CN1855086A - 一种分析和提取数字证据的取证分析系统和方法 - Google Patents
一种分析和提取数字证据的取证分析系统和方法 Download PDFInfo
- Publication number
- CN1855086A CN1855086A CN 200510011634 CN200510011634A CN1855086A CN 1855086 A CN1855086 A CN 1855086A CN 200510011634 CN200510011634 CN 200510011634 CN 200510011634 A CN200510011634 A CN 200510011634A CN 1855086 A CN1855086 A CN 1855086A
- Authority
- CN
- China
- Prior art keywords
- analysis
- evidence
- file
- forensics
- digital
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种提取与分析数字证据的取证分析系统,所述系统包括:证据保护层,用于在分析证据之前对待分析证据进行保护,防止在分析和提取数字证据时对证据造成修改或者破坏;证据分析层,用于分析和提取取证分析对象所包含的数字证据;证据表现层,用于在证据分析的基础上,为用户提供查询和查看的操作接口和界面,并提取和表示取证分析对象中被认定为数字证据的数据。本发明在不对证据造成任何破坏的情况下识别、收集和分析数字证据,可有效地保证经本系统所收集和分析的数字证据的可靠性、可信性。采用本发明的系统和方法,可以证明数字证据的原始特性,并能得到可靠的分析结论。
Description
技术领域
本发明涉及一种对存在于计算机和相关外设中的数字证据进行分析和提取的专用系统和方法。采用本发明可以分析和提取大量数字证据,并且分析和提取的数字证据具有足够的可靠性,能够满足法律规定的要件,为法院所接受。
背景技术
随着信息技术的不断发展,计算机越来越多的参与到人们的工作与生活中,与计算机相关的案例(如电子商务纠纷,计算机犯罪等)也不断出现。
据美国AB联合会调查和专家估计,美国每年因计算机犯罪所造成的经济损失高达150亿美元。据英国警方公布的一项调查报告显示,2003年网络犯罪给英国大公司造成了巨大经济损失。英国全国防止高技术犯罪机构的报告说,在接受调查的英国最大的201家公司中,有83%的公司表示去年遭受过某种形式的网络犯罪危害,由此造成的停工、生产效率降低以及对其品牌和股票产生的破坏作用带来的经济损失达1.95亿英镑。据美国互联网犯罪投诉中心(IC3)最新的数据显示,2003年是各类网络犯罪最多的一年,该中心去年一共接到了12万多件网络犯罪投诉,比2002年的7.5万件投诉增加了60%。俄罗斯2003年网络犯罪增长一倍,发展最快的几种形式为:非法信息访问,盗版软件传播和对金融机构的攻击。据有关部门统计,我国公安机关2002年共受理各类信息网络违法犯罪案件6633起,比2001年增长45.9%,其中利用计算机实施的违法犯罪案件5301起,占案件总数的近80%。
存在于计算机、网络以及相关外围设备中的数字证据逐渐成为新的诉讼证据之一。大量的计算机犯罪(包括商业机密信息的窃取和破坏,计算机欺诈,对政府、军事和金融网站的破坏等)案例的取证工作需要提取存在于计算机系统与网络中的数据,甚至需要从已被删除、加密或破坏的文件中重新获取信息。
计算机证据和取证过程的许多有别于传统物证和取证方法的特点,对司法和计算机科学领域都提出了新的研究课题。作为计算机与网络领域和法学领域的一门交叉科学:计算机取证正逐渐成为人们研究与关注的焦点。计算机取证就是指对能够为法院接受的、足够可靠和有说服性的,存在于计算机和相关外设中的数字证据的确认、保护、提取和归档的过程。
与传统的证据相比,数字证据具有以下突出的特点。
1.容易被改变或删除,并且改变后不容易被发觉;
传统证据如书面文件可以长久保存,如果有改动或添加,都会留有痕迹,通常不难察觉,如有疑问可由专家通过成熟的司法鉴定技术加以鉴别。而数字证据与传统证据不同,它们多以磁性介质为载体。由于磁性介质保存的数据内容可以被改动,并且不易留下痕迹,因此数字证据的真实性和安全性都存在疑问,一旦发生争议,这种数字证据难以在诉讼或仲裁中被采纳为合法的证据。
2.多种格式的存贮方式;
数字证据以计算机为载体,其实质是以一定格式储存在计算机硬盘、软盘或CDROM等储存介质上的二进制代码,它的形成和还原都要借助相应的计算机设备。
3.易损毁性;
计算机信息最终都是用二进制数字表示的,以数字信号的方式存在,而数字信号是非连续性的,因此对数字证据进行截收、监听、删节、剪接等操作,从直观上讲无法查清。
4.高科技性。
计算机是现代化的计算、通信工具和信息处理工具,其证据的产生、储存和传输都必须借助于计算机软硬件技术、存储技术、网络技术等,离开了高科技含量的技术设备,数字证据无法保存和传输。如果没有外界的蓄意篡改或差错的影响,数字证据就能准确的储存并反映有关案件的情况。正是以这种高技术为依托,使它很少受主观因素的影响,其精确性决定了数字证据具有较强的证明力。而数字证据的收集和审查判断,往往需要一定的科学技术,甚至是尖端的科学技术,并且伴随科技的发展进程会不断的更新、变化。
与传统证据一样,数字证据必须是:
一方面数据证据自身具有容易改变、容易丢失的本质特点,另一方面法律又要求数字证据具有极高的可靠性和可信性,这就对数字证据的分析和提取提出了极高的要求,数字证据的分析和提取必须保证证据的可靠性、一致性、准确性和时效性。同时,由于数字证据具有高科技特性,因此为了快速、高效的分析和提取更多数字证据也需要采用专门技术。
发明内容
针对数字证据容易改变、容易丢失,并且改变或丢失后不容易被发觉的特点,本发明致力于解决数字证据的分析与提取问题。为此,本发明要解决的技术问题在于提供一种提取与分析数字证据的取证分析系统,一方面保证能够快速、高效的分析和提取更多的数字证据,另一方面还能保证数字证据分析和提取过程中的可靠性、一致性、准确性和时效性。
本发明要解决的技术问题还在于提供一种提取与分析数字证据的方法。采用本发明,一方面保证能够快速、高效的分析和提取更多的数字证据,另一方面还能保证数字证据分析和提取过程中的可靠性、一致性、准确性和时效性。
本发明所述提取与分析数字证据的取证分析系统,可以分为三个功能层,每层又包含多个功能模块。三个功能层分别是证据保护层,证据分析层,证据表现层,其中证据保护层包括虚拟硬盘模块和哈希签名模块以及访问控制模块,证据分析层包括证据分析引擎,证据表现层包括本地分析界面模块和远程分析界面模块。
证据保护层的作用是在分析证据之前对证据进行保护,防止在分析和提取数字证据时对证据造成修改或者破坏,从而保证证据及其分析过程的可靠性和可信性。其中:
虚拟硬盘模块将取证分析对象虚拟成一个只读的硬盘驱动器,拒绝任何对其的修改行为。哈希签名模块为取证分析对象生成签名,该签名具有唯一性并且签名的过程具有不可逆性,所以通过检验该签名模块可以确认取证分析对象是否有变化。只要取证分析对象有哪怕一个位有变化,哈希签名都可以检查出来。访问控制模块对访问进行有效地管理和控制,防止对取证分析对象造成有意或者无意的破坏。
证据分析层的作用是分析和提取取证分析对象所包含的数字证据。证据分析引擎是整个取证分析层的核心,它主要完成证据分析工作。证据分析引擎采用技术先进的取证分析方法,对取证对象进行方方面面的分析,从而深入挖掘取证对象中的蛛丝马迹。
证据表现层在证据分析的基础上,为用户提供查询和查看的操作接口和界面,并提取和表示取证分析对象中被认定为数字证据的数据。其中本地分析界面模块提供本机上的操作界面。远程分析界面模块提供远程的操作界面,从而使取证分析专家可以通过本系统进行远程的诊断和分析,并提取相关证据。
本发明所述通过取证分析系统分析和提取数字证据的方法,包括如下步骤:
步骤一,用户通过分析界面登录本发明所述取证分析系统,接受系统的身份验证和权限分配;分析界面包括两类:本地分析界面或者远程分析界面;
步骤二,使用哈希签名功能,为取证分析对象(原始分析源)创建一个唯一的哈希签名,用于保证取证分析对象的完整性;
步骤三,使用虚拟硬盘功能,将取证分析对象以虚拟硬盘的形式加载到取证分析系统中;
步骤四,使用证据分析引擎提供的各种证据分析手段,从不同层面分析取证分析对象中的各种数据;
步骤五,将认定为数字证据的数据完整的提取出来,并为其创建哈希签名,以此作为分析报告的附件内容。
如上所述的分析和提取数字证据的方法,还包括,在分析结束时,对取证分析对象的哈希签名进行校验,以确认分析过程是否对取证分析对象造成了修改或者破坏。
本发明从整体上提供了一种分析与提取数字证据的技术解决方案,可有效地保证经本系统分析和提取的数据证据具有可靠性和可信性,并且保证能够快速、高效的分析和提取更多的数字证据。采用本发明的系统和方法,通过哈希签名技术和虚拟硬盘技术,以保证取证分析对象的保持原始状态,没有被修改或者变化。本发明还提供包含各种技术先进的取证分析方法的证据分析引擎,以快速、高效的分析和提取更多的数字证据。
附图说明
图1为本发明所述分析和提取数字证据系统的原理框图;
图2为本发明所述分析和提取数字证据方法的流程图;
图3为身份认证的流程图;
图4为访问控制的原理图;
图5为哈希签名算法的原理图;
图6为哈希签名算法运算过程图;
图7为哈希签名算法的流程图;
图8为虚拟硬盘的原理图;
图9为计算机证据分析引擎的层次结构图。
具体实施方式
图1给出的是本发明所述的分析和提取数字证据的系统,从图1中可以看出,本发明所述分析和提取数字证据的系统,包括三个功能层,每层又包含多个功能模块。三个功能层分别是证据保护层,证据分析层,证据表现层,其中证据保护层包括虚拟硬盘模块和哈希签名模块以及访问控制模块,证据分析层包括证据分析引擎,证据表现层包括本地分析模块和远程分析模块。
如图1所示,证据保护层的作用是在分析证据之前对证据进行保护,防止在分析和提取数字证据过程中对证据造成修改或者破坏,从而保证证据及其分析过程的原始可靠性和可信性。其中虚拟硬盘模块将取证分析对象虚拟成一个只读的硬盘驱动器,拒绝任何对其的修改行为。哈希签名模块为取证分析对象生成签名,该签名具有唯一性并且签名的过程具有不可逆性,所以通过检验该哈希签名模块可以确认取证分析对象是否有变化。只要取证分析对象有哪怕一个位有变化,哈希签名都可以检查出来。访问控制模块对访问进行有效地管理和控制,防止对取证分析对象造成有意或者无意的破坏。
证据分析层的作用是分析和提取取证分析对象所包含的数字证据。其中证据分析引擎是整个取证分析层的核心,它主要完成证据分析工作。证据分析引擎通过将取证分析分为文件系统层,文件层以及应用层,对取证对象进行全方位的分析,从而深入挖掘取证对象中的蛛丝马迹。
证据表现层在证据分析的基础上,为用户提供查询和查看的操作接口和界面,并提取和表示取证分析对象中被认定为数字证据的数据。其中本地分析界面模块提供本机上的操作界面。远程分析界面模块提供远程的操作界面,从而使取证分析专家可以通过本系统进行远程的诊断和分析,并提取相关证据。
图2给出的是本发明所述通过取证分析系统分析和提取数字证据方法的流程图,该方法包括如下步骤:
步骤一,用户通过取证分析界面登录本发明所述取证分析系统,接受系统的身份验证和权限分配;分析界面包括两类:本地分析界面或者远程分析界面;
步骤二,使用哈希签名功能,为原始证据创建一个唯一的哈希签名;
步骤三,使用虚拟硬盘功能,将原始证据以虚拟硬盘的形式加载到取证分析系统中;
步骤四,使用证据分析引擎提供的各种证据分析手段,从不同层面分析原始证据中的各种数据;
步骤五,将认定为数字证据的数据完整的提取出来,并为其创建哈希签名;
步骤六,在分析结束时,对原始证据的哈希签名进行校验,以确认分析过程是否对原始证据造成了修改或者破坏。
取证分析界面
取证分析界面包括本地取证分析界面和远程取证分析界面两种类型。其中本地分析界面模块提供本机上的操作界面。远程分析界面模块提供远程的操作界面,从而使取证分析专家可以通过本系统进行远程的诊断和分析,并提取相关证据。
本地取证分析界面和证据分析引擎工作可设置在同一台计算机上,以充分利用Windows下丰富的应用程序资源,其虽然不能透过网络进行协作分析。但可直接在单机上进行操作,这也省去了网络传输的时间开销。
针对本地分析界面的特点,将取证分析模块通过Windows的消息机制集成起来,在发现需要进行相应的分析时,直接调用对应的模块。
远程取证分析界面采用B/S结构,通过取证分析服务器提供WWW方式的操作界面,使远程的计算机取证分析人员也可以参与取证工作。为了确保数据安全,传输协议采用https(Hypertext Transfer Protoco1 Secure安全超文本传输协议)而不是http(Hypertext Transfer Protocol超文本传输协议)来,并且只向拥有特定证书的取证分析人员开放。
身份认证和访问控制
为了保证证据的安全性以及证据的保密性,防止证据被非法破坏和查看,本系统除了采用常规的安全加固和监控外,还采用身份认证和访问控制方法对用户的登录和操作权限进行管理,并对通信过程进行加密。
身份认证采用公钥证书而非常规的账号/口令方式来认证用户身份,并且采用智能卡来存储登录用的私钥和证书,以确保密钥的安全。如图3所示,身份认证的过程就是分析界面端与分析服务器端的一个信息交互过程,具体的步骤如下:
【步骤1】
分析界面端:向分析服务器端发起连接请求,并提供加密算法,密钥交换算法和摘要算法以供分析服务器端选择,从而协商认证方法。
【步骤2】
分析服务器端:根据分析界面端发来的信息,确定加密算法,密钥交换算法和摘要算法,并把证书发给分析界面端。
【步骤3】
分析界面端:查看证书上分析服务器端的名字是否无误,并通过手头的CA的证书验证分析服务器的证书的真实性,如果其中一项有误,发出警告并断开连接,这一步保证分析服务器端的公钥的真实性。将秘密消息进行处理,生成加密密钥。这一步,由于用了分析服务器端的公钥,保证了第三方无法窃听。
【步骤4】
分析服务器端:用自己的私钥将分析界面端发来的秘密消息解密出来,然后将秘密消息进行处理,生成加密密钥。
【步骤5】
开始通信,传输操作命令和数据。
访问权限的控制原理如图4所示。磁盘映像、分区、目录和文件均视为被访问对象,而取证分析系统中的用户和用户组均视为访问者。每个被访问对象有一个访问权限列表,描述了不同访问者对该对象的访问权限。由于硬盘中的文件和目录数量庞大,逐个设置权限没有可操作性,因此访问权限的设置按磁盘映像、分区、目录、子目录、文件的顺序逐层传递。当访问者不在被访问对象的权限列表中时,访问控制模块逐级地在上层被访对象中寻找包含该访问者的权限列表,直到找到或到达最顶层被访问对象为止。
哈希签名与校验方法
哈希签名与校验方法采用哈希签名算法实现。
哈希签名算法是对任意长度的数据进行多次循环迭代的散列运算,最终形成16Byte报文摘要。这个摘要对文本具有唯一性,可作为认证码。在当前计算机的计算速度下,这个摘要是难于破解的。
哈希签名算法对消息分组依次迭代。第1次运算的初始值为ABCD,以后每一次迭代运算的结果都替换ABCD作为下一次的初始值,共经过64次的迭代运算,就得到该消息的报文摘要,如图5所示。
对每一消息分组的运算方法是相同的。首先把初始值ABCD放入变量abcd,然后进行4轮相似的运算变换,每轮包含16次操作。每次操作对其中的3个变量(4字节)bcd做1次非线性运算,将其结果加上变量a,一个消息子分组Mi,一个常数Ti;将所得结果向环移一个不定的数Si,再加变量b,然后用该结果取代变量a,变换abcd<=dabc,进入下一次运算,共16次,如图6所示。4轮运算结束后,把变量abcd与初始ABCD进行“异或”运算,其结果将作为下一分组的初始值。
计算公式如下:
第1轮:SUB_FF(a,b,c,d,Mi,Si,Ti):a<=b+((a+F(b,c,d)+Mi+Ti)<<<Si)
第2轮:SUB_GG(a,b,c,d,Mi,Si,Ti):a<=b+((a+G(b,c,d)+Mi+Ti)<<<Si)
第3轮:SUB_HH(a,b,c,d,Mi,Si,Ti):a<=b+((a+H(b,c,d)+Mi+Ti)<<<Si)
第4轮:SUB_II(a,b,c,d,Mi,Si,Ti):a<=b+((a+I(b,c,d)+Mi+Ti)<<<Si)
数据交换规则:a,b,c,d→d,a,b,c→c,d,a,b,→b,c,d,a
最终:ABCD<=ABCD+abcd
其中,Mi为16个信息子包,每个4字节;Ti为4字节常数;Si为左移位数;abcd为32位变量;初始值为ABCD。
函数:F(X,Y,Z)=X & Y|NOT(X) & Z
G(X,Y,Z)=X & Z|Y & not(Z)
H(X,Y,Z)=X xor Y xor Z
I(X,Y,Z)=Y xor (X|not(Z))
哈希签名算法的流程如图7。
虚拟硬盘
计算机取证分析工作的涉及面是非常广的,任何计算机取证分析工具都不能完全满足计算机取证工作的全部需要,必须有一种技术使其它应用程序如硬盘修复程序、杀毒软件、解密工具、破解工具等能够直接访问磁盘映像中的数据。
现代操作系统如Linux和Windows 2000允许通过设备驱动程序,将硬盘映像文件虚拟为一个物理驱动器。虚拟的硬盘驱动器与原始的硬盘驱动器具有相同的分区表、未分区空间、已删除文件和文件间隙等特征,完全等同于直接分析原始硬盘驱动器。
通过安装一个定制的内核,并执行配套的装载工具,可将磁盘映像文件映射为/dev/目录下的一个设备,之后操作系统就能识别其中的分区,可以使用操作系统的分区和挂接工具对这个虚拟硬盘进行操作。
Windows下的虚拟硬盘驱动器工作方式与上述的相似,其基本结构如图8。
虚拟硬盘驱动器弥补了浏览器界面在操作上灵活性方面的不足,使取证分析工作者无须导出文件,就可以在本地或网络协作环境下使用尽可能多的工具来分析可疑硬盘上的数据。
证据分析引擎
根据计算机取证分析的特点,本发明通过引入证据分析引擎,将计算机取证分析分为三个抽象层,分别为文件系统层,文件层以及应用层,如图9所示。
第二层为文件层,主要处理文件格式的问题,比如加解密、文件格式识别等。
按照上述计算机取证分析的层次结构,计算机证据分析引擎的分析功能如下。
√根据各种文件系统的不同对磁盘上的文件进行恢复
√对文件间隙(File slack)和未分配空间(FreeSpace)进行分析
√对提取的证据类型进行自动分类
√识别文件的真实格式并对其进行查找等处理
√自动对压缩文件中的内容进行操作
√建立文件的全文检索索引
应用层的取证分析如下:
√在全盘、全分区、全文件中进行检索和查找
√解读电子邮件文件
√识别和分析浏览器的历史记录、缓存和书签
√分析和查看系统日志
√分析和查看Windows注册表
√分析和查看下载工具的下载记录
√分析和查看系统配置
综上所述,并结合图1和图2,利用本发明进行一次完整地取证分析过程如下:
假定用户期望的取证分析结果能够体现绝大多数证据分析对象中的异常。
首先,用户可以为原始证据制作证据分析副本,通常情况下,这个可信的分析副本是一个某种格式的经过哈希计算的镜像文件,也可以直接对原始证据进行分析。用户在通过本地/远程分析界面模块和访问控制模块对该证据分析副本进行分析之前,要使用哈希签名模块对其进行哈希校验,以确认要分析的副本与原始证据完全一致,如果是直接对原始证据进行分析,那末也需要对该原始证据进行哈希签名,通过对原始证据分析前后的哈希签名,来确认原始证据没有在分析中被破坏。
其次,由证据分析引擎模块对该分析副本进行智能化、自动化的分析前预处理,将给出绝大部分用户期望得到的结果,包括有以下方面:
自动对压缩文件中的内容进行操作;
建立文件的全文检索索引;
提取所有文件的MAC数据;
分析和查看系统日志,给出处理结果;
分析和查看下载工具的下载记录;
分析和查看系统配置。
如果通过证据分析引擎的自动处理,用户没有发现感兴趣的资料,那么,用户还可以通过该引擎提供的二进制检索功能或是二进制浏览功能来自行查找信息。同时,用户还能够通过使用本系统提供的虚拟硬盘模块,来向第三方软件提供分析接口。
虽然本发明已经根据所示的实施例做了上述描述,但本领域的普通技术人员会很容易理解实施例的变化和本发明的精神和范围内的变化。因此,本领域的普通技术人员可以在不背离本发明的精神和范围下进行许多变型。
Claims (13)
1、一种提取与分析数字证据的取证分析系统,其特征在于,包括:
证据保护层,用于在分析证据之前对待分析证据进行保护,防止在分析和提取数字证据时对证据造成修改或者破坏;
证据分析层,用于分析和提取取证分析对象所包含的数字证据;
证据表现层,用于在证据分析的基础上,为用户提供查询和查看的操作接口和界面,并提取和表示取证分析对象中被认定为数字证据的数据。
2、根据权利要求1所述的取证分析系统,其特征在于,所述证据保护层包括:
一虚拟硬盘模块,用于将取证分析对象虚拟成一个只读的硬盘驱动器,以拒绝任何对其的修改行为;
一哈希签名模块,为取证分析对象生成签名,该签名具有唯一性并且签名的过程具有不可逆性;
访问控制模块,对访问进行有效地管理和控制,防止对取证分析对象造成有意或者无意的破坏。
3、根据权利要求1或2所述的取证分析系统,其特征在于,所述证据分析层包括一证据分析引擎,所述证据分析引擎通过将取证分析分为文件系统层,文件层以及应用层,对取证对象进行全方位的分析。
4、根据权利要求1或2所述的取证分析系统,其特征在于,所述证据表现层包括:
本地分析界面模块,用以提供本机上的操作界面;
远程分析界面模块,提供远程的操作界面,以便使身处异地的分析人员进行远程诊断和分析,并提取相关证据。
5、根据权利要求3所述的取证分析系统,其特征在于,在所述证据分析引擎中,所述文件系统层,主要处理文件系统中的文件和目录,对文件系统进行识别和分析,得到文件的目录、文件名、文件等信息;所述文件层,主要用来处理如加解密、文件格式识别等文件格式的问题;所述应用层,用于对文件内容进行分析和处理。
6、一种分析和提取数字证据的方法,其特征在于,包括如下步骤:
步骤一,用户通过分析界面登录本发明所述取证分析系统,接受系统的身份验证和访问权限分配;分析界面包括两类:本地分析界面或者远程分析界面;
步骤二,使用哈希签名功能,为原始分析源即分析对象创建唯一的哈希签名,用于保证取证分析对象的完整性;
步骤三,使用虚拟硬盘功能,将取证分析对象以虚拟硬盘的形式加载到取证分析系统中;
步骤四,使用取证分析引擎提供的各种证据分析手段,从不同层面分析取证分析对象中的各种数据;
步骤五,将认定为数字证据的数据完整的提取出来,并为其创建哈希签名,以此作为分析报告的附件内容。
7、根据权利要求6所述的分析和提取数字证据的方法,其特征在于,还包括:在分析结束时,对取证分析对象的哈希签名进行校验,以确认分析过程是否对取证分析对象造成了修改或者破坏。
8、根据权利要求6所述的分析和提取数字证据的方法,其特征在于,所述步骤一中的身份认证,包括如下步骤:
分析界面端:向分析服务器端发起连接请求,并提供加密算法,密钥交换算法和摘要算法以供分析服务器端选择,从而协商认证方法;
分析服务器端:根据分析界面端发来的信息,确定加密算法,密钥交换算法和摘要算法,并把证书发给分析界面端;
分析界面端:查看证书上分析服务器端的名字是否无误,并通过已有的CA证书验证分析服务器的证书的真实性,如果其中一项有误,发出警告并断开连接,将秘密消息进行处理,生成加密密钥;
分析服务器端:用自己的私钥将分析界面端发来的秘密消息解密出来,然后将秘密消息进行处理,生成加密密钥;
开始通信,传输操作命令和数据。
9、根据权利要求6、7或8所述的分析和提取数字证据的方法,其特征在于,所述访问权限,其设置按磁盘映像、分区、目录、子目录、文件的顺序逐层传递,当访问者不在被访问对象的权限列表中时,逐级地在上层被访对象中寻找包含该访问者的权限列表,直到找到或到达最顶层被访问对象为止。
10、根据权利要求6、7或8所述的分析和提取数字证据的方法,其特征在于,所述使用取证分析引擎提供的各种证据分析手段,是将计算机取证分析分为三个抽象层,即文件系统层,文件层以及应用层。
11、根据权利要求10所述的分析和提取数字证据的方法,其特征在于,所述文件系统层的取证分析包括:
根据各种文件系统的不同对磁盘上的文件进行恢复;
对文件间隙(File slack)和未分配空间(FreeSpace)进行分析;
所述文件层的取证分析包括:
对提取的证据类型进行自动分类;
识别文件的真实格式并对其进行查找等处理;
自动对压缩文件中的内容进行操作;
建立文件的全文检索索引;
所述应用层的取证分析包括:
在全盘、全分区、全文件中进行检索和查找;
解读电子邮件文件;
识别和分析浏览器的历史记录、缓存和书签;
分析和查看系统日志;
分析和查看Windows注册表;
分析和查看下载工具的下载记录;
分析和查看系统配置。
12、根据权利要求10所述的分析和提取数字证据的方法,其特征在于,所述哈希签名通过对消息分组依次迭代,第一次运算的初始值为ABCD,以后每一次迭代运算的结果都替换ABCD作为下一次的初始值,共经过N次的迭代运算,得到该消息的报文摘要。
13、根据权利要求6、7或8所述的分析和提取数字证据的方法,其特征在于,通过在所述虚拟硬盘上安装一个定制的内核,并执行配套的装载工具,以将磁盘映像文件映射为/dev/目录下的一个设备,之后,操作系统就能识别其中的分区,可以使用操作系统的分区和挂接工具对这个虚拟硬盘进行操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100116348A CN100414540C (zh) | 2005-04-25 | 2005-04-25 | 一种分析和提取数字证据的取证分析系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100116348A CN100414540C (zh) | 2005-04-25 | 2005-04-25 | 一种分析和提取数字证据的取证分析系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1855086A true CN1855086A (zh) | 2006-11-01 |
| CN100414540C CN100414540C (zh) | 2008-08-27 |
Family
ID=37195265
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100116348A Expired - Fee Related CN100414540C (zh) | 2005-04-25 | 2005-04-25 | 一种分析和提取数字证据的取证分析系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100414540C (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101534296A (zh) * | 2009-03-24 | 2009-09-16 | 王琳 | 公开网络信息完整性、时间点存在性证明方法和系统 |
| CN102195781A (zh) * | 2011-05-30 | 2011-09-21 | 武汉理工大学 | 一种基于电子记录关联签名的电子证据取证系统 |
| CN101859349B (zh) * | 2009-04-13 | 2012-05-09 | 珠海金山软件有限公司 | 用于查杀恶意程序的文件筛选系统和文件筛选方法 |
| CN104392171A (zh) * | 2014-11-27 | 2015-03-04 | 南京大学 | 一种基于数据关联的自动内存证据分析方法 |
| CN105930092A (zh) * | 2015-02-27 | 2016-09-07 | Yec株式会社 | 多跟踪系统 |
| CN105989482A (zh) * | 2015-02-04 | 2016-10-05 | 成都天地网信息科技有限公司 | 一种数据加密方法 |
| CN109471993A (zh) * | 2018-10-09 | 2019-03-15 | 重庆易保全网络科技有限公司 | 在线实时网页取证方法、装置、存储介质及设备 |
| CN110263003A (zh) * | 2016-07-21 | 2019-09-20 | 北京源创云网络科技有限公司 | 项目文件存证方法及终端设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7370072B2 (en) * | 2002-07-08 | 2008-05-06 | Electronic Evidence Discovery, Inc. | System and method for collecting electronic evidence data |
| CN1224901C (zh) * | 2003-05-08 | 2005-10-26 | 上海交通大学 | 常用应用软件默认数据及缓冲数据勘查取证方法 |
-
2005
- 2005-04-25 CN CNB2005100116348A patent/CN100414540C/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101534296A (zh) * | 2009-03-24 | 2009-09-16 | 王琳 | 公开网络信息完整性、时间点存在性证明方法和系统 |
| CN101534296B (zh) * | 2009-03-24 | 2014-12-31 | 王琳 | 公开网络信息完整性、时间点存在性证明方法和系统 |
| CN101859349B (zh) * | 2009-04-13 | 2012-05-09 | 珠海金山软件有限公司 | 用于查杀恶意程序的文件筛选系统和文件筛选方法 |
| CN102195781A (zh) * | 2011-05-30 | 2011-09-21 | 武汉理工大学 | 一种基于电子记录关联签名的电子证据取证系统 |
| CN102195781B (zh) * | 2011-05-30 | 2013-07-10 | 武汉理工大学 | 一种基于电子记录关联签名的电子证据取证系统 |
| CN104392171A (zh) * | 2014-11-27 | 2015-03-04 | 南京大学 | 一种基于数据关联的自动内存证据分析方法 |
| CN104392171B (zh) * | 2014-11-27 | 2017-04-05 | 南京大学 | 一种基于数据关联的自动内存证据分析方法 |
| CN105989482A (zh) * | 2015-02-04 | 2016-10-05 | 成都天地网信息科技有限公司 | 一种数据加密方法 |
| CN105930092A (zh) * | 2015-02-27 | 2016-09-07 | Yec株式会社 | 多跟踪系统 |
| CN110263003A (zh) * | 2016-07-21 | 2019-09-20 | 北京源创云网络科技有限公司 | 项目文件存证方法及终端设备 |
| CN109471993A (zh) * | 2018-10-09 | 2019-03-15 | 重庆易保全网络科技有限公司 | 在线实时网页取证方法、装置、存储介质及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100414540C (zh) | 2008-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082443B2 (en) | Systems and methods for remote identification of enterprise threats | |
| US20200228562A1 (en) | Systems and methods for identifying and mapping sensitive data on an enterprise | |
| CN1286022C (zh) | 用户身份确认和授予操作权限的方法 | |
| CN1855086A (zh) | 一种分析和提取数字证据的取证分析系统和方法 | |
| US7603344B2 (en) | Methods for searching forensic data | |
| CN1256633C (zh) | 用于验证电子文档的系统和方法 | |
| US7941386B2 (en) | Forensic systems and methods using search packs that can be edited for enterprise-wide data identification, data sharing, and management | |
| CN1122213C (zh) | 给对象签名和签章的方法和设备 | |
| KR101293605B1 (ko) | 증거 데이터 수집 장치 및 그 방법 | |
| CN1761923A (zh) | 加密数据库列的方法和设备 | |
| CN1528068A (zh) | 用于计算机网络中分布式数据处理的集成式保护的方法与系统 | |
| CN1675632A (zh) | 用于对敏感数据进行安全处理的方法和设备 | |
| CN1874218A (zh) | 一种许可证管理方法、系统及装置 | |
| CN110110550A (zh) | 一种支持云存储的可搜索加密方法及系统 | |
| CN101042721A (zh) | 使用临时许可临时访问内容的方法和设备 | |
| CN1949240A (zh) | 用于计算机的电子数据取证方法和系统 | |
| CN1791114A (zh) | 网格安全通信系统及网格安全通信方法 | |
| CN100343775C (zh) | 一种许可证文件生成方法及软件产品保护方法和系统 | |
| WO2007075813A2 (en) | Enterprise-wide data identification, sharing and management, and searching forensic data | |
| CN115862895A (zh) | 一种基于互联网云平台的慢病线上问诊管理方法及装置 | |
| CN1567221A (zh) | 计算机活动监测记录系统及方法 | |
| CN114428975B (zh) | 检测数据定向共享方法、装置,存储介质及服务器 | |
| Bubaker et al. | A Systematic Mapping Study on Web services Security Threats, Vulnerabilities, and Countermeasures | |
| CN1575562A (zh) | 信息处理装置 | |
| Mambodza et al. | Android mobile forensic analyzer for stegno data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080827 |