The present invention provides a fast electronic forensics based on PI method, device and electronic apparatus, the method includes: hijacking in the target system lock screen under the condition of network connection flow; network connection flow targets system cookie information and routing information based on cookie; according to the information and routing information for rebinding attack the target through the outbound system, in order to obtain the target information. The method of the present invention, without breaking the target system boot password, but the suspect's computer into a raspberry pie, raspberry pie will be able to hijack the suspect computer network connection and information flow, cookie routing information and then steal the suspect computer, re bound to attack the suspect computer, can get related suspects the information process of the electronic evidence is simple, fast, and provided effective support for the investigation of forensic detection work, to ease the electronic forensics method existing time-consuming, low efficiency problems.
【技术实现步骤摘要】
基于树莓派的快速电子取证方法、装置及电子设备
本专利技术涉及电子取证的
,尤其是涉及一种基于树莓派的快速电子取证方法、装置及电子设备。
技术介绍
G安特Z队在某些情况下需要快速获取嫌疑人锁定在电脑上的上网记录和会话信息,如嫌疑人刚通过邮件发送了一份重要材料给其组织,G安特Z队员需要及时掌握邮件内容和其组织邮件地址。目前,G安特Z队在获取嫌疑人锁定在电脑上信息时,首先需要破解电脑密码,针对Windows系统而言,可以通过在安全模式下创建管理员账户或者通过PE系统删除密码;苹果系统可进入recovery模式进行开机密码修改,再利用特定的取证工具(如UrlViewer,一种涉密检查、电子取证辅助工具)来获取嫌疑人的上网记录。而对于特Z、刑Z破案,最重要的是时间,传统的电子取证方法需要一定的时间成本,若嫌疑人具有一定的反侦察意识,还会设置复杂的密码保护机制,这样无疑会对侦查工作造成不小的阻力。综上,传统的电子取证方法需要先破解电脑密码,然后再利用专业的取证工具进行电子取证,耗时长,效率低。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种基于树莓派的快速电子取证方法、装置及电子设备,以缓解现有的电子取证方法耗时长,效率低的技术问题。第一方面,本专利技术实施例提供了一种基于树莓派的快速电子取证方法,应用于树莓派端,所述方法包括:劫持处于锁屏状态下的目标系统的网络连接流量,其中,所述目标系统为嫌疑人系统;基于所述网络连接流量窃取所述目标系统的cookie信息和路由信息;根据所述cookie信息和所述路由信息,通过outbound方式对所述目标系统进行重绑定攻击, ...
【技术保护点】
一种基于树莓派的快速电子取证方法,其特征在于,应用于树莓派端,所述方法包括:劫持处于锁屏状态下的目标系统的网络连接流量,其中,所述目标系统为嫌疑人系统;基于所述网络连接流量窃取所述目标系统的cookie信息和路由信息;根据所述cookie信息和所述路由信息,通过outbound方式对所述目标系统进行重绑定攻击,以获得目标信息,并将所述目标信息发送至取证人员的终端,其中,所述目标信息为与嫌疑人犯罪相关的信息。
【技术特征摘要】
1.一种基于树莓派的快速电子取证方法,其特征在于,应用于树莓派端,所述方法包括:劫持处于锁屏状态下的目标系统的网络连接流量,其中,所述目标系统为嫌疑人系统;基于所述网络连接流量窃取所述目标系统的cookie信息和路由信息;根据所述cookie信息和所述路由信息,通过outbound方式对所述目标系统进行重绑定攻击,以获得目标信息,并将所述目标信息发送至取证人员的终端,其中,所述目标信息为与嫌疑人犯罪相关的信息。2.根据权利要求1所述的方法,其特征在于,在根据所述cookie信息和所述路由信息通过outbound方式进行重绑定攻击,以获得目标信息之后,所述方法还包括:在所述目标系统的网络环境中强制缓存后门,以使所述取证人员通过访问所述后门获取所述目标信息。3.根据权利要求1所述的方法,其特征在于,劫持处于锁屏状态下的目标系统的网络连接流量包括:根据所述取证人员的接入操作接入所述目标系统,以伪装成虚假以太网;将所述目标系统接入所述虚假以太网,以劫持所述目标系统的网络连接流量。4.根据权利要求1所述的方法,其特征在于,基于所述网络连接流量窃取所述目标系统的cookie信息和路由信息包括:在所述目标系统通过浏览器发送访问请求后,基于所述网络连接流量监听所述访问请求和所述访问请求的访问响应;基于所述访问请求和所述访问响应获取所述目标系统的cookie信息和路由信息,其中,所述cookie信息包括所述目标系统在进行访问时的ID信息,密码信息和网页信息;所述路由信息为所述目标系统在进行访问时经过的路径信息,所述路径信息至少包括以下任一种:内部IP,节点服务器,标签。5.根据权利要求2所述的方法,其特征在于,在所述目标系统的网络环境中强制缓存后门,以使所述取证人员通过访问所述后门获取所述目标信息包括:劫持与所述目标系统相连的局域网路由信息;根据所述局域网路由信息确定目标服务器,其中,所述目标服务器为与所述局域网路由信息中与目标路由信息相对应的服务器...
【专利技术属性】
技术研发人员:章叶军,范渊,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。