基于树莓派的快速电子取证方法、装置及电子设备制造方法及图纸

本发明专利技术提供了一种基于树莓派的快速电子取证方法、装置及电子设备，该方法包括：劫持处于锁屏状态下的目标系统的网络连接流量；基于网络连接流量窃取目标系统的cookie信息和路由信息；根据cookie信息和路由信息，通过outbound方式对目标系统进行重绑定攻击，以获得目标信息。本发明专利技术的方法中，无需破解目标系统的开机密码，而是通过将树莓派插入嫌疑人的电脑上，树莓派便能够劫持嫌疑人电脑的网络连接流量，进而窃取嫌疑人电脑的cookie信息和路由信息，对嫌疑人电脑进行重绑定攻击，便能够得到与嫌疑人犯罪相关的信息，该电子取证的过程简单，快捷，为取证人员的侦查破案工作提供了有效的支持，缓解了现有的电子取证方法耗时长，效率低的技术问题。

Fast electronic forensics based on raspberry pie, device and electronic equipment

The present invention provides a fast electronic forensics based on PI method, device and electronic apparatus, the method includes: hijacking in the target system lock screen under the condition of network connection flow; network connection flow targets system cookie information and routing information based on cookie; according to the information and routing information for rebinding attack the target through the outbound system, in order to obtain the target information. The method of the present invention, without breaking the target system boot password, but the suspect's computer into a raspberry pie, raspberry pie will be able to hijack the suspect computer network connection and information flow, cookie routing information and then steal the suspect computer, re bound to attack the suspect computer, can get related suspects the information process of the electronic evidence is simple, fast, and provided effective support for the investigation of forensic detection work, to ease the electronic forensics method existing time-consuming, low efficiency problems.

【技术实现步骤摘要】
基于树莓派的快速电子取证方法、装置及电子设备
本专利技术涉及电子取证的
，尤其是涉及一种基于树莓派的快速电子取证方法、装置及电子设备。
技术介绍
G安特Z队在某些情况下需要快速获取嫌疑人锁定在电脑上的上网记录和会话信息，如嫌疑人刚通过邮件发送了一份重要材料给其组织，G安特Z队员需要及时掌握邮件内容和其组织邮件地址。目前，G安特Z队在获取嫌疑人锁定在电脑上信息时，首先需要破解电脑密码，针对Windows系统而言，可以通过在安全模式下创建管理员账户或者通过PE系统删除密码；苹果系统可进入recovery模式进行开机密码修改，再利用特定的取证工具(如UrlViewer，一种涉密检查、电子取证辅助工具)来获取嫌疑人的上网记录。而对于特Z、刑Z破案，最重要的是时间，传统的电子取证方法需要一定的时间成本，若嫌疑人具有一定的反侦察意识，还会设置复杂的密码保护机制，这样无疑会对侦查工作造成不小的阻力。综上，传统的电子取证方法需要先破解电脑密码，然后再利用专业的取证工具进行电子取证，耗时长，效率低。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种基于树莓派的快速电子取证方法、装置及电子设备，以缓解现有的电子取证方法耗时长，效率低的技术问题。第一方面，本专利技术实施例提供了一种基于树莓派的快速电子取证方法，应用于树莓派端，所述方法包括：劫持处于锁屏状态下的目标系统的网络连接流量，其中，所述目标系统为嫌疑人系统；基于所述网络连接流量窃取所述目标系统的cookie信息和路由信息；根据所述cookie信息和所述路由信息，通过outbound方式对所述目标系统进行重绑定攻击，以获得目标信息，并将所述目标信息发送至取证人员的终端，其中，所述目标信息为与嫌疑人犯罪相关的信息。结合第一方面，本专利技术实施例提供了第一方面的第一种可能的实施方式，其中，在根据所述cookie信息和所述路由信息通过outbound方式进行重绑定攻击，以获得目标信息之后，所述方法还包括：在所述目标系统的网络环境中强制缓存后门，以使所述取证人员通过访问所述后门获取所述目标信息。结合第一方面，本专利技术实施例提供了第一方面的第二种可能的实施方式，其中，劫持处于锁屏状态下的目标系统的网络连接流量包括：根据所述取证人员的接入操作接入所述目标系统，以伪装成虚假以太网；将所述目标系统接入所述虚假以太网，以劫持所述目标系统的网络连接流量。结合第一方面，本专利技术实施例提供了第一方面的第三种可能的实施方式，其中，基于所述网络连接流量窃取所述目标系统的cookie信息和路由信息包括：在所述目标系统通过浏览器发送访问请求后，基于所述网络连接流量监听所述访问请求和所述访问请求的访问响应；基于所述访问请求和所述访问响应获取所述目标系统的cookie信息和路由信息，其中，所述cookie信息包括所述目标系统在进行访问时的ID信息，密码信息和网页信息；所述路由信息为所述目标系统在进行访问时经过的路径信息，所述路径信息至少包括以下任一种：内部IP，节点服务器，标签。结合第一方面，本专利技术实施例提供了第一方面的第四种可能的实施方式，其中，在所述目标系统的网络环境中强制缓存后门，以使所述取证人员通过访问所述后门获取所述目标信息包括：劫持与所述目标系统相连的局域网路由信息；根据所述局域网路由信息确定目标服务器，其中，所述目标服务器为与所述局域网路由信息中与目标路由信息相对应的服务器，所述目标路由信息为所述局域网路由信息中性能最好的信息；在所述目标服务器上强制缓存后门，以生成永久的重绑定攻击；基于所述永久的重绑定攻击获取所述目标信息。第二方面，本专利技术实施例还提供了一种基于树莓派的快速电子取证装置，应用于树莓派端，所述装置包括：劫持模块，用于劫持处于锁屏状态下的目标系统的网络连接流量，其中，所述目标系统为嫌疑人系统；窃取模块，用于基于所述网络连接流量窃取所述目标系统的cookie信息和路由信息；重绑定攻击模块，用于根据所述cookie信息和所述路由信息，通过outbound方式对所述目标系统进行重绑定攻击，以获得目标信息，并将所述目标信息发送至取证人员的终端，其中，所述目标信息为与嫌疑人犯罪相关的信息。结合第二方面，本专利技术实施例提供了第二方面的第一种可能的实施方式，其中，所述装置还包括：后门缓存模块，用于在所述目标系统的网络环境中强制缓存后门，以使所述取证人员通过访问所述后门获取所述目标信息。结合第二方面，本专利技术实施例提供了第二方面的第二种可能的实施方式，其中，所述劫持模块包括：第一接入单元，用于根据所述取证人员的接入操作接入所述目标系统，以伪装成虚假以太网；第二接入单元，用于将所述目标系统接入所述虚假以太网，以劫持所述目标系统的网络连接流量。结合第二方面，本专利技术实施例提供了第二方面的第三种可能的实施方式，其中，所述窃取模块包括：监听单元，用于在所述目标系统通过浏览器发送访问请求后，基于所述网络连接流量监听所述访问请求和所述访问请求的访问响应；第一获取单元，用于基于所述访问请求和所述访问响应获取所述目标系统的cookie信息和路由信息，其中，所述cookie信息包括所述目标系统在进行访问时的ID信息，密码信息和网页信息；所述路由信息为所述目标系统在进行访问时经过的路径信息，所述路径信息至少包括以下任一种：内部IP，节点服务器，标签。第三方面，本专利技术实施例还提供了一种电子设备，包括存储器、处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面中所述的方法的步骤。本专利技术实施例带来了以下有益效果：本专利技术实施例提供了一种基于树莓派的快速电子取证方法、装置及电子设备，该方法应用于树莓派端，包括：劫持处于锁屏状态下的目标系统的网络连接流量，其中，目标系统为嫌疑人系统；基于网络连接流量窃取目标系统的cookie信息和路由信息；根据cookie信息和路由信息，通过outbound方式对目标系统进行重绑定攻击，以获得目标信息，并将目标信息发送至取证人员的终端，其中，目标信息为与嫌疑人犯罪相关的信息。传统的电子取证方法在进行电子取证时，需要先破解电脑密码，然后再利用专业的取证工具进行电子取证，破解电脑密码的过程耗费时间长，电子取证的效率低下。与传统的电子取证方法相比，本专利技术的基于树莓派的快速电子取证方法中，树莓派通过劫持处于锁屏状态下的目标系统的网络连接流量窃取目标系统的cookie信息和路由信息，进而根据cookie信息和路由信息通过outbound方式对目标系统进行重绑定攻击，以获取目标信息，并将目标信息发送至取证人员的终端。本专利技术的基于树莓派的快速电子取证方法中，无需破解目标系统(即嫌疑人电脑)的开机密码，而是通过将树莓派插入嫌疑人的电脑上，树莓派便能够劫持嫌疑人电脑的网络连接流量，进而窃取嫌疑人电脑的cookie信息和路由信息，最终，对嫌疑人电脑进行重绑定攻击，便能够得到与嫌疑人犯罪相关的信息，该电子取证的过程简单，快捷，为取证人员的侦查破案工作提供了有效的支持，缓解了现有的电子取证方法耗时长，效率低的技术问题。本专利技术的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书、权利要求书以本文档来自技高网...

【技术保护点】
一种基于树莓派的快速电子取证方法，其特征在于，应用于树莓派端，所述方法包括：劫持处于锁屏状态下的目标系统的网络连接流量，其中，所述目标系统为嫌疑人系统；基于所述网络连接流量窃取所述目标系统的cookie信息和路由信息；根据所述cookie信息和所述路由信息，通过outbound方式对所述目标系统进行重绑定攻击，以获得目标信息，并将所述目标信息发送至取证人员的终端，其中，所述目标信息为与嫌疑人犯罪相关的信息。

【技术特征摘要】
1.一种基于树莓派的快速电子取证方法，其特征在于，应用于树莓派端，所述方法包括：劫持处于锁屏状态下的目标系统的网络连接流量，其中，所述目标系统为嫌疑人系统；基于所述网络连接流量窃取所述目标系统的cookie信息和路由信息；根据所述cookie信息和所述路由信息，通过outbound方式对所述目标系统进行重绑定攻击，以获得目标信息，并将所述目标信息发送至取证人员的终端，其中，所述目标信息为与嫌疑人犯罪相关的信息。2.根据权利要求1所述的方法，其特征在于，在根据所述cookie信息和所述路由信息通过outbound方式进行重绑定攻击，以获得目标信息之后，所述方法还包括：在所述目标系统的网络环境中强制缓存后门，以使所述取证人员通过访问所述后门获取所述目标信息。3.根据权利要求1所述的方法，其特征在于，劫持处于锁屏状态下的目标系统的网络连接流量包括：根据所述取证人员的接入操作接入所述目标系统，以伪装成虚假以太网；将所述目标系统接入所述虚假以太网，以劫持所述目标系统的网络连接流量。4.根据权利要求1所述的方法，其特征在于，基于所述网络连接流量窃取所述目标系统的cookie信息和路由信息包括：在所述目标系统通过浏览器发送访问请求后，基于所述网络连接流量监听所述访问请求和所述访问请求的访问响应；基于所述访问请求和所述访问响应获取所述目标系统的cookie信息和路由信息，其中，所述cookie信息包括所述目标系统在进行访问时的ID信息，密码信息和网页信息；所述路由信息为所述目标系统在进行访问时经过的路径信息，所述路径信息至少包括以下任一种：内部IP，节点服务器，标签。5.根据权利要求2所述的方法，其特征在于，在所述目标系统的网络环境中强制缓存后门，以使所述取证人员通过访问所述后门获取所述目标信息包括：劫持与所述目标系统相连的局域网路由信息；根据所述局域网路由信息确定目标服务器，其中，所述目标服务器为与所述局域网路由信息中与目标路由信息相对应的服务器...

【专利技术属性】
技术研发人员：章叶军，范渊，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33