络结构通信构架模式,并在兼顾数据访问安全性的前提下,帮助提升电子证据数据查阅的便利性,以辅助提升案件办理效率。
综上所述,本发明电子设备的数据取证分析方法及系统,能够让取证操作人员则可以在处理电子设备数据提取步骤操作之后,无需再进行其他操作,由取证分析设备自动完成后续的取证分析报告生成步骤的异步处理,使得需要大量耗时的电子证据的分析处理(包含数据加密处理)和取证分析报告的生成处理过程无需取证操作人员进行值守等待,大大减少了对人员工作时间的占用;同时,由于电子设备数据提取步骤和取证分析报告生成步骤能够通过异步处理的方式得以并行执行,也有助于提升电子证据的数据提取和取证分析的整体处理效率;此外,还能够通过对取证分析报告生成步骤的中断控制,使得取证分析设备能够根据计算机系统资源分配情况,优化的控制取证分析报告生成步骤的暂停和恢复执行,以保证取证分析设备中计算机系统资源的优化分配,并可以进一步优化中断控制方式,使得取证分析设备就可以每天24小时不间断的执行取证分析报告生成步骤的处理,并由其自动控制对取证分析报告生成步骤的中断暂停和继续执行,无需人员干预,不仅释放了对人员工作时间的占用,也可持续性的保证了取证分析设备对数据取证分析的综合处理效率;还可以通过优化取证分析设备建立B/S(浏览器/服务器)网络结构通信构架模式的方式,并在兼顾数据访问安全性的前提下,帮助提升电子证据数据查阅的便利性,进一步的辅助提升案件办理效率。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管通过参照本发明的优选实施例已经对本发明进行了描述,但本领域的普通技术人员应当理解,可以在形式上和细节上对其作出各种各样的改变,而不偏离所附权利要求书所限定的本发明的精神和范围。
Claims (10)
1.一种电子设备的数据取证分析方法,包括电子设备数据提取步骤和取证分析报告生成步骤,其特征在于,所述电子设备数据提取步骤和取证分析报告生成步骤采用异步处理,且预先设置包含若干个数据缓存区的数据缓存队列,其中:
在所述电子设备数据提取步骤执行中,将提取的一个电子设备的取证数据记录在预设的数据缓存队列中的一个数据缓存区中,且每当一个电子设备的取证数据提取完成时,断开与相应电子设备的数据连接;
在所述取证分析报告生成步骤执行中,从数据缓存队列中按照提取完成时间从前到后的顺序逐一调取数据缓存区中存储的取证数据进行取证分析处理,并生成相应的取证分析报告,将取证数据及其对应的取证分析报告一并存入电子证据数据库中,且在对一个数据缓存区中的数据调取完成后清空并释放该相应的数据缓存区。
2.根据权利要求1所述电子设备的数据取证分析方法,其特征在于,在所述电子设备数据提取步骤执行中,每当对一个电子设备的取证数据提取完成时,还为存储有相应取证数据的数据缓存区分配唯一对应的取证数据ID;所述取证数据ID为取证数据所对应的电子设备信息、取证事件信息或数据提取信息中的一种或几种。
3.根据权利要求1所述电子设备的数据取证分析方法,其特征在于,在所述取证分析报告生成步骤执行中,当发生中断触发事件时,暂停数据处理过程,并生成中断信息节点记录暂停处理时的数据处理状态,且在发生中断返回事件时,读取中断信息节点记录的数据处理状态,对此前暂停处理时的数据处理状态进行恢复,然后继续执行取证分析报告生成步骤。
4.根据权利要求3所述电子设备的数据取证分析方法,其特征在于,所述中断触发事件包括收到中断控制指令;所述中断返回事件包括收到中断返回指令。
5.根据权利要求3所述电子设备的数据取证分析方法,其特征在于,所述中断触发事件包括数据处理可用系统资源低于预设下限值;所述中断触发事件包括数据处理可用系统资源大于或等于预设下限值。
6.根据权利要求1所述电子设备的数据取证分析方法,其特征在于,还包括将电子证据数据库中存储的取证数据或/和取证分析报告转换存储为网络浏览器可读的取证分析浏览文件,并允许网络浏览器访问读取取证分析浏览文件进行显示。
7.根据权利要求6所述电子设备的数据取证分析方法,其特征在于,当网络浏览器访问读取取证分析浏览文件时,进行浏览权限的认证,仅在通过浏览权限认证后才允许网络浏览器访问读取取证分析浏览文件进行显示。
8.一种电子设备的数据取证分析系统,其特征在于,包括:
数据缓存队列,包含若干个数据缓存区,每个数据缓存区用于缓存一个电子设备的取证数据;
数据提取模块,用于与电子设备建立数据连接,提取所连接电子设备的证数据记录在数据缓存队列中的一个数据缓存区中,且每当一个电子设备的取证数据提取完成时,断开与相应电子设备的数据连接;
数据解析模块,用于从数据缓存队列中按照提取完成时间从前到后的顺序逐一调取数据缓存区中存储的取证数据进行取证分析处理,并生成相应的取证分析报告,将取证数据及其对应的取证分析报告一并存入电子证据数据库中,且在对一个数据缓存区中的数据调取完成后清空并释放该相应的数据缓存区;
电子证据数据库,用于存储取证数据及其对应的取证分析报告。
9.根据权利要求8所述的电子设备的数据取证分析系统,其特征在于,还包括:
中断控制模块,用于在监测到中断触发事件时,通知数据解析模块暂停数据处理过程,并生成中断信息节点记录暂停处理时的数据处理状态;在监测到中断返回事件时,通知数据解析模块读取中断信息节点记录的数据处理状态,对此前暂停处理时的数据处理状态进行恢复,然后继续执行取证分析报告生成步骤。
10.根据权利要求8所述的电子设备的数据取证分析系统,其特征在于,还包括:
浏览处理模块,用于将电子证据数据库中存储的取证数据或/和取证分析报告转换存储为网络浏览器可读的取证分析浏览文件,并允许网络浏览器访问读取取证分析浏览文件进行显示,且在网络浏览器访问读取取证分析浏览文件时,进行浏览权限的认证,仅在通过浏览权限认证后才允许网络浏览器访问读取取证分析浏览文件进行显示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010838745.0A CN111951130B (zh) | 2020-08-19 | 2020-08-19 | 一种电子设备的数据取证分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010838745.0A CN111951130B (zh) | 2020-08-19 | 2020-08-19 | 一种电子设备的数据取证分析方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111951130A true CN111951130A (zh) | 2020-11-17 |
| CN111951130B CN111951130B (zh) | 2024-01-30 |
Family
ID=73358640
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010838745.0A Active CN111951130B (zh) | 2020-08-19 | 2020-08-19 | 一种电子设备的数据取证分析方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111951130B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114390104A (zh) * | 2022-01-26 | 2022-04-22 | 杭州趣链科技有限公司 | 过程取证系统、方法、装置、计算机设备及介质 |
| CN115186854A (zh) * | 2022-09-07 | 2022-10-14 | 艾斯特国际安全技术(深圳)有限公司 | 证件领取的管控方法、装置、系统及存储介质 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100521623C (zh) * | 2007-05-22 | 2009-07-29 | 网御神州科技(北京)有限公司 | 高性能的Syslog日志处理和存储方法 |
| CN101547092A (zh) * | 2008-03-27 | 2009-09-30 | 天津德智科技有限公司 | 用于统一用户认证的多应用系统数据同步的方法及装置 |
| CN103152352A (zh) * | 2013-03-15 | 2013-06-12 | 北京邮电大学 | 一种基于云计算环境的全信息安全取证监听方法和系统 |
| CN104156669A (zh) * | 2014-08-11 | 2014-11-19 | 南京龙联信息技术有限公司 | 一种计算机信息取证系统 |
| CN105260374A (zh) * | 2015-07-17 | 2016-01-20 | 中国科学院计算技术研究所 | 异步流水线式的图查询方法及系统 |
| CN106528792A (zh) * | 2016-11-10 | 2017-03-22 | 福州智永信息科技有限公司 | 基于多层缓存机制的大数据采集和高速处理方法及系统 |
| CN106909672A (zh) * | 2017-03-01 | 2017-06-30 | 四川艾特赢泰智能科技有限责任公司 | 一种基于wpf技术生成及加载特定项目文件的方法 |
| CN107423303A (zh) * | 2016-05-24 | 2017-12-01 | 北京京东尚科信息技术有限公司 | 数据同步的方法和系统 |
| CN107682734A (zh) * | 2017-10-20 | 2018-02-09 | 国信嘉宁数据技术有限公司 | 一种电子证据的取证方法及相关装置和可读存储介质 |
| CN107832021A (zh) * | 2017-11-29 | 2018-03-23 | 厦门市美亚柏科信息股份有限公司 | 一种电子证据固定方法、终端设备及存储介质 |
| CN107872401A (zh) * | 2017-12-22 | 2018-04-03 | 成都飞鱼星科技股份有限公司 | 一种网络关键业务保障方法及装置 |
| CN108319543A (zh) * | 2018-01-24 | 2018-07-24 | 广州江南科友科技股份有限公司 | 一种计算机日志数据的异步处理方法及其介质、系统 |
| CN109558966A (zh) * | 2018-10-28 | 2019-04-02 | 西南电子技术研究所(中国电子科技集团公司第十研究所) | 智能判证预测事件发生的处理系统 |
| CN109977696A (zh) * | 2019-03-26 | 2019-07-05 | 国信嘉宁数据技术有限公司 | 纪检监察系统的数据保全方法及相关装置和系统 |
| CN110515990A (zh) * | 2019-07-23 | 2019-11-29 | 华信永道(北京)科技股份有限公司 | 数据查询展示方法及查询展示系统 |
| CN111193777A (zh) * | 2019-12-13 | 2020-05-22 | 佛山欧神诺云商科技有限公司 | 一种基于断点续传的文件下载方法、装置及存储介质 |
| CN111274582A (zh) * | 2020-01-14 | 2020-06-12 | 中国人民解放军战略支援部队信息工程大学 | 基于透明度的取证效果评估方法、取证分析装置及方法 |
| CN111797355A (zh) * | 2020-07-06 | 2020-10-20 | 上海弘连网络科技有限公司 | 基于定制浏览器的网页固定存证方法 |
-
2020
- 2020-08-19 CN CN202010838745.0A patent/CN111951130B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100521623C (zh) * | 2007-05-22 | 2009-07-29 | 网御神州科技(北京)有限公司 | 高性能的Syslog日志处理和存储方法 |
| CN101547092A (zh) * | 2008-03-27 | 2009-09-30 | 天津德智科技有限公司 | 用于统一用户认证的多应用系统数据同步的方法及装置 |
| CN103152352A (zh) * | 2013-03-15 | 2013-06-12 | 北京邮电大学 | 一种基于云计算环境的全信息安全取证监听方法和系统 |
| CN104156669A (zh) * | 2014-08-11 | 2014-11-19 | 南京龙联信息技术有限公司 | 一种计算机信息取证系统 |
| CN105260374A (zh) * | 2015-07-17 | 2016-01-20 | 中国科学院计算技术研究所 | 异步流水线式的图查询方法及系统 |
| CN107423303A (zh) * | 2016-05-24 | 2017-12-01 | 北京京东尚科信息技术有限公司 | 数据同步的方法和系统 |
| CN106528792A (zh) * | 2016-11-10 | 2017-03-22 | 福州智永信息科技有限公司 | 基于多层缓存机制的大数据采集和高速处理方法及系统 |
| CN106909672A (zh) * | 2017-03-01 | 2017-06-30 | 四川艾特赢泰智能科技有限责任公司 | 一种基于wpf技术生成及加载特定项目文件的方法 |
| CN107682734A (zh) * | 2017-10-20 | 2018-02-09 | 国信嘉宁数据技术有限公司 | 一种电子证据的取证方法及相关装置和可读存储介质 |
| CN107832021A (zh) * | 2017-11-29 | 2018-03-23 | 厦门市美亚柏科信息股份有限公司 | 一种电子证据固定方法、终端设备及存储介质 |
| CN107872401A (zh) * | 2017-12-22 | 2018-04-03 | 成都飞鱼星科技股份有限公司 | 一种网络关键业务保障方法及装置 |
| CN108319543A (zh) * | 2018-01-24 | 2018-07-24 | 广州江南科友科技股份有限公司 | 一种计算机日志数据的异步处理方法及其介质、系统 |
| CN109558966A (zh) * | 2018-10-28 | 2019-04-02 | 西南电子技术研究所(中国电子科技集团公司第十研究所) | 智能判证预测事件发生的处理系统 |
| CN109977696A (zh) * | 2019-03-26 | 2019-07-05 | 国信嘉宁数据技术有限公司 | 纪检监察系统的数据保全方法及相关装置和系统 |
| CN110515990A (zh) * | 2019-07-23 | 2019-11-29 | 华信永道(北京)科技股份有限公司 | 数据查询展示方法及查询展示系统 |
| CN111193777A (zh) * | 2019-12-13 | 2020-05-22 | 佛山欧神诺云商科技有限公司 | 一种基于断点续传的文件下载方法、装置及存储介质 |
| CN111274582A (zh) * | 2020-01-14 | 2020-06-12 | 中国人民解放军战略支援部队信息工程大学 | 基于透明度的取证效果评估方法、取证分析装置及方法 |
| CN111797355A (zh) * | 2020-07-06 | 2020-10-20 | 上海弘连网络科技有限公司 | 基于定制浏览器的网页固定存证方法 |
Non-Patent Citations (14)
| Title |
|---|
| 刘东辉: "计算机动态取证技术的研究", 计算机系统应用, no. 09, pages 47 - 49 * |
| 吴晟: "基于Docker的PaaS云取证技术研究与应用", 中国优秀硕士学位论文全文数据库社会科学辑(月刊), no. 03, pages 113 - 228 * |
| 周建华;王加阳;徐联华;: "基于多Agent的网络取证自适应技术研究", 微计算机信息, no. 09, pages 132 - 134 * |
| 杨新宇: "云存储服务网络取证技术研究", 中国优秀硕士学位论文全文数据库社会科学辑(月刊), no. 06, pages 113 - 20 * |
| 牟洋: "基于云平台的取证方案应用研究", 中国优秀硕士学位论文全文数据库信息科技辑(月刊), no. 04, pages 139 - 412 * |
| 王诗彬: "水声通信系统中专用实时操作系统研究与设计", 《中国优秀硕士学位论文全文数据库信息科技辑(月刊)》, no. 2008, pages 17 - 52 * |
| 王诗彬: "水声通信系统中专用实时操作系统研究与设计:水声通信系统中专用实时操作系统研究与设计", 《中国优秀硕士学位论文全 文数据库信息科技辑(月 刊)》, no. 07, pages 136 - 140 * |
| 王诗彬等: "水声通信系统中专用实时操作系统研究与设计", 中国优秀硕士学位论文全文数据库信息科技辑(月刊), no. 2008, pages 17 - 52 * |
| 田成亚: "智能手机取证研究", 《中国优秀硕士学位论文全文数据库信息科技辑(月刊)》, no. 2011, pages 47 - 51 * |
| 田成亚: "智能手机取证研究:智能手机取证研究", 《中国优秀硕士学位论文全 文数据库信息科技辑(月 刊)》, no. 12, pages 136 - 369 * |
| 田成亚等: "智能手机取证研究", 中国优秀硕士学位论文全文数据库信息科技辑(月刊), no. 2011, pages 47 - 51 * |
| 胡鹏;金鑫;: "浅谈计算机取证技术及其发展方向", 科协论坛(下半月), no. 09, pages 112 - 113 * |
| 龙毅宏;罗盛;唐志红;刘旭;: "通用电子记录存储与取证系统研究", 信息安全与通信保密, no. 08, pages 44 - 49 * |
| 龙毅宏等: "通用电子记录存储与取证系统研究", 《信息安全与通信保密》, no. 08, pages 44 - 49 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114390104A (zh) * | 2022-01-26 | 2022-04-22 | 杭州趣链科技有限公司 | 过程取证系统、方法、装置、计算机设备及介质 |
| CN115186854A (zh) * | 2022-09-07 | 2022-10-14 | 艾斯特国际安全技术(深圳)有限公司 | 证件领取的管控方法、装置、系统及存储介质 |
| CN115186854B (zh) * | 2022-09-07 | 2022-12-16 | 艾斯特国际安全技术(深圳)有限公司 | 证件领取的管控方法、装置、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111951130B (zh) | 2024-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104618693B (zh) | 一种基于云计算的监控视频在线处理任务管理方法及系统 | |
| CN112016897B (zh) | 智能终端设备的电子数据取证系统及其采集、上传方法 | |
| CN109118160B (zh) | 一种信息共享方法、装置、终端设备和介质 | |
| CN111951130A (zh) | 一种电子设备的数据取证分析方法及系统 | |
| CN103051692B (zh) | 支持极限网络环境的移动作业系统工作平台 | |
| CN112099844B (zh) | 一种用于国网业务系统的多内核兼容的智能浏览系统 | |
| CN104376257B (zh) | 应用程序自我保护、主动防御方法与装置 | |
| CN109560996B (zh) | 物联网终端自动化测试系统及方法 | |
| CN106776829A (zh) | 一种数据导出系统及其工作方法 | |
| CN103618762A (zh) | 一种基于aop的企业服务总线状态预处理系统及方法 | |
| CN110166529A (zh) | 保持登录态方法、装置、设备及存储介质 | |
| CN109858772A (zh) | 一种工单的处理方法、装置和系统 | |
| CN113570468A (zh) | 一种企业支付风控服务平台 | |
| CN103561042A (zh) | 一种对跨区域间的重要数据进行处理的方法和装置 | |
| CN108908343A (zh) | 变电站巡检机器人与调度系统业务操作联动系统及方法 | |
| CN105808742A (zh) | 一种影像池系统及使用影像池的方法 | |
| CN102843417B (zh) | 电子设备的远程操作方法 | |
| CN109120595A (zh) | 一种实现kvm功能的usb设备通信方法与装置 | |
| CN100395721C (zh) | 集中监控受限程序的系统与方法 | |
| CN103106366B (zh) | 一种基于云的样本数据库动态维护方法 | |
| CN111489227A (zh) | 一种电商信息共享系统 | |
| CN106940655A (zh) | 基于可信执行环境集成虚拟机的方法、终端 | |
| CN101697613A (zh) | 一种话单异常的处理方法及其装置 | |
| CN110109717A (zh) | 一种安卓插件的加载控制方法、装置和计算机设备 | |
| CN111343101A (zh) | 服务器限流方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |