CN104156669A - 一种计算机信息取证*** - Google Patents
一种计算机信息取证*** Download PDFInfo
- Publication number
- CN104156669A CN104156669A CN201410390529.9A CN201410390529A CN104156669A CN 104156669 A CN104156669 A CN 104156669A CN 201410390529 A CN201410390529 A CN 201410390529A CN 104156669 A CN104156669 A CN 104156669A
- Authority
- CN
- China
- Prior art keywords
- file
- subsystem
- evidence
- obtaining system
- disk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种计算机信息取证***,***包括:1)物理磁盘镜像管理子***;2)硬盘数据分类归档子***;3)文档信息提取子***;4)敏感信息按需提取子***;5)综合查询关联分析子***。本发明支持多线程、多任务、多功能同时实现数据分析,本发明能结合分析后的最终结果,提出关联算法将计算机犯罪事实重构。
Description
技术领域
本发明属于计算机电子数据取证技术领域,涉及一种计算机信息取证***。
背景技术
随着社会科技的高速发展,越来越多的人能够接触到计算机,促进了计算机的广泛普及,网络技术的快速发展,计算机逐渐成为了人们身边最不可缺少的工具,人们可以利用计算机从事和处理工作于日常工作,信息数据成为了这个时代最重要最有价值的资源,已经充分的融入到我们生活中的方方面面,人们时刻能感受到计算机发展带来的快捷方便的服务与体验。与此同时,这是由于这些个人信息数据和企业单位信息数据所具有的巨大的利益价值,各种类型的计算机犯罪铺天盖地而来,给国家和人民财产安全带来了严重的威胁。这些年来,国内外计算机犯罪案件明显增多,特别是近几年,各种计算机犯罪案件逐渐让国人知晓,计算机取证这一词汇逐渐让更多的人所熟悉。
电子证据的发现就是通过侦查和现场勘察搜集最原始的证据数据。电子证据的发现技术实际上属于侦查技术。一般的侦查技术与计算机技术相结合就形成了计算机取证技术。以电子证据的来源为标准,计算机取证技术可以分为:单机取证技术、网络取证技术和相关设备取证技术。而以计算机取证的过程为标准,计算机取证技术可以分为:证据发现技术、证据固定技术、证据提取技术、证据分析技术和证据表达技术。
如何确保取证人员搜集到的证据没有被修改过,这是计算机取证的难点之一,也属于电子证据固定的范畴。传统的方法是通过数字签名和见证人签名来保证现场勘察和侦查得到的电子证据的真实完整性。目前,美国已经针对证据固定的软件和硬件制订了详细的标准,对使用的取证工具提出了很高的标准以及对取证人员的行业行为都制订了严格的规范。
我国目前拥有将近5亿网民,位列世界第一。由于计算机在我国的普及程度如此之高,各种利用计算机犯罪的犯罪形式和犯罪手段越来越复杂,传统的取证软件和取证技术已经不能满足现代计算机犯罪调查取证的要求,如何获取准确、有效的计算机电子证据给取证人员带来了巨大的挑战。由于国内拥有自主研发专利的产品并不多见,更多的还是依靠外部引进,这对国家事务安全也构成了一定的威胁。在加上目前已存在的取证软件功能过于单一,针对性不强,对计算取证工作带来了一定的限制。因此对计算机取证技术的研究和探索工作将显得尤为重要。
发明内容
本发明的目的是提供一种具有存储介质镜像提取、保全、证据分类提取功能的计算机信息取证***。
为实现上述目的,本发明采用以下技术方案:
一种计算机信息取证***,其特征在于,***包括:1)物理磁盘镜像管理子***;2)硬盘数据分类归档子***;3)文档信息提取子***;4)敏感信息按需提取子***;5)综合查询关联分析子***。
所述物理磁盘镜像管理子***是基于C/S架构的***,服务器端部署在Linux***环境下,客户端部署在Windows***中。
所述服务器端的主要功能包括:镜像文件的接收、存储、发送与挂载;客户端主要功能包括:镜像的提取、上传、下载和写入,镜像信息的管理和证据文件的分类存储。
所述镜像文件以只读方式在镜像服务器的磁盘存储阵列中存储的,浏览查看磁盘阵列中的文件时,镜像管理器会将指定的磁盘镜像以虚拟磁盘的形式挂载到服务器上,并将虚拟磁盘以共享形式映射到指定IP地址的主机上。
所述硬盘数据分类归档子***接收从镜像服务器传递过来的磁盘参数,根据参数和分类规则读取远程映射路径下的文件,并将其分类存储到本地文件服务器上。
所述文档信息提取子***包括索引与搜索模块,磁盘文件索引的任务从tasklist中获取,人工导入文件索引任务从filesys中直接获取。
所述敏感信息按需提取子***包括邮件解析模块、IM类解析模块和网址解析模块三大模块,通过扫描filesys中的property字段,判断type字段来实现信息提取。
所述综合查询关联分析子***包括样式布局控制模块、权限管理模块、搜索模块和Ajax交互模块。
所述样式布局控制模块中用户界面使用jquery-ui的插件,管理员界面采用了easy-ui的布局及部分插件,表格采用jquery插件jqGrid展示,文件上传使用的是flash插件, 整个界面的动态采用jquery实现。
本发明的有益效果是:
(1)证据保存方便,证据提取客户端与镜像服务器间通过网络互联,不受空间影响,上传的镜像文件不受原始存储介质的类型、提取时间、提取空间的影响;
(2)所有的原始镜像文件都是在镜像服务器上以只读格式存储的,从而保证了镜像文件存储的安全性问题,而且用户对镜像和证据文件的浏览和使用是通过权限管理机制来实现的,保证了数据的安全性;
(3)镜像文件以DD格式存储,与原始存储介质完全对应,可以转化为多种其它格式的镜像文件,方便使用其它取证软件进行分析;
(4)***自动根据提取规则和分类规则对镜像文件上的具有取证价值的文件进行了提取,过滤掉了没有取证价值的文件,减少了电子证据分析的工作量,有效的提高了电子证据分析的效率;
(5)***将从不同时间、不同镜像文件上提取的文件统一在文件服务器上分类存储,为用户进行来自多数据源的电子证据的管理分析提供了数据基础,且***提取的所有电子数据文件都是可溯源的。
附图说明
图1是本发明***结构示意图。
图2是本发明敏感信息按需提取子***工作原理图。
下面将结合具体实施方式进一步说明本发明,但本发明要求保护的范围并不局限于下列实施方式。
具体实施方式
实施例1:
1、物理磁盘镜像管理:
1)备份文件格式的选择:
对硬盘做镜像时,有按位与按文件两种。
备份工作的按位(实际上是按扇区)转存意味着与文件***无关。数据源是什么样子、有多大,目标就是什么样子,就有多大。即使没有分区、或者无法识别的分区,或者分区逻辑结构有错误,都可以完整的(包括逻辑错误)一起备份到目标设备上。
按文件转存是要对文件***解释后,只按文件的方式提取到目标设备上。这个转存程序必须可以解释对应的文件***,同时不会提取非文件数据。数据量也取决于源设备文件总和,文件越多,需要转移的数据就越多。另外,以文件转存的方式在源与目标的物理位置上并不一一对应,就像从源盘把所有文件拷贝进目标设备一样,源盘的文件组织方式、物理排序、空间占用上也不必与目标设备相同。这种转存也不会把磁盘里的自由空间转移过去。
按位转存适合最完整的备份,比如数据恢复前的备份、非WINDOWS***的备份,或者有特殊结构的备份,但要求空间较大。按文件转存适合对已知文件***的批量文件备份。
通过对U盘的备份生成结果分析,DD格式的镜像是跳过start sectors 和 unpartitionable space来完成的对已格式化磁盘分区的完全备份。通过WINHEX打开已有磁盘分析发现,现有的分区都是在磁盘上的连续的磁道划分出来形成的分区。也就是说DD格式的镜像产生了一个已有分区从startsector到endsector的一个完整的数据备份。
2)磁盘读取
通过MS的API获得磁盘具体信息,核心是DeviceIoControl。
3)通信方式
***内部的通信主要通过两种方式:Socket通信和数据库中转通信。Socket通信通过自定义的通信协议,来进行程序间的数据通信。第二种方式是通过查询数据库的方式进行信息交互,这种通信实时性比较差,但是具有可用性和较强的容错性。所以在任务进度管理中,任务的管理是使用这种方式进行通信的。即使在任务执行过程中,由于特殊情况导致任务中断,也可以在重启进程后,重新检索任务进度数据,并恢复任务到最新的状态。
2、硬盘数据分类归档:
1)常见媒体类型列表
IANA维护着一个媒体类型和字符编码的记录列表。他们的列表通过互联网向公众开放。
2)数据库连接池
本***中使用Java语言通过JDBC技术访问数据库。JDBC是一种“开放”的方案,它为数据库应用开发人员、数据库前台工具开发人员提供了一种标准的应用程序设计接口,使开发人员可以用纯Java语言编写完整的数据库应用程序。
Java应用程序访问数据库的过程是:
①装载数据库驱动程序; ②通过JDBC建立数据库连接; ③访问数据库,执行SQL语句; ④断开数据库连接。
通过建立一个数据库连接池以及一套连接使用管理策略,形成连接的复用,这样使得一个数据库连接可以得到高效、安全的复用,数据库连接频繁建立、关闭的开销从而可以有效的避免了。
资源池,解决了资源频繁分配、释放所造成的问题。把该模式应用到数据库连接管理领域,就是建立一个数据库连接池,提供一套高效的连接分配、使用策略,最终目标是实现连接的高效、安全的复用。
数据库连接池在初始化时将创建一定数量的数据库连接放到连接池中,这些数据库连接的数量是由最小数据库连接数来设定的。无论这些数据库连接是否被使用,连接池都将一直保证至少拥有这么多的连接数量。连接池的最大数据库连接数量限定了这个连接池能占有的最大连接数,当应用程序向连接池请求的连接数超过最大连接数量时,这些请求将被加入到等待队列中。数据库连接池的最小连接数和最大连接数的设置要考虑到下列几个因素:
①最小连接数
是连接池一直保持的数据库连接,所以如果应用程序对数据库连接的使用量不大,将会有大量的数据库连接资源被浪费;
② 最大连接数
是连接池能申请的最大连接数,如果数据库连接请求超过此数,后面的数据库连接请求将被加入到等待队列中,这会影响之后的数据库操作;
③如果最小连接数与最大连接数相差太大
那么最先的连接请求将会获利,之后超过最小连接数量的连接请求等价于建立一个新的数据库连接。不过,大于最小连接数的数据库连接在使用完不会马上被释放,它将被放到连接池中等待重复使用或是空闲超时后被释放。
3、文档信息提取模块:
1)使用开源工具Lucene实现文件的索引和查询功能,使用第三方开源工具pdfbox、poi等实现文件内容的提取。
2)数据库连接池
同硬盘数据分类归档模块。
4、敏感信息按需提取:
1)连接数据库接口
数据库信息事先存储在ini文件中,通过GetPrivateProfileSectionNames()与GetPrivateProfileString()函数来提取ini文件中保存的数据库账号密码与连接字串信息。
2)查询数据库表filesys
如图2所示,Filesys表中property字段为1,代表filesys表此项记录为信息抽取所需要,从中提取出各个字段的值,为接下来的敏感信息文件解析工作做准备。
3)查询parsetable表
Parsetable 数据表是用来在数据展示部分查看后台进度用的,为控制端做准备。
4)动态加载模块
Dll.ini配置文件中包含全部可以支持的dll功能插件,将filesys表中满足敏感信息条件的记录的type字段进行匹配,加载不同的dll插件。
5)日志接口
利用log4cplus开源项目中的日志模块来记录当前程序中的流程、异常日志。
6)信息提取
对即时聊天软件、邮件客户端、浏览器、eml文件相关信息的提取技术。
5、综合查询关联分析:
1)样式布局控制模块:
普通用户界面使用了普通的jquery-ui的插件,布局是自己实现的,管理员用户界面采用了easy-ui的布局及部分插件,表格的展示统一采用了jquery第三方插件jqGrid,文件上传使用的是一款flash插件, 整个界面的动态采用jquery实现。
2)权限管理模块:
只有一定权限的用户才可以提取和上传镜像文件,同时,不同的用户可以浏览和使用不同的镜像和数据文件,对于其它的镜像及其文件则无权访问。
3)前端搜索模块:
ajax提交搜索数据与jquery处理返回结果的展示,分页采用jquery的第三方插件。
4)Ajax交互模块:
jquery-ajax 构建数据表采用jqgrid插件。
后台采用java web开发技术, hibernate数据库技术。
Claims (9)
1.一种计算机信息取证***,其特征在于,***包括:1)物理磁盘镜像管理子***;2)硬盘数据分类归档子***;3)文档信息提取子***;4)敏感信息按需提取子***;5)综合查询关联分析子***。
2.如权利要求1所述的一种计算机信息取证***,其特征在于,所述物理磁盘镜像管理子***基于C/S架构,服务器端部署在Linux***环境下,客户端部署在Windows***中。
3.如权利要求2所述的一种计算机信息取证***,其特征在于,所述服务器端的主要功能包括:镜像文件的接收、存储、发送与挂载;客户端主要功能包括:镜像的提取、上传、下载和写入,镜像信息的管理和证据文件的分类存储。
4.如权利要求3所述的一种计算机信息取证***,其特征在于,所述镜像文件以只读方式在镜像服务器的磁盘存储阵列中存储,浏览查看磁盘阵列中的文件时,镜像管理器会将指定的磁盘镜像以虚拟磁盘的形式挂载到服务器上,并将虚拟磁盘以共享形式映射到指定IP地址的主机上。
5.如权利要求1所述的一种计算机信息取证***,其特征在于,所述硬盘数据分类归档子***接收从镜像服务器传递过来的磁盘参数,根据参数和分类规则读取远程映射路径下的文件,并将其分类存储到本地文件服务器上。
6.如权利要求1所述的一种计算机信息取证***,其特征在于,所述文档信息提取子***包括索引与搜索模块,磁盘文件索引的任务从tasklist中获取,人工导入文件索引任务从filesys中直接获取。
7.如权利要求1所述的一种计算机信息取证***,其特征在于,所述敏感信息按需提取子***包括邮件解析模块、IM类解析模块和网址解析模块三大模块,通过扫描filesys中的property字段,判断type字段来实现信息提取。
8.如权利要求1所述的一种计算机信息取证***,其特征在于,所述综合查询关联分析子***包括样式布局控制模块、权限管理模块、搜索模块和Ajax交互模块。
9.如权利要求8所述的一种计算机信息取证***,其特征在于,所述样式布局控制模块中用户界面使用jquery-ui的插件,管理员界面采用了easy-ui的布局及部分插件,表格采用jquery插件jqGrid展示,文件上传使用的是flash插件, 整个界面的动态采用jquery实现。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410390529.9A CN104156669A (zh) | 2014-08-11 | 2014-08-11 | 一种计算机信息取证*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410390529.9A CN104156669A (zh) | 2014-08-11 | 2014-08-11 | 一种计算机信息取证*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104156669A true CN104156669A (zh) | 2014-11-19 |
Family
ID=51882166
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410390529.9A Pending CN104156669A (zh) | 2014-08-11 | 2014-08-11 | 一种计算机信息取证*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104156669A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104462996A (zh) * | 2014-12-03 | 2015-03-25 | 公安部第三研究所 | 实现对远程取证目标终端进行协同取证分析的方法及*** |
CN107437168A (zh) * | 2017-08-03 | 2017-12-05 | 武汉远众科技有限公司 | 一种基于时间和地理位置的证据关联方法 |
CN110020223A (zh) * | 2017-12-26 | 2019-07-16 | 浙江宇视科技有限公司 | 行为数据分析方法及装置 |
CN111062008A (zh) * | 2018-10-17 | 2020-04-24 | 上海越钰信息技术有限公司 | 一种远程电子取证***及方法 |
CN111951130A (zh) * | 2020-08-19 | 2020-11-17 | 重庆市合川区公安局 | 一种电子设备的数据取证分析方法及*** |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102708152A (zh) * | 2012-04-18 | 2012-10-03 | 南京邮电大学 | 一种电子证据的综合管理方法 |
CN102739774A (zh) * | 2012-05-28 | 2012-10-17 | 中国科学院软件研究所 | 一种云计算环境下的取证方法及*** |
CN102834832A (zh) * | 2010-03-29 | 2012-12-19 | Ubic股份有限公司 | 取证***、取证方法及取证程序 |
-
2014
- 2014-08-11 CN CN201410390529.9A patent/CN104156669A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102834832A (zh) * | 2010-03-29 | 2012-12-19 | Ubic股份有限公司 | 取证***、取证方法及取证程序 |
CN102708152A (zh) * | 2012-04-18 | 2012-10-03 | 南京邮电大学 | 一种电子证据的综合管理方法 |
CN102739774A (zh) * | 2012-05-28 | 2012-10-17 | 中国科学院软件研究所 | 一种云计算环境下的取证方法及*** |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104462996A (zh) * | 2014-12-03 | 2015-03-25 | 公安部第三研究所 | 实现对远程取证目标终端进行协同取证分析的方法及*** |
CN107437168A (zh) * | 2017-08-03 | 2017-12-05 | 武汉远众科技有限公司 | 一种基于时间和地理位置的证据关联方法 |
CN110020223A (zh) * | 2017-12-26 | 2019-07-16 | 浙江宇视科技有限公司 | 行为数据分析方法及装置 |
CN110020223B (zh) * | 2017-12-26 | 2021-04-20 | 浙江宇视科技有限公司 | 行为数据分析方法及装置 |
CN111062008A (zh) * | 2018-10-17 | 2020-04-24 | 上海越钰信息技术有限公司 | 一种远程电子取证***及方法 |
CN111062008B (zh) * | 2018-10-17 | 2023-05-30 | 上海越钰信息技术有限公司 | 一种远程电子取证***及方法 |
CN111951130A (zh) * | 2020-08-19 | 2020-11-17 | 重庆市合川区公安局 | 一种电子设备的数据取证分析方法及*** |
CN111951130B (zh) * | 2020-08-19 | 2024-01-30 | 重庆市合川区公安局 | 一种电子设备的数据取证分析方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240211353A1 (en) | Selective processing of file system objects for image level backups | |
US10482134B2 (en) | Document management techniques to account for user-specific patterns in document metadata | |
US8176272B2 (en) | Incremental backup using snapshot delta views | |
US8069147B2 (en) | System and method for delivering results of a search query in an information management system | |
US20110153748A1 (en) | Remote forensics system based on network | |
US20070143559A1 (en) | Apparatus, system and method incorporating virtualization for data storage | |
WO2018201583A1 (zh) | 文件管理方法、***、电子装置及介质 | |
JP5558997B2 (ja) | 相互検索およびアラートのための方法、情報処理システム、およびコンピュータ・プログラム(構造化データ・ソースと非構造化データ・ソースとの間の相互検索およびアラート) | |
US8700567B2 (en) | Information apparatus | |
JP2011065546A (ja) | ファイル検索システム及びプログラム | |
CN102169484A (zh) | 虚拟化环境中综合的、相关的和动态的数据搜索 | |
US20210311927A1 (en) | Systems and methods for locating application specific data | |
CN104156669A (zh) | 一种计算机信息取证*** | |
CN103460197A (zh) | 计算机***、文件管理方法以及元数据服务器 | |
CN102289513A (zh) | 获取虚拟机内部文件的方法及*** | |
US11762833B2 (en) | Data discovery of personal data in relational databases | |
CN102272751A (zh) | 在数据库环境通过背景同步的数据完整性 | |
US8056052B2 (en) | Populating service requests | |
US10360234B2 (en) | Recursive extractor framework for forensics and electronic discovery | |
CN111552956B (zh) | 一种用于后台管理的角色权限控制方法及装置 | |
CN114265759A (zh) | 一种数据信息泄露后的溯源方法、***及电子设备 | |
JP7294055B2 (ja) | ファイルレコメンドシステム、ファイルレコメンドプログラム、ファイルレコメンド方法、及び、ファイルレコメンド装置 | |
CN114064356A (zh) | 一种数据管理平台、方法及节点 | |
US10685046B2 (en) | Data processing system and data processing method | |
CN112835967A (zh) | 基于分布式存储***的数据处理方法、装置、设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141119 |
|
WD01 | Invention patent application deemed withdrawn after publication |