CN112714351A - 一种取证方法、取证装置及服务器 - Google Patents
一种取证方法、取证装置及服务器 Download PDFInfo
- Publication number
- CN112714351A CN112714351A CN202011465847.9A CN202011465847A CN112714351A CN 112714351 A CN112714351 A CN 112714351A CN 202011465847 A CN202011465847 A CN 202011465847A CN 112714351 A CN112714351 A CN 112714351A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- server
- forensics
- evidence
- video data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000004590 computer program Methods 0.000 claims description 22
- 230000008569 process Effects 0.000 claims description 20
- 238000004891 communication Methods 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 6
- 230000006835 compression Effects 0.000 description 5
- 238000007906 compression Methods 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/433—Content storage operation, e.g. storage operation in response to a pause request, caching operations
- H04N21/4334—Recording operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N5/00—Details of television systems
- H04N5/76—Television signal recording
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请适用于通信技术领域,提供了一种取证方法、取证装置及服务器,所述方法包括:在接收到用户终端发送的开始取证请求时,触发所述服务器上的取证虚拟机与所述用户终端进行远程桌面连接,以指示所述用户终端的用户通过所述远程桌面连接操作所述取证虚拟机;对所述取证虚拟机的桌面进行录制,得到录制视频数据;将所述录制视频数据的数字签名存入区块链中。通过上述方法,可以使取得的证据不容易被篡改,保证了证据的真实性和可信度。
Description
技术领域
本申请属于通信技术领域,尤其涉及一种取证方法、取证装置、服务器及计算机可读存储介质。
背景技术
随着互联网技术的普及,越来越多的信息通过互联网传播。在互联网上的海量信息中包含了众多可用于司法诉讼的证据。因此,人们在诉讼维权时,常常需要从互联网中取证,将取证得到的证据存储下来。
目前,取证方法通常为:用户将取证地址,比如网站地址发送至取证平台;取证平台打开网站地址指示的网站,在截图网站展示的内容得到网站图像后,将该网站图像作为证据发送给用户。然而,上述取证方法获得的证据容易被篡改,无法保证取得的证据的真实性。
发明内容
有鉴于此,本申请提供了一种取证方法、取证装置、服务器及计算机可读存储介质,可以使取得的证据不容易被篡改,保证了证据的真实性和可信度。
第一方面,本申请提供了一种取证方法,应用于服务器,包括:
在接收到用户终端发送的开始取证请求时,触发上述服务器上的取证虚拟机与上述用户终端进行远程桌面连接,以指示上述用户终端的用户通过上述远程桌面连接操作上述取证虚拟机;
对上述取证虚拟机的桌面进行录制,得到录制视频数据;
将上述录制视频数据的数字签名存入区块链中。
第二方面,本申请提供了一种取证装置,应用于服务器,包括:
触发单元,用于在接收到用户终端发送的开始取证请求时,触发上述服务器上的取证虚拟机与上述用户终端进行远程桌面连接,以指示上述用户终端的用户通过上述远程桌面连接操作上述取证虚拟机;
录制单元,用于对上述取证虚拟机的桌面进行录制,得到录制视频数据;
存储单元,用于将上述录制视频数据的数字签名存入区块链中。
第三方面,本申请提供了一种服务器,包括存储器、处理器以及存储在上述存储器中并可在上述处理器上运行的计算机程序,上述处理器执行上述计算机程序时实现如上述第一方面所提供的方法。
第四方面,本申请提供了一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述计算机程序被处理器执行时实现如第一方面所提供的方法。
第五方面,本申请提供了一种计算机程序产品,当计算机程序产品在服务器上运行时,使得服务器执行上述第一方面所提供的方法。
由上可见,在本申请方案中,在接收到用户终端发送的开始取证请求时,触发服务器上的取证虚拟机与上述用户终端进行远程桌面连接,以指示上述用户终端的用户通过上述远程桌面连接操作上述取证虚拟机,然后对上述取证虚拟机的桌面进行录制,得到录制视频数据,最后将上述录制视频数据的数字签名存入区块链中。本申请方案通过取证虚拟机与用户终端进行远程桌面连接,使用户可以通过用户终端操作取证虚拟机进行取证,并录制取证虚拟机的桌面以监控用户的篡改操作;在取得证据后,服务器不会将录制视频数据直接发送至用户终端,而是将录制视频数据的数字签名存入区块链。通过上述方法,可以使取得的证据不容易被篡改,保证了证据的真实性和可信度。可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的取证方法的流程示意图;
图2是本申请实施例提供的取证装置的结构框图;
图3是本申请实施例提供的服务器的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
图1示出了本申请实施例提供的一种取证方法的流程图,该取证方法应用于服务器,详述如下:
步骤101,在接收到用户终端发送的开始取证请求时,触发服务器上的取证虚拟机与用户终端进行远程桌面连接,以指示用户终端的用户通过远程桌面连接操作取证虚拟机。
在本申请实施例中,预先设置有用于取证的服务器,该服务器上运行有取证平台,用户(如社会人员和司法人员)通过手机、平板和电脑等用户终端在取证平台上进行注册后,即可使用该取证平台提供的取证服务。为了保证该服务器的可信度,可以将该服务器设置于国家司法部门和国家司法机构(如公证处)等。该服务器背书可信,当有多个用户同时通过该服务器取证时不会出现证据不一致的情况。
当用户需要取证时,用户可以通过用户终端在取证平台提供的取证网站上执行用于生成开始取证请求的操作,比如点击取证网站上的指定按钮,生成开始取证请求。服务器接收到用户终端发送的开始取证请求时,可以触发服务器上运行的取证虚拟机与用户终端进行远程桌面连接。其中,取证虚拟机可以包括但不限于VMware虚拟机和VirtualBox虚拟机等;远程桌面连接可以通过远程控制软件实现,比如远程控制软件可以是虚拟网络控制台(Virtual Network Console,VNC)。VNC通常由两部分组成:一部分是客户端的应用程序(VNC viewer),比如noVNC,另外一部分是服务器端的应用程序(VNC server),比如TightVNC、UltraVNC等。为了实现远程桌面连接,可以在用户终端安装并运行VNC viewer,或者,也可以通过网页直接访问VNC server提供的链接;在取证虚拟机上安装并运行VNCserver,用户通过用户终端上的VNC viewer或通过网页访问VNC server提供的链接,即可远程接入运行VNC server的取证虚拟机并显示取证虚拟机的桌面。需要注意的是,虚拟机是通过软件模拟的一台计算机,在实体计算机中能够完成的工作在虚拟机中都能够实现,因此,本申请实施例中的虚拟机也可以替换为实体计算机,由多台实体计算机完成本申请实施例中的虚拟机的工作。
可选地,出于安全的考虑,可以随机为远程桌面连接生成一个密码。当用户终端需要使用该远程桌面连接时,可以要求用户输入该密码,只有验证密码正确时,才允许用户使用该远程桌面连接。进一步地,还可以预先为远程桌面连接设置最大允许使用时长,远程桌面连接在达到该最大允许使用时长时将自动断开。
可选地,服务器在接收到开始取证请求时,可以监听取证虚拟机的指定端口是否可用,若该指定端口可用,则将取证虚拟机的桌面通过该端口传输至用户终端上进行显示。用户通过在用户终端上远程控制取证虚拟机的桌面,即可操作该取证虚拟机。例如,用户可以操作取证虚拟机浏览网页、博客、微博、贴吧、直播、视频、声音、图片以及聊天记录等信息。可选地,可以在服务器上部署虚拟机服务,由该虚拟机服务监听取证虚拟机的指定端口是否可用。
可选地,在触发服务器上的取证虚拟机与用户终端进行远程桌面连接之前,还包括:
重启取证虚拟机,取证虚拟机在每次重启后均会还原为预设的初始磁盘状态。
在本申请实施例中,考虑到取证虚拟机可能会先后被不同的用户的操作,为了保证用户的数据安全,可以在每一次进行远程桌面连接之前,均重启取证虚拟机,例如,可以通过虚拟机服务向取证虚拟机发送重启指令以指示取证虚拟机重启。取证虚拟机在每一次重启后,均会还原为预设的初始磁盘状态,也即,将上一个用户对取证虚拟机操作的所有数据删除,取证虚拟机回到最初配置好的磁盘状态。
可选地,在触发服务器上的取证虚拟机与用户终端进行远程桌面连接之前,还包括:
在服务器上的所有虚拟机中,查找空闲的虚拟机;
若查找到空闲的虚拟机,则将空闲的虚拟机确定为取证虚拟机。
在本申请实施例中,为了对接多个用户,同时为多个用户提供取证服务,服务器上可以运行多个虚拟机。可选地,可以在服务器上部署调度服务,用于实现对多个虚拟机的调度。调度服务可以统一维护各个虚拟机的状态,状态包括空闲、使用中、停止中及启动中。并且,调度服务还可以保存每一次使用虚拟机的记录,在发现有不可调度的虚拟机时,向维护人员的终端发送警报消息,该警报消息用于通知维护人员对服务器进行维护。
示例性地,调度服务可以设置一张虚拟机状态表,用于记录每个虚拟机的当前状态。对于任何一个虚拟机,如果该虚拟机完成一次关机,则在虚拟机状态表中记录该虚拟机的当前状态为空闲。
调度服务可以通过虚拟机状态表,得到服务器上每个虚拟机的当前状态,从而查找空闲的虚拟机。如果查找到空闲的虚拟机,则可以将该空闲的虚拟机确定为取证虚拟机。可选地,考虑到同一时间可能有多个空闲的虚拟机,因此,调度服务在查找到多个空闲的虚拟机的情况下,可以将任意一个空闲的虚拟机确定为取证虚拟机。
步骤102,对取证虚拟机的桌面进行录制,得到录制视频数据。
在本申请实施例中,可以通过部署在服务器上的虚拟机服务对取证虚拟机的桌面进行录制,得到录制视频数据。该录制视频数据记录了用户在取证虚拟机上的每一步操作。例如,用户在取证虚拟机上完成了打开浏览器、输入网址、浏览网址的内容以及关闭浏览器四个步骤,则录制视频数据可以以视频的形式记录下这四个步骤。
可选地,上述步骤102具体包括:
实时捕获取证虚拟机的桌面;
在接收到用户终端发送的结束取证请求时,停止捕获取证虚拟机的桌面;
根据捕获到的取证虚拟机的桌面生成录制视频数据。
在本申请实施例中,为了记录操作虚拟机运行的全过程(包括重启),可以从虚拟机出现画面的时刻开始实时捕获取证虚拟机的桌面。在用户认为已经取得证据时,用户可以通过用户终端在取证平台提供的取证网站上执行用于生成结束取证请求的操作,比如点击取证网站上的指定按钮,生成结束取证请求。服务器接收到用户终端发送的结束取证请求时,停止捕获取证虚拟机的桌面。具体地,服务器上部署的虚拟机服务可以将捕获取证虚拟机的桌面的进程停止。其中,捕获到的每一帧取证虚拟机的桌面组成了录制视频数据。应理解,如果在捕获取证虚拟机的桌面的过程中,取证虚拟机还产生了声音信息(比如播放视频的声音),虚拟机服务还可以捕获该声音信息,将该声音信息和取证虚拟机的桌面组成录制视频数据。可选地,虚拟机服务还可以计算该录制视频数据的录制时长,以作为该录制视频数据的相关描述信息。
在一种可行的实施方式中,在服务器实时捕获取证虚拟机的桌面的过程中,用户还可以通过用户终端在取证平台提供的取证网站上执行用于生成截图请求的操作。服务器接收到截图请求时,可以对取证虚拟机在当前时刻的桌面进行截图,得到截图图像。该截图图像可以和录制视频数据一起添加到证据文件夹中。进一步地,在服务器实时捕获取证虚拟机的桌面的过程中,用户还可能会操作取证虚拟机从互联网上下载一些文件,因此,服务器还可以将下载的文件也加入到证据文件夹中。
步骤103,将录制视频数据的数字签名存入区块链中。
在本申请实施例中,为了保证录制视频数据的安全性,在得到录制视频数据之后,服务器可以将录制视频数据的数字签名存入指定的区块链中。该区块链对应的区块链系统中包括多个区块链节点,本申请实施例中的服务器可以向区块链系统中的任意一个区块链节点发送上链请求,以使该区块链节点将数字签名存入区块链中。其中,数字签名可以是哈希值。
可选地,上述步骤103具体包括:
A1、将录制视频数据进行压缩,得到压缩包;
A2、根据预设算法计算压缩包的数字签名;
A3、将压缩包的数字签名存入区块链中。
在本申请实施例中,服务器可以通过虚拟机服务将录制视频数据进行压缩,得到录制视频数据的压缩包。接着,可以采用预设算法计算压缩包的数字签名,例如,可以采用哈希运算计算压缩包的哈希值作为数字签名。计算得到数字签名后,服务器可以将数字签名存入区块链中。
进一步地,在得到压缩包之后,还可以将压缩包上传至预设的云平台,比如阿里云或腾讯云,同时,服务器可以保存压缩包的统一资源定位符,以使服务器后续可以根据该统一资源定位符从云平台下载该压缩包。为了避免过多的压缩包在服务器上堆积,服务器在监听到压缩包已经上传云平台后,还可以将服务器本地的压缩包删除。由于证据形成后不会保存在取证虚拟机的操作系统中,用户无法接触到证据,也就无法对证据进行篡改。
可选地,上述取证方法还包括:
获取取证虚拟机的日志;
相应地,上述步骤A1具体包括:
将日志和录制视频数据添加到证据文件夹中;
将证据文件夹进行压缩,得到压缩包。
在本申请实施例中,在取证虚拟机的运行过程中,取证虚拟机会产生日志,该日志用于记录取证虚拟机在运行过程中产生的数据。其中,日志可以包括操作系统的系统日志、服务器上的程序的操作日志以及服务器的进程日志等。系统日志用于记录操作系统运行过程中产生的日志;操作日志用于记录程序运行产生的日志,比如程序的初始化数据、程序接收到网络请求、开始压缩、开始录制桌面以及开始上传证据对应的时间;进程日志用于记录进程占用的CPU和占用的内存等。服务器可以从本地读取到日志,然后,可以将日志和录制视频数据一起添加到证据文件夹。进一步地,可以对证据文件夹进行压缩,得到压缩包。该压缩包将会上传至云平台,该压缩包的数字签名将会存入区块链。根据日志,可以判断用户在取证虚拟机上进行的操作是否都是正常操作,从而防止用户通过一些恶意操作取得虚假的证据。
可选地,上述步骤102具体包括:
使用预设的录制程序对取证虚拟机的桌面进行录制,得到录制视频数据。
在本申请实施例中,预设的录制程序具有录制功能,为了防止用户操作录制程序导致用户在取证虚拟机上的恶意操作未被录制,可以将录制程序运行于取证虚拟机的操作系统之外的内存区域。由于用户在取证虚拟机上的一切操作都需要基于取证虚拟机的操作系统来完成,而取证虚拟机的操作系统没有权限访问操作系统之外的内存区域,因此,用户无法对录制程序进行操作,也就不可能中断录制过程。在一种实施方式中,录制程序也可以运行于取证虚拟机上,但是在此种情况下,应该设置用户没有权限对录制程序进行操作。
在一种可行的实施方式中,上述取证平台、调度服务及虚拟机服务不仅可以部署在同一服务器上,为了提高处理效率,也可以分别部署在不同的服务器上,由不同的服务器共同实现本申请实施例中的取证方法。
由上可见,在本申请方案中,在接收到用户终端发送的开始取证请求时,触发服务器上的取证虚拟机与上述用户终端进行远程桌面连接,以指示上述用户终端的用户通过上述远程桌面连接操作上述取证虚拟机,然后对上述取证虚拟机的桌面进行录制,得到录制视频数据,最后将上述录制视频数据的数字签名存入区块链中。本申请方案通过取证虚拟机与用户终端进行远程桌面连接,使用户可以通过用户终端操作取证虚拟机进行取证,并录制取证虚拟机的桌面以监控用户的篡改操作;在取得证据后,服务器不会将录制视频数据直接发送至用户终端,而是将录制视频数据的数字签名存入区块链。通过上述方法,可以使取得的证据不容易被篡改,保证了证据的真实性和可信度。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
图2示出了本申请实施例提供的一种取证装置的结构框图,该取证装置应用于服务器,为了便于说明,仅示出了与本申请实施例相关的部分。
该取证装置200包括:
触发单元201,用于在接收到用户终端发送的开始取证请求时,触发上述服务器上的取证虚拟机与上述用户终端进行远程桌面连接,以指示上述用户终端的用户通过上述远程桌面连接操作上述取证虚拟机;
录制单元202,用于对上述取证虚拟机的桌面进行录制,得到录制视频数据;
存储单元203,用于将上述录制视频数据的数字签名存入区块链中。
可选地,上述取证装置200还包括:
查找单元,用于在上述服务器上的所有虚拟机中,查找空闲的虚拟机;
确定单元,用于若查找到空闲的虚拟机,则将上述空闲的虚拟机确定为上述取证虚拟机。
可选地,上述取证装置200还包括:
重启单元,用于重启上述取证虚拟机,上述取证虚拟机在每次重启后均会还原为预设的初始磁盘状态。
可选地,上述录制单元202包括:
开始捕获子单元,用于实时捕获上述取证虚拟机的桌面;
停止捕获子单元,用于在接收到上述用户终端发送的结束取证请求时,停止捕获上述取证虚拟机的桌面;
数据生成子单元,用于根据捕获到的上述取证虚拟机的桌面生成上述录制视频数据。
可选地,上述存储单元203包括:
压缩子单元,用于将上述录制视频数据进行压缩,得到压缩包;
信息计算子单元,用于根据预设算法计算上述压缩包的数字签名;
信息存储子单元,用于将上述压缩包的数字签名存入上述区块链中。
可选地,上述取证装置200,还具体用于获取上述取证虚拟机的日志,上述系统日志用于记录上述取证虚拟机在运行过程中产生的数据。
可选地,上述压缩子单元还包括:
添加子单元,用于将上述日志和上述录制视频数据添加到证据文件夹中;
文件夹压缩子单元,用于将上述证据文件夹进行压缩,得到上述压缩包。
可选地,上述录制单元202,还具体用于使用预设的录制程序对上述取证虚拟机的桌面进行录制,得到上述录制视频数据,上述录制程序运行于上述取证虚拟机的操作系统之外的内存区域。
由上可见,在本申请方案中,在接收到用户终端发送的开始取证请求时,触发服务器上的取证虚拟机与上述用户终端进行远程桌面连接,以指示上述用户终端的用户通过上述远程桌面连接操作上述取证虚拟机,然后对上述取证虚拟机的桌面进行录制,得到录制视频数据,最后将上述录制视频数据的数字签名存入区块链中。本申请方案通过取证虚拟机与用户终端进行远程桌面连接,使用户可以通过用户终端操作取证虚拟机进行取证,并录制取证虚拟机的桌面以监控用户的篡改操作;在取得证据后,服务器不会将录制视频数据直接发送至用户终端,而是将录制视频数据的数字签名存入区块链。通过上述方法,可以使取得的证据不容易被篡改,保证了证据的真实性和可信度。
图3为本申请一实施例提供的服务器的结构示意图,其中,该服务器可以是服务器、台式电脑或平板电脑,此处不作限定。如图3所示,该实施例的服务器3包括:至少一个处理器30(图3中仅示出一个)、存储器31以及存储在上述存储器31中并可在上述至少一个处理器30上运行的计算机程序32,上述处理器30执行上述计算机程序32时实现以下步骤:
在接收到用户终端发送的开始取证请求时,触发上述服务器上的取证虚拟机与上述用户终端进行远程桌面连接,以指示上述用户终端的用户通过上述远程桌面连接操作上述取证虚拟机;
对上述取证虚拟机的桌面进行录制,得到录制视频数据;
将上述录制视频数据的数字签名存入区块链中。
假设上述为第一种可能的实施方式,则在第一种可能的实施方式作为基础而提供的第二种可能的实施方式中,在上述触发上述服务器上的取证虚拟机与上述用户终端进行远程桌面连接之前,上述处理器30执行上述计算机程序32时还实现以下步骤:
在上述服务器上的所有虚拟机中,查找空闲的虚拟机;
若查找到空闲的虚拟机,则将上述空闲的虚拟机确定为上述取证虚拟机。
在上述第一种可能的实施方式作为基础而提供的第三种可能的实施方式中,在上述触发上述服务器上的取证虚拟机与上述用户终端进行远程桌面连接之前,上述处理器30执行上述计算机程序32时还实现以下步骤:
重启上述取证虚拟机,上述取证虚拟机在每次重启后均会还原为预设的初始磁盘状态。
在上述第一种可能的实施方式作为基础而提供的第四种可能的实施方式中,上述对上述取证虚拟机的桌面进行录制,得到录制视频数据,包括:
实时捕获上述取证虚拟机的桌面;
在接收到上述用户终端发送的结束取证请求时,停止捕获上述取证虚拟机的桌面;
根据捕获到的上述取证虚拟机的桌面生成上述录制视频数据。
在上述第一种可能的实施方式作为基础而提供的第五种可能的实施方式中,上述将上述录制视频数据的数字签名存入区块链中,包括:
将上述录制视频数据进行压缩,得到压缩包;
根据预设算法计算上述压缩包的数字签名;
将上述压缩包的数字签名存入上述区块链中。
在上述第五种可能的实施方式作为基础而提供的第六种可能的实施方式中,上述处理器30执行上述计算机程序32时还实现以下步骤:
获取上述取证虚拟机的日志,上述日志用于记录上述用户操作上述取证虚拟机的操作信息;
相应地,上述将上述录制视频数据进行压缩,得到压缩包,包括:
将上述日志和上述录制视频数据添加到证据文件夹中;
将上述证据文件夹进行压缩,得到上述压缩包。
在上述第一种可能的实施方式作为基础而提供的第七种可能的实施方式中,上述对上述取证虚拟机的桌面进行录制,得到录制视频数据,包括:
使用预设的录制程序对上述取证虚拟机的桌面进行录制,得到上述录制视频数据,上述录制程序运行于上述取证虚拟机的操作系统之外的内存区域。
上述服务器3可包括,但不仅限于,处理器30、存储器31。本领域技术人员可以理解,图3仅仅是服务器3的举例,并不构成对服务器3的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器30可以是中央处理单元(Central Processing Unit,CPU),该处理器30还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
上述存储器31在一些实施例中可以是上述服务器3的内部存储单元,例如服务器3的硬盘或内存。上述存储器31在另一些实施例中也可以是上述服务器3的外部存储设备,例如上述服务器3上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,上述存储器31还可以既包括上述服务器3的内部存储单元也包括外部存储设备。上述存储器31用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如上述计算机程序的程序代码等。上述存储器31还可以用于暂时地存储已经输出或者将要输出的数据。
由上可见,在本申请方案中,在接收到用户终端发送的开始取证请求时,触发服务器上的取证虚拟机与上述用户终端进行远程桌面连接,以指示上述用户终端的用户通过上述远程桌面连接操作上述取证虚拟机,然后对上述取证虚拟机的桌面进行录制,得到录制视频数据,最后将上述录制视频数据的数字签名存入区块链中。本申请方案通过取证虚拟机与用户终端进行远程桌面连接,使用户可以通过用户终端操作取证虚拟机进行取证,并录制取证虚拟机的桌面以监控用户的篡改操作;在取得证据后,服务器不会将录制视频数据直接发送至用户终端,而是将录制视频数据的数字签名存入区块链。通过上述方法,可以使取得的证据不容易被篡改,保证了证据的真实性和可信度。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将上述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述计算机程序被处理器执行时实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在服务器上运行时,使得服务器执行上述各个方法实施例中的步骤。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。上述计算机可读介质至少可以包括:能够将计算机程序代码携带到服务器的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/网络设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/网络设备实施例仅仅是示意性的,例如,上述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种取证方法,其特征在于,应用于服务器,包括:
在接收到用户终端发送的开始取证请求时,触发所述服务器上的取证虚拟机与所述用户终端进行远程桌面连接,以指示所述用户终端的用户通过所述远程桌面连接操作所述取证虚拟机;
对所述取证虚拟机的桌面进行录制,得到录制视频数据;
将所述录制视频数据的数字签名存入区块链中。
2.根据权利要求1所述的取证方法,其特征在于,在所述触发所述服务器上的取证虚拟机与所述用户终端进行远程桌面连接之前,还包括:
在所述服务器上的所有虚拟机中,查找空闲的虚拟机;
若查找到空闲的虚拟机,则将所述空闲的虚拟机确定为所述取证虚拟机。
3.根据权利要求1所述的取证方法,其特征在于,在所述触发所述服务器上的取证虚拟机与所述用户终端进行远程桌面连接之前,还包括:
重启所述取证虚拟机,所述取证虚拟机在每次重启后均会还原为预设的初始磁盘状态。
4.根据权利要求1所述的取证方法,其特征在于,所述对所述取证虚拟机的桌面进行录制,得到录制视频数据,包括:
实时捕获所述取证虚拟机的桌面;
在接收到所述用户终端发送的结束取证请求时,停止捕获所述取证虚拟机的桌面;
根据捕获到的所述取证虚拟机的桌面生成所述录制视频数据。
5.根据权利要求1所述的取证方法,其特征在于,所述将所述录制视频数据的数字签名存入区块链中,包括:
将所述录制视频数据进行压缩,得到压缩包;
根据预设算法计算所述压缩包的数字签名;
将所述压缩包的数字签名存入所述区块链中。
6.根据权利要求5所述的取证方法,其特征在于,所述取证方法还包括:
获取所述取证虚拟机的日志,所述日志用于记录所述取证虚拟机在运行过程中产生的数据;
相应地,所述将所述录制视频数据进行压缩,得到压缩包,包括:
将所述日志和所述录制视频数据添加到证据文件夹中;
将所述证据文件夹进行压缩,得到所述压缩包。
7.根据权利要求1所述的取证方法,其特征在于,所述对所述取证虚拟机的桌面进行录制,得到录制视频数据,包括:
使用预设的录制程序对所述取证虚拟机的桌面进行录制,得到所述录制视频数据,所述录制程序运行于所述取证虚拟机的操作系统之外的内存区域。
8.一种取证装置,其特征在于,应用于服务器,包括:
触发单元,用于在接收到用户终端发送的开始取证请求时,触发所述服务器上的取证虚拟机与所述用户终端进行远程桌面连接,以指示所述用户终端的用户通过所述远程桌面连接操作所述取证虚拟机;
录制单元,用于对所述取证虚拟机的桌面进行录制,得到录制视频数据;
存储单元,用于将所述录制视频数据的数字签名存入区块链中。
9.一种服务器,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011465847.9A CN112714351A (zh) | 2020-12-14 | 2020-12-14 | 一种取证方法、取证装置及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011465847.9A CN112714351A (zh) | 2020-12-14 | 2020-12-14 | 一种取证方法、取证装置及服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112714351A true CN112714351A (zh) | 2021-04-27 |
Family
ID=75541904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011465847.9A Pending CN112714351A (zh) | 2020-12-14 | 2020-12-14 | 一种取证方法、取证装置及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112714351A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113591080A (zh) * | 2021-06-16 | 2021-11-02 | 盐城一方信息技术有限公司 | 一种计算机网络安全控制系统及控制方法 |
| CN115174571A (zh) * | 2022-06-28 | 2022-10-11 | 蚂蚁区块链科技(上海)有限公司 | 基于区块链的用于录屏取证的方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005008385A2 (en) * | 2003-07-07 | 2005-01-27 | Cryptography Research, Inc. | Reprogrammable security for controlling piracy and enabling interactive content |
| CN103095700A (zh) * | 2013-01-10 | 2013-05-08 | 公安部第三研究所 | 基于虚拟桌面的电子数据取证系统及取证控制的方法 |
| CN105933415A (zh) * | 2016-04-21 | 2016-09-07 | 国家计算机网络与信息安全管理中心 | 一种基于vnc代理的云计算环境中虚拟机在线录屏方法与系统 |
| CN110535660A (zh) * | 2019-09-03 | 2019-12-03 | 杭州趣链科技有限公司 | 一种基于区块链的取证服务系统 |
| CN111159474A (zh) * | 2020-04-03 | 2020-05-15 | 腾讯科技(深圳)有限公司 | 基于区块链的多线取证方法、装置、设备及存储介质 |
| CN211628199U (zh) * | 2020-04-17 | 2020-10-02 | 北京科翔四方科技有限公司 | 一种vr智能微宣一体机 |
-
2020
- 2020-12-14 CN CN202011465847.9A patent/CN112714351A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005008385A2 (en) * | 2003-07-07 | 2005-01-27 | Cryptography Research, Inc. | Reprogrammable security for controlling piracy and enabling interactive content |
| CN103095700A (zh) * | 2013-01-10 | 2013-05-08 | 公安部第三研究所 | 基于虚拟桌面的电子数据取证系统及取证控制的方法 |
| CN105933415A (zh) * | 2016-04-21 | 2016-09-07 | 国家计算机网络与信息安全管理中心 | 一种基于vnc代理的云计算环境中虚拟机在线录屏方法与系统 |
| CN110535660A (zh) * | 2019-09-03 | 2019-12-03 | 杭州趣链科技有限公司 | 一种基于区块链的取证服务系统 |
| CN111159474A (zh) * | 2020-04-03 | 2020-05-15 | 腾讯科技(深圳)有限公司 | 基于区块链的多线取证方法、装置、设备及存储介质 |
| CN211628199U (zh) * | 2020-04-17 | 2020-10-02 | 北京科翔四方科技有限公司 | 一种vr智能微宣一体机 |
Non-Patent Citations (2)
| Title |
|---|
| 郭扬帆,魏书山: "《大数据安全与隐私保护》", 北京邮电大学出版社 * |
| 雷莉,何毅琦: "《网络与高新技术法律前沿》", 31 December 2019, 上海交通大学出版社 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113591080A (zh) * | 2021-06-16 | 2021-11-02 | 盐城一方信息技术有限公司 | 一种计算机网络安全控制系统及控制方法 |
| CN115174571A (zh) * | 2022-06-28 | 2022-10-11 | 蚂蚁区块链科技(上海)有限公司 | 基于区块链的用于录屏取证的方法及装置 |
| CN115174571B (zh) * | 2022-06-28 | 2024-05-31 | 蚂蚁区块链科技(上海)有限公司 | 基于区块链的用于录屏取证的方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107729352B (zh) | 页面资源加载方法及终端设备 | |
| CN106302337B (zh) | 漏洞检测方法和装置 | |
| CN108965950B (zh) | 一种广告监测方法和装置 | |
| CN109766725B (zh) | 一种数据处理方法、设备、智能终端及计算机可读介质 | |
| WO2014106489A1 (zh) | 浏览器崩溃信息的处理方法及系统 | |
| CN111597388B (zh) | 基于分布式系统的样本采集方法、装置、设备及介质 | |
| WO2014111022A1 (zh) | 一种移动终端用户信息的显示方法、移动终端和服务系统 | |
| CN112799925A (zh) | 数据采集方法、装置、电子设备和可读存储介质 | |
| Tso et al. | iPhone social networking for evidence investigations using iTunes forensics | |
| CN112714351A (zh) | 一种取证方法、取证装置及服务器 | |
| JP6182267B2 (ja) | コンピュータに実行される、証拠となる視聴覚情報および/またはマルチメディア情報の収集方法、およびコンピュータプログラム | |
| CN106911666B (zh) | 一种可穿戴智能设备及其消息处理方法、系统 | |
| CN111813418B (zh) | 分布式链路跟踪方法、装置、计算机设备及存储介质 | |
| CN112131085A (zh) | 互联网业务过程记录与回放的方法、系统及装置 | |
| CN114979109B (zh) | 行为轨迹检测方法、装置、计算机设备和存储介质 | |
| CN116132625A (zh) | 交易流程的监管方法和装置 | |
| CN112135199B (zh) | 基于多类型视频源的视频播放方法及相关设备 | |
| CN111400137B (zh) | 监测事件的存储方法、装置、移动终端和存储介质 | |
| CN114465738A (zh) | 应用程序的取证方法、系统、设备及存储介质 | |
| CN113596600A (zh) | 直播嵌入程序的安全管理方法、装置、设备及存储介质 | |
| CN113610581A (zh) | 一种广告监测的方法、装置及终端 | |
| CN112579960A (zh) | 一种网页取证方法、网页取证装置及服务器 | |
| CN106845202B (zh) | 用于人脸识别系统的文件存取方法、装置和系统 | |
| CN112800130A (zh) | 数据上链方法、系统、装置、设备和存储介质 | |
| CN117290840B (zh) | 浏览器审计方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210427 |
|
| RJ01 | Rejection of invention patent application after publication |